邱月華

企業(yè)數(shù)據(jù)風險及其控制

邱月華

數(shù)據(jù)風險有兩個關(guān)鍵領(lǐng)域，而這些都關(guān)系到如何將數(shù)據(jù)提交給客戶。第一個風險涉及數(shù)據(jù)可被非授權(quán)的系統(tǒng)進行訪問。第二個風險是非授權(quán)的人員訪問數(shù)據(jù)。

非授權(quán)系統(tǒng)的訪問

非授權(quán)的系統(tǒng)訪問受保護的數(shù)據(jù)的可能性乍一看似乎不太可能。但是，當你考慮到所有可能產(chǎn)生的系統(tǒng)管理員的錯誤或故意非法訪問，數(shù)據(jù)被入侵的潛在問題便開始增加。那么，非授權(quán)系統(tǒng)如何獲取對另一個系統(tǒng)的數(shù)據(jù)的訪問呢?

在這種情況下，該數(shù)據(jù)很可能將通過一個LUN的形式提交。此LUN可以通過任何一個光纖通道連接或互聯(lián)網(wǎng)小型計算機系統(tǒng)接口(iSCSI)連接來提供。這兩種連接類型呈現(xiàn)了相同級別的風險。攻擊LUN將需要使用欺騙，使用一臺電腦的主機總線適配器 (HBA)來改變它呈現(xiàn)給目標系統(tǒng)的WWN。

這個目標不太容易完成，因為光纖通道端口一般不使用端口鏡像，而攻擊者試圖攔截(嗅探)流量以了解WWNs在網(wǎng)絡(luò)上傳輸數(shù)據(jù)的方法。攻擊者想要欺騙WWN需要關(guān)于他們應(yīng)該針對哪臺主機WWNs的內(nèi)部信息。然而，這在理論上是可能的。

盡管有困難，利用主機欺騙WWN的能力是潛在的風險——而一旦該WWN被欺騙，許多存儲環(huán)境中的保護措施將被暴露。理論上，WWN欺騙將不得不通過分區(qū)定義訪問——如果WWN分區(qū)被使用，而這是經(jīng)常發(fā)生的情況——同時存儲陣列提供的LUN掩碼通?；赪WNs進行配置。繞過這兩個關(guān)鍵的安全方法，入侵的主機可以訪問這些LUN上的所有數(shù)據(jù)。

思考在單個磁盤的環(huán)境中。假設(shè)你已經(jīng)從一臺服務(wù)器刪除了一個磁盤，并把它放在另一臺服務(wù)器上——原有的系統(tǒng)對文件保護的措施將發(fā)生什么情況?磁盤現(xiàn)在由新的操作系統(tǒng)所擁有，作為這個流氓系統(tǒng)的管理員或root身份，你現(xiàn)在可以更改數(shù)據(jù)訪問的權(quán)限。只要攻擊者從卷讀取和避免寫入數(shù)據(jù)，原來的主機可能永遠不會察覺已經(jīng)發(fā)生過什么異常。

防止WWN欺騙和嗅探的另一個最佳實踐是交換機專用，連接存儲設(shè)備只為服務(wù)器和存儲提供服務(wù)，這樣終端用戶設(shè)備和其他系統(tǒng)則不允許共享交換機硬件。這種方法依賴于交換機的物理安全性來限制你的風險。

數(shù)據(jù)暴露于一個非授權(quán)系統(tǒng)的風險的另一種途徑是存儲管理員故意或疏忽的配置。存儲管理員可以故意或錯誤地分配LUN到錯誤的服務(wù)器，或者可能為特定服務(wù)器選擇了錯誤的LUN。在這兩種情況下，沒有什么會妨礙管理員這樣做，因為分區(qū)存在，服務(wù)器將被正確連接且分區(qū)到陣列。因為服務(wù)器會被正確注冊到陣列中，LUN屏蔽也不會阻止它的。你可能想知道為什么存儲陣列允許這樣做。由于遷移的目的，存儲供應(yīng)商提供服務(wù)器之間的LUN共享能力，以支持服務(wù)器集群。虛擬集群的普及是常見的。為了從一臺主機移動虛擬服務(wù)器到另一臺主機，LUN必須在主機之間共享。

當決定如何保護你的存儲時，識別關(guān)于LUNs對服務(wù)器造成的風險是非常重要的。

非授權(quán)人員的訪問

服務(wù)器上靜止數(shù)據(jù)的另一個風險是通過內(nèi)置服務(wù)器中的數(shù)據(jù)訪問機制攻擊服務(wù)器本身。當服務(wù)器被攻陷從而將數(shù)據(jù)暴露給攻擊者時，服務(wù)器控制的所有數(shù)據(jù)將遭受系統(tǒng)本身授權(quán)機制的風險。

一旦服務(wù)器在攻擊者的控制下，攻擊者就有改變文件系統(tǒng)權(quán)限的能力，這樣新的操作系統(tǒng)所有者可以允許訪問所有數(shù)據(jù)。為了收集信息，入侵系統(tǒng)的攻擊者并不一定需要開始更改文件系統(tǒng)。也許是攻擊者只關(guān)心截獲的內(nèi)容或從存儲器讀取的數(shù)據(jù)。正如有些工具可以嗅探有線和無線網(wǎng)絡(luò)的網(wǎng)絡(luò)流量，有些工具可以嗅探光纖通道網(wǎng)絡(luò)上的流量。使用入侵系統(tǒng)，或者惡意軟件，入侵者可以執(zhí)行一個嗅探工具并收集系統(tǒng)數(shù)據(jù)。此外，通過訪問這個入侵的系統(tǒng)，攻擊者可以發(fā)動多次對存儲基礎(chǔ)架構(gòu)攻擊以獲得其他服務(wù)器數(shù)據(jù)的訪問。

數(shù)據(jù)風險管控最佳實踐

對于存儲基礎(chǔ)設(shè)施和位于其上數(shù)據(jù)的風險，可以采取什么措施來設(shè)計一個健壯的體系架構(gòu)抵御攻擊呢?以下做法提供了最佳可行的緩解實踐。

分區(qū)

基于端口的分區(qū)，通過主機和存儲陣列之間的連接的控制提高了安全性。分區(qū)這種方法提供了對一個WWN欺騙攻擊的保護。通過端口分區(qū)，即使主機系統(tǒng)被引入到一個偽造的WWN的環(huán)境中，主機需要交換機定義的端口中，以便它的訪問流量可以傳輸?shù)酱鎯﹃嚵校驗閰^(qū)域基于端口進行配置的。通過分區(qū)的方式，交換機提供了路徑，從服務(wù)器的HBA到陣列的HBA。沒有那個分區(qū)，WWN欺詐就沒有路徑到陣列。

陣列

陣列已經(jīng)發(fā)展很長時間提供LUN掩碼作為保護LUN不會被非授權(quán)服務(wù)器訪問的一種形式。LUN被非授權(quán)系統(tǒng)訪問的最可能的原因是存儲管理員偶然的或故意的錯誤配置。針對這一點，最好的防御是確保存儲管理員是可信的，勝任的，以及控制和限制只有少數(shù)訓練有素，可靠的管理員進行存儲陣列的管理。

服務(wù)器

為了充分保證存儲環(huán)境，你必須確保對服務(wù)器環(huán)境本身進行控制和監(jiān)視。確保存儲基礎(chǔ)架構(gòu)本身是不夠的。對任何服務(wù)器的訪問都可以顯著將服務(wù)器和存儲環(huán)境暴露給有害的活動。重要的是，服務(wù)器被安全地配置，并且該設(shè)備位于有訪問控制和監(jiān)控的安全設(shè)施中。變更管理和實時監(jiān)控，跟蹤更改系統(tǒng)和管理員在服務(wù)器上的活動，應(yīng)與存儲環(huán)境的安全一起實施。不僅在承載數(shù)據(jù)的服務(wù)器，也可用于管理陣列和交換機的管理服務(wù)器上采取這些步驟。

員工

當雇用個人來管理安全存儲環(huán)境時，必要的技能應(yīng)包括扎實的存儲安全實踐知識。計算機安全方法的背景和培訓應(yīng)該被視為一個重要的要求。當然，管理存儲陣列的培訓和經(jīng)驗也很重要，最好是關(guān)于在組織中使用的產(chǎn)品，而不是委任其他一些平臺管理存儲基礎(chǔ)架構(gòu)的管理員。此外，由于SAN是存儲和網(wǎng)絡(luò)融合的結(jié)果，具有網(wǎng)絡(luò)背景可以是非常有價值的。

異地數(shù)據(jù)存儲

異地存儲數(shù)據(jù)是任何組織業(yè)務(wù)連續(xù)性流程的一個重要方面。許多廠商會拿起備份磁帶并將其移到一個安全的設(shè)施。應(yīng)該對這些設(shè)施進行定期審計，以確保向異地發(fā)送的所有數(shù)據(jù)可問責。為了保護數(shù)據(jù)，不管在磁盤或磁帶上都應(yīng)該被加密。任何形式的在線數(shù)據(jù)備份應(yīng)該采用端到端的加密方法。