Especialização em Segurança da Informação Segurança em Banco de Dados e Aplicações 2....

Especializaçãoem Segurançada Informação

Segurança em Banco de Dados e Aplicações2. Segurança em Storage

Márcio Aurélio Ribeiro [email protected]://si.lopesgazzani.com.br/docentes/marcio/

Márcio Moreira 2. Segurança em Storage – Slide 2 Segurança em Banco de Dados e Aplicaçoes

Objetivos do capítulo

Mostrar os tipos de RAID existentesMostrar os principais problemas de

segurança em ambientes de armazenamento: DAS, NAS, SAN e Backups

Apresentar as recomendações para resolver ou evitar os problemas apresentados


O armazenamento nas organizações

Banco da Índia (2007):14.000 filiais em todo o país11.000 escritórios conectados ao Data CenterMais de 20 milhões de clientes≈ 100 TB armazenados

Crescimento exponencial

Questões de segurança:Compressão / CifragemAntivírusFirewall e IDS

Fonte: Ramakrishnan


Demanda de performance e espaço

1X

2X

3X

4X

5X

6X

7X

8X

Hoje 1 Ano 2 anos 3 anos 4 anos 5 anos

50%

100%

150%

200%

250%

300%

DemandaPerformance

DemandaEspaço

Demanda anual de 50% de espaço e

performance

1X 1.5X2.3X

3.4X

5.1X

7.6X

253%

169%

113%

75%50%

Fon

te:

Ram

akris

hnan


Alternativas para a demanda

Podemos resolver com RAMs?Caras e voláteis só para processamento

Podemos utilizar fitas?Baratas e lentas por serem seqüenciais backups

Podemos resolver com CDs e DVDs?Baratos e aleatórios. Mas, lentos distribuição

Podemos resolver com HDs?Preço justo, aleatórios e rápidos muitos HDsOnde colocar tantos HDs? Fora do gabinete


Tecnologia RAID

Como obter performance e confiabilidade?RAID:

Redundant Array of Independent DisksUm conjunto de HDs é visto pelo SO como uma única unidade

de disco

Vantagens:Grande capacidade de armazenamentoAcesso paralelo melhor performancePermite o espelhamento de dados

Desvantagens:Custo: requer hardware ou software especialSe espelhado: requer o dobro de espaço


Por dentro dos Disk Arrays

Fault TolerantCache Memory

Array Controller Array Controller

Disk Directors Disk Directors

Host Interface Host Interface

Fonte: EMC

Gaveta do sistemaoperacional

Gavetas de discos


RAID 0 - Striping ou Fracionamento

Os dados são divididos em segmentos e estes são colocados nos HDs Não há redundância

Fonte: EMC

Volume 1End

Com RAID 0:Os volumes são divididos em blocos e movidos para balancear a carga de atividades.

Volume 1Middle

Volume 1BeginningSem RAID:

3 HDs num mesmo host.Cada HD contem um volume

Volume 2End

Volume 2Middle

Volume 2Beginning

Volume 3End

Volume 3Middle

Volume 3Beginning

Volume 1End

Volume 2End

Volume 3End

Volume 1Middle

Volume 2Middle

Volume 3Middle

Volume 1Beginning

Volume 2Beginning

Volume 3Beginning


RAID 1 - Mirroring ou Espelhamento

Os dados de um HD são espelhados em outro gerando redundância

Fonte: EMC

Sem RAID:3 HDs num mesmo host.

Com RAID 1:Um espelho de cada HD é criado gerando um para de HDs.

Volume 1End

Volume 1Middle

Volume 1Beginning

Volume 2End

Volume 2Middle

Volume 2Beginning

Volume 3End

Volume 3Middle

Volume 3Beginning

Volume 1End

Volume 1Middle

Volume 1Beginning

Volume 1End

Volume 1Middle

Volume 1Beginning

Volume 2End

Volume 2Middle

Volume 2Beginning

Volume 2End

Volume 2Middle

Volume 2Beginning

Volume 3End

Volume 3Middle

Volume 3Beginning

Volume 3End

Volume 3Middle

Volume 3Beginning


RAID 1+0 - Performance e Redundância

Os HDs (volumes físicos) são espelhados e os volumes lógicos divididos

Fonte: EMC


Volume 1End

Volume 1Middle

Volume 1Beginning

Volume 2End

Volume 2Middle

Volume 2Beginning

Volume 3End

Volume 3Middle

Volume 3Beginning

Com RAID 1+0:HDs espelhados.Volumes lógicos fracionados para balancear carga.

Volume 1End

Volume 2End

Volume 3End

Volume 1End

Volume 2End

Volume 3End

Volume 1Middle

Volume 2Middle

Volume 3Middle

Volume 1Middle

Volume 2Middle

Volume 3Middle

Volume 1Beginning

Volume 2Beginning

Volume 3Beginning

Volume 1Beginning

Volume 2Beginning

Volume 3Beginning


Paridade de dados

A paridade é utilizada para tentar recuperar dados perdidos

Fonte: EMC

Parity for 3rd

Group = 11 LOST DATA1

Parity for 2ndGroup = 1 010

Parity for 1st

Group = 00 1 1Group 1

Group 2

Group 3

Group 1 0 + 1 + 1 = 0

Group 2 0 + 1 + 0 = 1

Group 3 1 + 1 + ? = 1

DATA + DATA + DATA = Parity


RAID 5 - Fracionamento e paridade

Divide os dados no nível de bloco e acrescenta um bloco de paridade Requer no mínimo 3 discos

Fonte: EMC

Parity for1st Group

Volume 1End

Volume 2End

Volume 3End

Parity for 2nd Group

Volume 1Middle

Volume 2Middle

Volume 3Middle

Parity for3rd Group

Volume 1Beginning

Volume 2Beginning

Volume 3Beginning


Volume 1End

Volume 1Middle

Volume 1Beginning

Volume 2End

Volume 2Middle

Volume 2Beginning

Volume 3End

Volume 3Middle

Volume 3Beginning

Com RAID 5:Um grupo de drives são agrupados como um volume físico.


Níveis de RAID

Nível Técnica MínimoDiscos Aplicação Comentários

0 Fracionamento em blocos 2 Alta performance Sem redundância

1 Espelhamento 2 Alta disponibilidade e performance Implantação simples

2Fracionamento em bitsMonitoramento em RAM

2 Alta performance e disponibilidade Nenhum uso comercial

3Fracionamento em bytesDisco de paridade

3 Alta performance e disponibilidade Menor custo

4Fracionamento em blocos (Múltiplos I/O)Disco de paridade

3Processamento de transaçõesAlta disponibilidade

Alta taxa de leituraBaixo uso comercial

5Fracionamento em blocos (Múltiplos I/O)Discos de paridade independentes


Alta taxa de leitura

6Fracionamento em blocos (Múltiplos I/O)Múltiplos discos de paridade independentes


Alta taxa de leituraBaixo uso comercial

Fonte: EMC, IBM, Wikipedia e experiência.

Níveis mais usados comercialmente: 0, 1, 3, 5 e 10 (1+0): Múltiplos I/O Independência de leitura e gravação (acesso múltiplo). Custo comparado para níveis que oferecem mesmos benefícios.


Arquiteturas típicas de storage

DAS:Direct Attached Storage

NAS:Network Attached Storage

SAN:Storage Area Network

Direct Attached Storage (DAS)

Windows NT/2K Linux/UnixNetware

Network Attached Storage (NAS)

Windows NT/2K Linux/UnixNetware

Storage Area Network (SAN)

Netware

Windows NT/2K

Linux/Unix

Storage

FC Switch

NAS


Arquiteturas DAS & NAS

DAS NAS

Márcio Moreira 2. Segurança em Storage – Slide 16 Segurança em Banco de Dados e AplicaçoesU

nida

de d

e S

tora

ge

Ser

vido

rArquitetura do NAS

Aplicação

Sistema Operacional

Redirecionador de I/O

NFS/SMB/CIFS

Pilha TCP/IP

Placa de Rede

Requisita um I/O remoto

Chama o Sistema de Arquivos

Redireciona o I/O para o Storage

Chamada para o FS do Storage

Encapsula chamada de rede

RedeRede

Pilha TCP/IP

Placa de Rede

SO NAS

Protocolo NAS

Protocolo Storage (FC)

Protocolo de Drive (SCSI)

HDs Storage


Arquitetura do SAN


Termos comuns em SANs

LUN: Logical Unit NumberUm vetor lógico de unidades de storage (volume lógico)

WWN: World Wide NameEndereço MAC das placas HBAs

NS: Name ServerTabela no switch que relaciona o WWN ao endereço físico

Zoning: Segmentação lógica dos nós da rede Fabric: Topologias de switches de conexão (rede) N_Port: Uma porta de um nó (portas de hosts) F_Port: Uma porta de fábrica (portas de switches) FLOGI: Fabric Login (processo de logar na fábrica)


Protocolos da rede SAN

A arquitetura NAS usa protocolos de blocos de disco (NFS, SMB ou CIFS)

A SAN usa protocolos de arquivos:iFCP (IP Fiber Channel Protocol) ou SANoIP

(SAN over IP), mapeando SCSI sobre FCP sobre IP

iSCSI (Internet SCSI), mapea SCSI sobre TCP/IPFICON sobre canal de fibra (usado em

mainframe)ATA sobre EthernetSCSI e/ou TCP/IP sobre InfiniBand (IB)FC (Fiber Channel) sobre Ethernet


1ª parte


Porque segurança em storage?

Boa parte dos ambientes de storage usam redes de fibra ótica separadas

Muitos administradores assumem que a rede de storage é segura. Será?Os ambientes IP são mais atacados (sem dúvida)Isto não que dizer que ambientes FC estejam livres

Estes ambientes têm a mesma premissa de segurança de outros ambientes:As informações devem estar disponíveis somente

para usuários que tenham direito de acessá-las


Direcionador de segurança

Estamos lidando com: propriedade intelectual, informações proprietárias, segredos comerciais, etc.

Todos os aspectos de segurança de dados devem ser considerados:Não usar premissas ou suposição não confirmadasEspecialmente em partes obscuras da segurançaIsto é fundamental para o sucesso da segurança

em armazenamento


Fatos

A maioria das empresas preocupam-se mais com servidores web do que com storage

Os storages podem estar conectados a várias redes (DMZ - inadequado, interna, aplicações, banco de dados e backups)

Os storages podem estar em segmentos IP:Sem a segmentação adequada um servidor

comprometido pode dar acesso à todas as redes, inclusive as de storage e backup


O que acontece se:

O Web Server for comprometido?E o DB Server?


Porque nos preocupar?

O que ocorre se um espião pegar na rede de storage:Uma senha de root ou de administradorO código fonte de alguma aplicaçãoInformações indevidas e a empresa estiver sujeita a leis que

a obrigam proteger tais informações

As redes de armazenamento estão crescendo Os ataques e as vulnerabilidades estão migrando das

redes IPs para as redes FC:Alguns fabricantes ainda acham que as redes de storage estão

imunes a ataques


Análise preliminar

Medidas da Segurança Práticas de Storage

Autenticação PobreAutorização MédiaCriptografia Inexistente

Resultado: Ruim!


Pacote de FC

É um frame (pacote) composto de:

SOF Header Payload CRC EOF

Iniciador (Start Of Frame)

Cabeçalho

Corpo (área de dados)

Verificador CRC(Cyclic Redundancy Check)

Terminador (End Of Frame)


Arquitetura do protocolo FC

Nível Camada Função

4 Mapping(mapeamento)

Mapeia os canais e protocolos de rede para o FC:Canais: IPI, SCSI, HIPPI e SBC CSProtocolos: 802.2, IP e ATM

3 Common Services(serviços comuns)

Inclui unicast, multicast e broadcast, etc.

2 Framing Protocol(protocolo do pacote)

Define topologia, formato, controle de erro eagrupamentos de frames

1 Transmission Protocol(protocolo de transmissão)

Define a codificação e decodificação de sinal 8B ou 10B

0 Physical Media(meio físico)

Par trançado, cabo coaxial e fibra óptica:133, 266 e 531 Mbps, e de 1.0 até 3.2 Gbps

A camada FC-2 (FC nível 2) tem várias fraquezas:● Autenticação: Não tem autenticação na fábrica● Autorização: Parâmetros de autorização fracos● Cifragem: Não existe atualmente


Resumo do frame da FC-2

O frame da FC-2 é semelhante ao protocolo da camada MAC (Media Access Control):Formato do frameGerenciamento de seqüênciaGerenciamento de intercâmbioControle de fluxoLogin e logoutTopologiasSegmentação e remontagem


Detalhes do frame da FC-2

Start Of Frame

Frame Header

Optional Header PayloadCRC Error

CheckEnd Of Frame64 bytes 2048 bytes

4 bytes 24 bytes 2112 bytes Data Field 4 bytes 4 bytes

CTLSource Address

Destination Address

Type Seq_Cnt Seq_ID Exchange_ID

A camada FC-2 (FC nível 2) tem várias fraquezas de segurança que já foram identificadas e resolvidas no IPv4

O Payload (data field ou área de dados) pode conter de 0 a 2112 bytes a serem transmitidos

SOF Header Payload CRC EOF


Ataques de alta destruição ao FC

Classes de ataques:HBA: Ataques às placas FC HBAsSwitches: Ataques aos elementos de redeFrames: Ataques aos frames FC

Legenda:

Placas HBASwitchesPacotes


Exemplos de ataques

Classe Ataque Descrição

HBA Spoofing Simulação

LUN Masking Mascaramento de LUN

Switch Switch Zoning Troca de zona

LUN Masking Mascaramento de LUN

Cut-through switching Atalho de roteamento

Share Infrastructure Compartilhar infra-estrutura

Web Management Gerenciamento web

Frame Session hijacking Seqüestro de sessão

Man-in-the-middle Homem do meio

Exchange ID Troca de identidade


Ataque HBA: Spoofing (simulação)

Assim como o MAC o WWN pode ser trocado facilmente, inclusive com recursos dos fabricantes

Usando o WWN de uma HBA autorizada o espião pode ter acesso à dados não autorizados


Ataque HBA: Spoofing

Um espião troca o WWN de sua placa HBA pelo WWN da HBA de um usuário válido

Assim, o espião pode ter acesso à outra zona e até a uma LUN do usuário válido


Switch Zoning (troca da zona)

Este ataque permite que um nó da fábrica acesse outro nó usando as políticas de zoneamento

Por enquanto, os switches são as únicas entidades (em muitas redes) que concedem ou negam o direito de acesso aos nós:Porém, o acesso é concedido ou negado baseado

na autorização do WWN, sem envolvimento de nenhum outro mecanismo de segurança, tais como: autenticação, integridade ou criptografia


Tipos de zoneamento

Hard (execução baseada em zoneamento):2 ou mais nós da mesma zona recebem as

mesmas informações de zoneamento para se comunicarem

Neste caso, há restrição de tráfego entre os nós

Soft (Informação baseada em zoneamento):2 ou mais nós da mesma zona recebem

informações de rotas uns dos outrosEste tipo de zoneamento não faz restrição de

tráfego


Bases de zoneamento

Bases de zoneamento:Por WWN:

Baseia-se somente no WWN de cada placa HBA

Por portas:Baseia-se no número de cada porta física (F_Port) do

switch FC para cada WWN de cada placa HBA

As zonas são mecanismos de segmentação:Elas são usadas por ferramentas de segurançaMas, não são mecanismos de segurança

WWN F_Port


Soft Zone Hopping (pulando zonas)

Zoneamento soft por WWN:Simulando um WWN o espião terá acesso às

informações da WWN simuladaSem simular um WWN, se o espião souber a rota para

outro WWN numa zona diferente, que pode ser enumerada via fábrica, terá o acesso garantido

Zoneamento soft por número de portas:A simulação de um WWN não terá sucesso, pois cada

WWN é vinculado a uma porta específicaSem simular um WWN, se o espião souber a rota para

outro WWN o acesso também será garantido neste caso


Hard Zone Hopping (pulando zonas)

Zoneamento hard por WWN:Simulando um WWN o espião terá acesso às

informações da WWN simuladaSem simular um WWN, o espião não terá

acesso a outro WWN mesmo que ele saiba a rota certa para isto

Zoneamento hard por número de portas:Nenhum dos ataques, simulação (spoofing) ou

roteamento, terão sucesso neste casoPortanto, esta é nossa recomendação


Ataque a uma zona soft por WWN


Ataque a uma zona soft por WWN

Depois de comprometer o servidor de Web ou de FTP, um espião pode acessar dados corporativos:Usando o switch FC, simulando seu WWN como WWN-C,

WWN-D ou WWN-EComprometendo o firewall da rede IP e acessando

diretamente a LAN InternaA segurança do SO é a única

proteção de sua rede de

storage?


Mascaramento de LUN

É o processo de esconder ou revelar partes do disco de storage (um LUN) para um nóEle cria um subconjunto do storage, um pool virtual, e

permite o acesso a somente alguns servidores especificados

Basicamente apresenta um conjunto limitado de LUNs para um nó da rede de storage

Também é um mecanismo de segmentação, não de segurança

Pode ocorrer em diferentes lugares:No client, no switch FC, no nó, numa aplicação ou em

dispositivos de terceiros


Ataque ao mascaramento de LUN

Se o mascaramento ocorre no client, usando um driver HBA, então o espião pode:Abrir propriedades do mascaramento do nó, que

não tem parâmetros de autenticaçãoTrocar as configurações para remover qualquer

um ou todos os mascaramentos

Isto também permite ao nó cliente ver todos os LUNs identificados, tendo ou não autorização para isto


Troca de informações de LUN

O driver HBA troca informações de LUN:


Ataques de mascaramento de LUN

No switch FC:Se o mascaramento ocorrer no switch FC, então

um WWN simulado pode comprometer as propriedades do mascaramento

Na controladora do storage:A controladora pode ser usada para expor alguns

LUNs para alguns WWNs

Logo, comprometendo um WWN toda a segurança estará comprometida!


2ª Parte


Session Hijacking (seqüestro de sessão)

Fraquezas do identificador de seqüência:Seq_ID (identificador) e Seq_Cnt (contador)Todo frame deve ser parte de uma seqüênciaFrames de uma mesma seqüência têm o mesmo Seq_IDCada frame na seqüência é controlado pelo Seq_CntEx: Seq_ID = 1, Seq_Cnt = 1, 2, 3, ....

Start Of Frame

Frame Header




CTLSource Address

Destination Address



Vulnerabilidade explorada

No FC os pacotes são seqüenciados na transmissão de uma porta para outra:O receptor tem que verificar todos os frames para

montar a seqüência esperadaMas, ninguém falou quantos frames existem

Um espião pode seqüestrar uma seqüência estabelecida entre 2 nós confiáveis:Se a seqüência tiver por exemplo 132 framesBasta continuar criando frames: 133, 134, etc.


Ataque do Session Hijacking

Se o espião não estiver preocupado com consistência, o ataque é mais simples:Capture a identificação da seqüência (Seq_ID)Produza o frame seguinte fazendo:

Seq_Cnt = Seq_Cnt + 1

Como não há controle

de integridade dos

frames, a sessão já

estará seqüestrada


Endereçamento FC

Endereços de 24 bits (source e destination):8 bits: Domínio (switch ID)8 bits: Área (grupo de F_Ports)8 bits: Porta (N_Port)

Start Of Frame

Frame Header




CTLSource Address

Destination Address


ID F_Ports N_Port ID F_Ports N_Port


Roteamento FC

Roteamento:Um nó (N_Port) é dinamicamente atribuído a um

endereço de 24 bits, usualmente pelo switch seguindo a topologia (fábrica), este endereço é usado para fazer o roteamento

No switch a Name Servers Table (tabela de servidores) mantém o endereço da Porta (24 bits) e do WWN (64 bits)

O que isto nos lembra?Roteamento IPv4


Ataque man-in-the-middle

Explora fraquezas da fábrica para entrar nela:O espião envia um login para a Fábrica (FLOGI) para o

endereço 0xFFFFFE (semelhante ao broadcast) usando o endereço 0x000000 (pois ele não sabe seu N_Port)

A fábrica e o switch associado recebe o frame e envia um frame de aceitação (ACC) para o espião

O frame ACC tem dentro dele o N_Port certo do espiãoAgora o espião tem o N_Port dele e da fábricaComo não há validação nem autenticação, ele envia um

port login (PLOGI) para 0xFFFFFC (endereço que permite a um servidor atualizar a tabela de WWN no switch)


Contaminando a tabela de servidores

A fábrica assume que os frames da conexão devem ser enviados ao WWN do espião:Assim, todos os frames destinados ao nó destino

passam primeiro pelo nó do espiãoPronto, o espião virou o homem do meio!


Replicação E_Port

As E_Ports (Expansion Ports) dos switches FC fornecem “uplink” para outros switches:Quando os switches descobrem a conexão com

outro pela E_Port, eles compartilham: informação da fábrica, gerenciamento e tabelas (nomes de servidores e de zoneamento)

Normalmente, a replicação via E_Port requer autenticação

Por padrão, todas as portas dos switches FC podem ser F_Ports ou E_Ports


Vulnerabilidade no controle de fluxo

Um dispositivo pode transmitir frames para outro somente quando o receptor está pronto:Antes de enviar dados uns para os outros, os

dispositivos precisam fazer login e estabelecer

créditos entre siCréditos:

Número de frames que um dispositivo pode receber por vezEste valor é compartilhado durante o login

Interrupção do controle de fluxo:No compartilhamento não há autenticação nem integridadeUm espião pode trocar informações de serviço entre 2 nós

autorizados e interromper o serviço


Atalhos de roteamento (cut-through)

Alguns switches olham apenas o D_ID (Destination ID ou endereço de destino) para rotear o frame

Isto aumenta a performance reduzindo o tempo necessário para decidir rotas

Entretanto, o frame é encaminhado sem verificação de S_ID (Source ID ou endereço de origem)Os endereços D_ID e S_ID são de 24 bits


Web Management

O protocolo http passa dados em texto planoIsto é péssimo para a segurançaAlém disto, as senhas padrões dos switches

FC são todas conhecidas:password, admin, manage, prom, filer, netcache,

monitor, temp, root, backup, KuSuM, momanddad, <switch vendor>, <company name>, letmein, secureme, abcd1234, money, Config, test, secret, keepout, test123 e green

Logo, evite o gerenciamento remoto via web


Arquitetura alvo

Robusta?


Ataque Web Management fase 1

Comprometa o Servidor WebGanhe acesso ao Servidor BDComprometa o Firewall InternoUma vez na Rede Interna, ataque a interface

IP do Switch FCComprometa o Switch FC


Ataque Web Management fase 2

Usando a fase 1 comprometa o Switch FCInstale “aplicações” usando o caminho

comprometido ou:Use a manutenção da rede interna como entradaSeja um:

“Fornecedor”“Consultor”“Parceiro de Negócios”Etc.


Web Management considerações Se o acesso direto aos dados não é possível:

Levante a topologia por enumeraçãoFaça um spoofing usando WWNAcesse o switch via linha de comandoComplete as informações da zona


Exemplos de enumeração


Ataque Share Infrastructure

Inicialmente:Servidor do espião conectado na

F_Port do Switch FC central

Ataque:O espião troca o servidor por um

Switch FC com E_PortO Switch central troca o modo da

porta para E_Port e replica todos os dados para o novo switch

Compromete-se o que estiver conectado ao switch central


Conclusão

Soluções de segurança:Existem muitas vulnerabilidades!Mas, existem muitas soluções de

segurança que podem ajudar a instalar e manter um ambiente de storage seguro!


Switches FC: ações de curto-prazo

Zoneamento hard nas portas físicas:Adiciona um nível razoável de segurançaEvita o ataque de Spoofing (simulação)

Port Binding (vinculação de portas):Bloqueia a porta física somente para um WWNEvita o ataque de Spoofing (simulação)

Controle de tipos de porta:Trava uma porta para um determinado tipo de

porta: F_Port ou E_PortEvita o ataque de replicação de E_Port


Switches FC: ações de longo-prazo

SLAP (Switch Layer Authentication Protocol):Habilita autenticação digital entre switchesEvita o ataque de Web Management

Fabric Membership Authorization:Incorpora em cada switch uma lista de WWNs autorizados

a associar-se à fábricaEvita o ataque de replicação de E_Port

Fabric Configuration Servers:Um switch é eleito único administrador de switchesEle usa sua própria autenticação ao invés de SNMP ou

credenciais (usuário e senha): evita o Web Management


PrecauçõesMascaramento de LUNs:

Não confie na máscara de LUN como sua única fonte de segurança

Não use mascaramento de LUN no cliente

Pontos de entrada seguros:Use somente:

Sistemas operacionais seguros conectados ao storageInterfaces IP seguras nos dispositivos da rede de storageGerenciamento seguro de estações, servidores e demais

elementos de rede conectados à rede de storageMáquinas na DMZ não acessam a rede de storage (nem

indiretamente)


Melhorias

Já disponível:Dispositivos de FC CriptografadosAutenticação:

Baseada em certificados digitais para as fábricas: Use de switch para switch e da HBA para o switch

A caminho:Criptografia de dados em trânsito e no storage:

Facilitará a integridade e confidencialidade: FC-GS-4 FCSec (Fiber Channel Security)


Recomendações gerais 1

Para redes estáticas, use portas por zonas ao invés de WWNs por zona

Use zoneamento hard ao invés de soft Troque as senhas padrões dos switches Não use máscara de LUN nos nós clientes Gerencie os switches somente de redes seguras

(rede de storage), nunca pela rede interna (rede IP) ou externa (remota)

Use autenticação por chaves para fazer o acesso de switch para switch



Crie uma zona de storage para cada zona de segurança da rede IP, jamais use uma única zona na rede de storage

Use credenciais diferentes para administrar e manter (um par para cada uma das redes)

Desabilite o gerenciamento na rede (SES ou FC-SNMP)

Desabilite os atalhos de roteamentoHabilite a vinculação e o bloqueio de portas



Use ferramentas de criptografia na transmissão e no armazenamento de dados

Desabilite a replicação E_Port e qualquer transferência automática de Name Server

Reforce a segurança de todos os sistemas operacionais que conectarem à rede de storage

Aplique o ciclo PDCA (Plan-Do-Check-Act) para a segurança de todo o ambiente


Suporte dos fabricantes

Chaves de autenticação entre os dispositivos de storage:WWN, switches e interoperabilidade

Criptografia de dadosAutenticação de framesImprevisibilidade da seqüência de controleAutenticação dupla na gestão de aplicações:

Uso de outro fator de segurança além da credencial padrão (usuário e senha)


Melhores práticas

Siga as melhores práticas:Isto evita total ou parcialmente acesso não

autorizado à rede de storage e a seus dadosAlém de criar mais dificuldades para o espião

Gerencie os riscos:Conheça completamente sua exposição a riscosEntenda a tolerância ao risco do seu negócioDecida a arquitetura de segurança que será

utilizada em sua rede de storage


Exercício

Um cliente tem 3TB de área de dados em uso em um frame de Storage que suporta 20.000 operações de I/O por segundo. Este frame tem capacidade de 5TB e está formatado em RAID 0. O frame está sendo compartilhado por 50 clientes. Os outros 49 clientes consomem 1.2TB e geram 8.000 I/O por segundo. O cliente em questão está reclamando que o tempo de acesso às aplicações dele era de 600ms e agora está em mais de 1.600ms. Antes da degradação de desempenho, esse cliente estava gerando 13.500 I/Os por segundo. Além disto, no SLA (Service Level Agreement ou Acordo de Nível de Serviço) assinado com o cliente consta que a disponibilidade do serviço é 95% mensal das 20:00 às 6:00 horas e 99% diário das 6:00 às 20:00 horas. O direcionamento dos executivos da empresa é: cumprir o prometido para o cliente com o menor custo possível.

Diante deste cenário, pergunta-se: a) O que podemos fazer na infra-estrutura para melhorar o tempo de acesso às

aplicações? b) O que devemos fazer para cumprir o SLA combinado com o cliente? c) Quais os recursos necessários para resolver os problemas acima?


Referências

Blair Semple. Securing Data with Strong Encryption and Access Controls. Network Appliance. Info Security. 2007.

Colleen Rhodes. Security Considerations for Storage Area Networks. East Carolina University. 2005.

EMC. Storage Basics. EMC. Jun-2006. Himanshu Dwivedi. Storage Security. BackHat. 2003. HP. Storage security. HP. 2004. Luiz Claudio Rodrigues. Protegendo Suas Informações. CA. Mark Friedman. Elements of SAN capacity planning. DataCore. Rahul Auradkar and Keith Hageman.

Simplified Storage, Storage Directions And Trends - Simple SANs - SAN Security. Microsoft.

W. Curtis Preston. Storage Security - Securing Stored Data: Protecting Storage Networks and Backups. GlassHouse. SWC. 2006.

Especialização em Segurança da Informação Segurança em Banco de Dados e Aplicações 2....

Documents

Transcript of Especialização em Segurança da Informação Segurança em Banco de Dados e Aplicações 2....