storage security · – hacker hackt 8 millionen kreditkarten konten • jan 2004 – mtc –...
Post on 24-Jul-2020
2 Views
Preview:
TRANSCRIPT
IT-Symposium 2005
www.decus.de 1
Storage Security IT- Sicherheit von innen nach außen
Klaus KupferTechnical Manager Central Europekkupfer@decru.com
Agenda
• Warum Speichersicherheit• Bedrohungen für Speichernetzwerke• Decru Lösung
– NAS– SAN & Tape– Datenbanken– DCS
• Lifetime Key Management• Zusammenfassung• Über Decru
IT-Symposium 2005
www.decus.de 2
Wachsende Anforderung fürSpeichersicherheit
• Unternehmen speichern Terabytes von sensiblen Daten in Speichernetzwerken
• Information Lifecycle Management• Disaster Recovery• Replikation• Heutige Sicherheitsmodelle fokussieren rein
auf die Perimeterabsicherung– Daten innerhalb des Unternehmens werden nicht
betrachtet• Data in transit vs. data at rest
Gängige IT Strategien vergrößern dasRisiko
IT-Symposium 2005
www.decus.de 3
Der traditionelle Security Ansatz:Schutz des Storage Netzwerks vor externenl Angriffen
50-80% aller Attacken haben ihrenUrsprung innerhalb der Firewall Quelle: IDC and KPMG
•67% aller Unter-nehmen meldeteninterne Sicherheits-verletzungen inner-halb der letzten 12 Monate•DurchschnittlicherSchaden jederVerletzung war $2.7 million
Quelle: FBI/Computer Security Institute
IT-Symposium 2005
www.decus.de 4
Storage in GefahrKonsolidierung & Replikation gefährden Terabyte• Feb 2003 – Visa, Amex, Mastercard
– Hacker hackt 8 Millionen Kreditkarten Konten• Jan 2004 – MTC
– Kundendatenbank von Russlands größtemMobilfunk Anbieter gestohlen
• Feb, Mai 2004 – Microsoft and Cisco– Source Code gestohlen
• 2004 – Yahoo– Daten von 4,5 Mil. Kunden gestohlen– Folgekosten $22 Mil. für
Kundenentschädigung– Geschätzte $338 Mil. um verlorene Kunden
zurückzugewinnen ($75/Kunde)• Juli 2004 – Los Alamos Nuclear Lab
– Zwei Festplatten aus dem Labor werdenvermisst. Aus diesem Grund muss die ganzeAnlage abgeschaltet werden.
• Sept 2004 – Klage auf $50 Mil. – Helpdesk Angestellter stahl zehn-
tausende Kundendaten von Kreditdatenbank
Februar, 2005Bank of America “verlegt”
Bänder mit Kontodatenihrer Kunden u.a. US-
Senatoren
Bedrohungen für Datenspeicher
CLIENTS/HOSTS
NAS
SANTape
Disk Diebstahl/Service/
EntsorgungAdmin Angriff
Band Verlust/ Diebstahl
FIREWALL
Storage AdminZugriff
ZoningÄnderungen
SysAdminZugriff
WWN Spoofing,Viruses, Worms,
Hacker Tools
Host/UID Spoofing
FabricAngriff
Network Sniffing
VPN/Partner Zugang
PRIMARYSTORAGE TAPE
FC SWITCH
NAS APPLIANCE/FILE SERVER
DirectoryAttack
Traditionelle Perimeterabsicherung bietet wenig Schutz für die gespeicherten Daten
SECONDARYSTORAGE
IT-Symposium 2005
www.decus.de 5
KundenDaten
KundenDaten
Wer hat Zugriff auf vertrauliche Daten?
Geschäfts-berichte
Geschäfts-berichte
Personal-daten
Personal-daten
JuristischeDokumente
JuristischeDokumente
CEO
GeneralCounsel
CFO
NetzwerkAdministrator
SystemAdministrator
BackupAdministrator
StorageAdministrator
Outsourcer
DR StorageAdministrator
TapeKurier
Service
Storage
Rollen Aufteilung
Tape Backup
Clients/Hosts
StorageMirrored Sites/
Disaster Recovery
Kontrolliert vom Netzwerk-Administrator
VollzugriffOutsourcer
VollzugriffStorage Admin
Encryption + Zugriffskontrollenverhindern
client/host Attacken
Storage Admin kann Daten verwalten
aber nicht lesen
Outsourcer könnenDaten nicht lesen
EncryptionAccess Controls
WAN
Verwaltet vomSecurity Officer
IT-Symposium 2005
www.decus.de 6
Decru Lösung
Rating: DeployTop 10 lab score: 8.4/10Security: 10/10
Decru DataFort™Storage Security Appliances
Top 10 Products of 2004
• Zentrale Funktionalitäten der Decru Lösung:– Authentifizierung– Datenabsicherung (Verschlüsselung)– Auditing
• Einheitliche Sicherheitsplattform für alle SpeicherUmgebungen
• Schützt vertrauliche Daten vor internen und externen Bedrohungen
• Rollen Separierung– Separiert den Datennutzer vom
Datenadministrator• Erhöht Nutzung vorhandener Infrastruktur• Macht die Daten sicher, nicht die Infrastruktur• Hilft bei der Einhaltung gesetzlicher und sonstiger
Regelungen– Versicherung, dass Bedienerfehler, nicht authorisierter
Adminstrator Zugriff oder böswillige Attacken die Sicherheit der Daten nicht beeinträchtigt
• Kompatibilitätstest mit allen führenden Storage, Switch und OS Plattformen
– Transparente Integration in bestehende Umgebungen
IT-Symposium 2005
www.decus.de 7
Decru DataFort™Einheitliche Plattform für Storage Security
YesYesYesFIPS 140-2 L3
1U, 2U1U, 2U1U, 2UChassis
2Gb FC2Gb FCGigEInterconnect
Web, CLIWeb, CLIWeb, CLIAdministration
LKMLKMLKMKey Mgmt
DCS, DHA,Port Locking
DCS, DHA,Port Locking
DCS, IPsec, SSL, Kerberos
Auth/ACL
AES-256AES-256AES-256Encryption
SEPSEPSEPCrypto HW
T-Series(Tape)
FC-Series(SAN, Tape)
E-Series(NAS, DAS)
DataFort Features• Starke AES-256 Verschlüsselung:
– Robust, volle FC bzw. GbE Geschwindigkeit, Verschlüsselung in Hardware. Einheitliche Infrastruktur für NAS, SAN iSCSI und Tape
• Mandantenfähigkeit: – Cryptainer™ Einheiten erlauben die sichere Konsolidierung von Daten verschiedener Gruppen auf eine
gemeinsame Infrastruktur und verhindern den unauthorisierten Zugriff des Administrators
• Authentifizierung und ACL’s:– DataFort bietet vielfältige Optionen für eine strenge Authentifizierung und granulare ACL’s. Die Lösung
integriert sich problemlos in existierende Verzeichnisdienste
• CryptoShred™: – Alle lokalen und replizierten Kopien von Daten können auf einen Schlag gelöscht werden, indem einfach die
Keys gelöscht werden.
• Skalierbarkeit und Verfügbarkeit: – DataFort Cluster skalieren bis zu 32 Knoten und unterstützen Hochverfügbarkeits- und disastertolerante
Konfigurationen• Lifetime Key Management™ System:
– automatisiertes, zentralisiertes Key Management für Archivierung und Disaster Recovery
• Kryptographisch signierte Log Dateien:– Überwachen und dokumentieren Datenzugriff und Administrationsänderungen
• Zertifizierung:– FIPS 140-2 Level 3, Common Criteria EAL 4+
IT-Symposium 2005
www.decus.de 8
Decru E-Series
NAS Infrastruktur - LösungNAS Infrastruktur - Risiko
Active Directory
Domänen Admin Fehler / Angriff•Benutzer Password Änderung•Group Memberships
Verlust / Diebstahl von Bändern
Fileserver Fehler / Angriff•Machine Admin Vollzugriff•Backup User Vollzugriff•Support and Service•Platten / Server Verlust /Diebstahl
Keine Prozeß / Tag / ZeitAuthentifizierung
Prozeß / Tag / Zeit Schloss;Applikationssignatur
Keine nicht authorisiertenÄnderungen
Verschlüsselte Bänder können sicher ausgelagert werden
Daten liegen verschlüsselt auf Platte -• Server Admin sieht verschl. Daten• Backup User sieht verschl. Daten• Support / Service sieht verschl. Daten• keine Gefahr bei Platten / Server Verlust
AES 256 Verschlüsselung
IPsec Verschlüsselung
IT-Symposium 2005
www.decus.de 9
Decru FC/ T-Series
SAN Infrastruktur - LösungSAN Infrastruktur – Risiko
Prozess und BenutzerAbsicherung
WWN und PasswortAuthentifizierung
AES 256 Verschlüsselun
VerschlüsselteTapes sind unbrauchbar
Switch Admin Fehler / Angriff
Keine Authentifizierung auf Benutzer / Applikationsebene
Platten Diebstahl / Reparatur
Storage Admin Fehler / Angriff
Tape Diebstahl / Verlust
WWN Spoofing
Plattensystem wird per LUN verschlüsselt -• Support / Service sieht verschlüsselte Daten• keine Gefahr bei Plattenverlust / -diebstahl• Admin Fehler / Angriff enthüllt nur verschl. Daten
IT-Symposium 2005
www.decus.de 10
FC switch FC switch
Server Server
Storage Storage
Headquarters DR Site/Outsource
Clear text
Clear text
Secure DR: Multiple Copies of Data
Tape System
Data Exposed
Data Exposed
Data Exposed
Data Exposed
ClearData
SecuredCipherText
CipherTextCipher
Text
Data Secured
Data Secured
DataFort DataFort
Data Secured
WANWAN
Decru: Bandverschlüsselung
geschützter Tape Backup
FC SWITCH
ungesicherter Tape Backup
Encrypted
Encrypted
CUSTOMER SSN AMTJohn Magnus 544-89-3021 $304.31Susan Wong 522-35-1105 $91.05Ken Hernandez 670-32-1145 $21.88Alicia Sparr 435-98-0498 $209.95M.J. Satyr 594-22-9038 $76.55Dan Spencer 543-09-3451 $413.03Mary Jones 495-38-8971 $90.74Jerome White 613-98-8932 $247.11Martin Ng 339-77-9201 $20.89Fay Dunlap 784-29-6290 $401.92Takeshi Doi 544-09-3193 $29.01Sarah Fisher 432-92-7105 $142.28Ingrid Parker 595-29-7406 $102.48
CUSTOMER SSN AMTJohn Magnus 544-89-3021 $304.31Susan Wong 522-35-1105 $91.05Ken Hernandez 670-32-1145 $21.88Alicia Sparr 435-98-0498 $209.95M.J. Satyr 594-22-9038 $76.55Dan Spencer 543-09-3451 $413.03Mary Jones 495-38-8971 $90.74Jerome White 613-98-8932 $247.11Martin Ng 339-77-9201 $20.89Fay Dunlap 784-29-6290 $401.92Takeshi Doi 544-09-3193 $29.01Sarah Fisher 432-92-7105 $142.28Ingrid Parker 595-29-7406 $102.48
DYHY^C^@^@^@~]<F2>^?z<B2>0 ^N<E4>q<91><CD>xl<CB>^A^@^@^@^\<84>1 <92><F6>^Cq<89><90><CF><9C><D9>1#<F6><8E><C1><CF><86><DA>B<EB><F7>A.\<AD><CF><F0><D2>-<CA><C3><DA><8E><F1><B7>^C^L<EE><E5><9E><A4><9E>_^W<CE><AD><BB>2<95>`<D3>E^Tl<8D><A7>^<CD><93><A6>/<F5><AC><DF>s<88><87>,<F3>"=<F2>:P;<F3><B1><9F><82><97>^Q<BA><ED>o<AF><C5><DF>u"6,Q^D<A7><B9>ol<87>\8<D3><B6><8D>k<9D><A8>)9^^A^Q)<F0><FE>-<C0><FB>^LI<82><DB><E0><C8><D9>a<8E>W<BB><88>q<CC><C0>+^B^\L<FA><DA><DD><E3><A5>O^O<D7>T7<9
DYHY^C^@^@^@~]<F2>^?z<B2>0 ^N<E4>q<91><CD>xl<CB>^A^@^@^@^\<84>1 <92><F6>^Cq<89><90><CF><9C><D9>1#<F6><8E><C1><CF><86><DA>B<EB><F7>A.\<AD><CF><F0><D2>-<CA><C3><DA><8E><F1><B7>^C^L<EE><E5><9E><A4><9E>_^W<CE><AD><BB>2<95>`<D3>E^Tl<8D><A7>^<CD><93><A6>/<F5><AC><DF>s<88><87>,<F3>"=<F2>:P;<F3><B1><9F><82><97>^Q<BA><ED>o<AF><C5><DF>u"6,Q^D<A7><B9>ol<87>\8<D3><B6><8D>k<9D><A8>)9^^A^Q)<F0><FE>-<C0><FB>^LI<82><DB><E0><C8><D9>a<8E>W<BB><88>q<CC><C0>+^B^\L<FA><DA><DD><E3><A5>O^O<D7>T7<9
FC SWITCH
Cleartext
Cleartext
Decru DataFort
IT-Symposium 2005
www.decus.de 11
Decru Client Security Module
Decru Client Security Module (DCS)Powerful Endpoint Security for Servers and Desktops
DETAILS• Unterstützt NAS, DAS, SAN, Tape, iSCSI• OS support: Windows, Linux, Solaris (1H’05)
• Optionale Komponente- minimiertManagement Kosten und Betriebsrisiko
• Unterstützt 2 Gbps FC, ohne jeglichePerformance Beeinflussung
• Eng an DataFort gekoppelt; sichere HW dient als “Rettungsangker”
DCS schützt Clients and Server mit Hilfe folgender Sicherheitsfeatures:• Granulare Policy Durchsetzung: Benutzer, Administrator, Applikation, Zeit,Tag,
Cryptainer • Applikations Whitelist: Security Administrator bestimmt freigegebene
Applikationen. Alle anderen Applikationen, Viren, Würmer, DLL’s und Hacker Tools sind blockiert
• Cryptographische Authentifizierung: Applikationen sind cryptograpisch signiertund Maschinen auf denen DCS läuft authentifizieren sich am DataFort und verhindern damit spoofing
IT-Symposium 2005
www.decus.de 12
Ungesicherte ApplikationsumgebungMögliche Risiken in rot
App/DB servers FC Switches SAN Storage DR Storage
Storage Admin, Hacker, oder physikalischer Zugang
Schädliche Programme(Würmer, Viren usw.)
WAN ReplikationFabric/Switch
Attacks
WWNSpoofing
Server SysAdmin “SU” Angriff
Netzwerk,IP Adressen Änderung
DBA Angriff
Traditionelle Datenbank Sicherheit (Spalte)Sicherheits Elemente in blau
ACLs, Authentication
Verschlüsselungauf Spaltenebene
App/DB servers FC Switches SAN Storage DR StoragePros•Verschlüsselung auf Spaltenebene schütztDaten von allenBenutzern inc. dbaCons• extrem langsam(Durchsatz, Latenz)
• Änderung an Appl.,DB sind erforderlich
•Keine Server Security Optionen (gegen Viren, Sysadmin..) •Kein Index auf verschlüsselte Spalten• Vergrösserung der Datenbank•Keine Kompression beiBackup
Out-of-bandencryption appliance
Verschlüsselungauf Spaltenebene
Verschlüsselungauf Spaltenebene
Daten werden auf Spalltenebeneverschlüsselt innerhalb der DB. Integrierte HSM Prozessoren oderexterne Appliances beschleunigen die Verschlüsselung.
IT-Symposium 2005
www.decus.de 13
Decru Secure Application EnvironmentSecurity Elemente in blau
DCS
DCS
Lifetime Key Mgmt
ACLs, Auth,Tamper-evident logs
AES-256PortLocking
AES-256
DCS Whitelists,Authentifizierung,
HW Integrität, Auditing
AES-256for data in flight
App/DB servers FC Switches &DataForts
SAN Storage DR StoragePros• Volle (2 Gbps)
Performance • Skalierbare Cluster•Transparent fürOS, Appl., DB
• Keine Appl. Änder-ungen
• Blockt Sysadmin• App-level authent,
ACLs, Integrität• zentrales Key Mgmt.• volle DB Funktionalität(indexing, calc…)
• Voller DR support
Cons• nur DBA Audit
Daten werden transparent und mit vollerNetzgeschwindigkeit verschlüsselt. KeinerleiÄnderungen an der DB oder Appl. notwendig
Decru Lifetime Key Management
IT-Symposium 2005
www.decus.de 14
Lifetime Key Management™
• DataFort verschlüsselt alle Keys, bevor sie den Storage Encryption Processor verlassen
• LKM automatisiert Backup/ Recovery und Archivierung von Verschlüsselungskeys
• LKM bietet zentrales Key Management für das gesamte Unternehmen• Recovery Smart Cards werden für das Wiederherstellen oder Klonen
eines DataForts benötigt: Quorum 2/5, 2/3 oder 3/5 Smart Cards
Sichere, automatisierte Key Management Infrastruktur
Secure
LKM
Secure
Secure
Secure
NAS
SANTape
Hochverfügbarkeit fürverschlüsselte Daten
Secure
Secure
Secure
• DataFort Clustering
• DataFort Cloning
• Software Recovery
IT-Symposium 2005
www.decus.de 15
DataFort: einfaches Management
• SchnelleInstallation
• Einzelnes GUI fürCluster-management
• CLI und Web-basierendesmanagement
• Wizard hilft beiKonfiguration der Sicherheits-parameter
• Monitoring via SNMP
• Auditing, Syslog
Zusammenfassung
IT-Symposium 2005
www.decus.de 16
Bedrohung und Gegenmassnahmen
CLIENTS/HOSTS
NAS
SAN
Tape
Platten Diebstahl/Reparatur, Entsorgung
Admin Zugriff
Band Verlust,Diebstahl
FIREWALL
Storage AdminZugriff
Port AddressSpoofing
SysAdminAngriff
WWN Ausspähen,Viren, Würmer,Hacker Tools
Host/UID Ausspähen
FabricAngriff
Network Sniffing
VPN/Partner Zugang
PRIMARYSTORAGE
AES-256 Encryption,Compartmentalization
Gestaffelte Abwehr,Storage VPN,
Sicheres Key Mgmt
DCSAES-256
Verschlüsselung
Storage VPN(IPsec/SSL)
FC SWITCH
NAS APPLIANCE/FILE SERVER
DATAFORT E-SERIES
DATAFORT FC-SERIES
AES-256 Verschlüsselung,Compartmentalization
Host Authentifizierung,User/Appl. Llevel
ACLs,HW-basierende
IntegritätHost
AuthentifizierungPort Abriegelung
DirectoryAngriff
Stufenweiser ZugriffKontroller, Applikations
Signierung
DCS
DCS
TAPESECONDARY
STORAGE
About Decru
• Gegründet 2001 mit dem Ziel das Problem der Speichersicherheit zu lösen
• HQ in Kalifornien mit Niederlassungen in London, München, Berlin und Amsterdam
• Gut finanziert von namhaften Investoren: mehr als 45 m $ Kapital
– NEA, Benchmark, Greylock
• Geführt durch erfahrenes und erfolgreichesManagement Team
• Nachgewiesene Implementationen bei:– Finanzdiensleistern, Regierung, Militär und
kommerziellen Unternehmen -> weltweit “Top 10.”
“12 Hot Startups”
Nominated: “Best EnterpriseSecurity Product”
IT-Symposium 2005
www.decus.de 17
Vielen Dank
top related