module 14aad.tpu.ru/practice/emc/module 14 adapt.pdf · 2015. 5. 26. · Управление...
TRANSCRIPT
EMC Proven Professional. Copyright © 2012 EMC Corporation. All Rights Reserved.
MODULE – 14
БЕЗОПАСНОСТЬ
ИНФРАСТРУКТУРЫ
ХРАНЕНИЯ - SECURING THE STORAGE INFRASTRUCTURE
Module 14: Securing the Storage Infrastructure 1
EMC Proven Professional. Copyright © 2012 EMC Corporation. All Rights Reserved.
После завершения этого модуля, вы должны быть в состоянии :
• Описывать основы информационной безопасности
• Объяснять различные области безопасности хранения
• Обсуждать реализации безопасности в SAN, NAS, иIP SAN
• Объяснять безопасность в виртуализированных и облачных средах
Module 14: Securing the Storage Infrastructure 2
Module 14: Безопасность инфраструктуры
хранения
EMC Proven Professional. Copyright © 2012 EMC Corporation. All Rights Reserved.
Module 14: Безопасность
инфраструктуры хранения
Во время этого занятия рассматриваются следующие темы :
• Построение структуры информационной безопасности
• Триада рисков
• Элементы защиты
• Контроль безопасности
Занятие1: Структура информационной безопасности
Module 14: Securing the Storage Infrastructure 3
EMC Proven Professional. Copyright © 2012 EMC Corporation. All Rights Reserved.
Безопасность хранения • Процесс применения принципов информационной
безопасности и практики в области технологий сетевого хранения данных
• Безопасность хранения фокусируется на безопасности доступа к информации с применением защитных мер или элементов управления
• Безопасность хранения начинается с построения ‘структуры информационной безопасности’
Storage
Security
Networking
Information
4 Module 14: Securing the Storage Infrastructure
EMC Proven Professional. Copyright © 2012 EMC Corporation. All Rights Reserved.
Структура информационной безопасности
• Систематический способ определения требований безопасности
• Структура должна включать в себя:
Ожидаемые атаки на систему безопасности
Действия, которые могут нарушить безопасность информации
Меры безопасности
Управление, предназначенное для защиты от этих атак
• Структура безопасности строится на достижение четырех целей безопасности:
Конфиденциальность (Confidentiality)
Целостность (Integrity)
Доступность (Availability)
Подотчетность(Accountability)
• Инфраструктура безопасности начинается с понимания риска
5 Module 14: Securing the Storage Infrastructure
EMC Proven Professional. Copyright © 2012 EMC Corporation. All Rights Reserved.
Триада рисков
• Определяет риск в терминах угрозы, активов и уязвимости
Module 14: Securing the Storage Infrastructure 6
Риск Угрозы
Уязвимости
Активы
Триада риска
Жел
ани
е п
ол
учи
ть д
оступ и
/ил
и и
зме
ни
ть
Агент угрозы
Угроза
Уязвимость
Актив
Риск Владелец
Приводит
Который использует
Приводящую к
To
Контрмеры Вызывает
Для сокращения
Ценность
EMC Proven Professional. Copyright © 2012 EMC Corporation. All Rights Reserved.
Активы
• “Информация” наиболее важный актив организации
Прочие активы включают в себя оборудование, программное обеспечение и сетевую инфраструктуру
• Защита активов является основной заботой
• Вопросы безопасности
Должны обеспечить легкий доступ к активам для авторизованных пользователей
Стоимость безопасности активов должна быть частью стоимости активов
Затрудняет для потенциальных злоумышленникам получить доступ и поставить под угрозу активы
Следует повысить стоимость для потенциального злоумышленника в денежном выражении, усилиях и времени
7 Module 14: Securing the Storage Infrastructure
EMC Proven Professional. Copyright © 2012 EMC Corporation. All Rights Reserved.
Угрозы
• Потенциальные атаки, которые могут быть проведены на ИТ-инфраструктуру
• Атаки могут быть классифицированы на пассивные и активные
Пассивные атаки
Попытка получить неавторизованный доступ в систему
Попытка, представляющая угрозу для конфиденциальности информации
Активные атаки
Попытки изменить данные, отказ в обслуживании(DoS), и отказ доступа к информации
Попытка угрозы целостности данных, доступности и подотчетности
8 Module 14: Securing the Storage Infrastructure
EMC Proven Professional. Copyright © 2012 EMC Corporation. All Rights Reserved.
Уязвимости
• Пути, которые обеспечивают доступ к информации, являются уязвимыми для потенциальных атак
• Требует реализации «глубокой защиты»
• Факторы, которые следует учитывать, при оценке степени уязвимости среды: Область атаки - Attack surface
Вектора атаки - attack vector
Показатель трудозатрат - work factorare
• Управление уязвимостями Минимизация области атаки и максимизация показателя
трудозатрат
Установка мероприятий (или контрмеры)
9 Module 14: Securing the Storage Infrastructure
EMC Proven Professional. Copyright © 2012 EMC Corporation. All Rights Reserved.
Уязвимости
• Пути, которые обеспечивают доступ к информации, являются уязвимыми для потенциальных атак
• Требует реализации «глубокой защиты»
• Факторы, которые следует учитывать, при оценке степени уязвимости среды: Область атаки
Вектора атаки
Показатель трудозатрат
• Управление уязвимостями Минимизация области атаки и максимизация показателя
трудозатрат
Установка мероприятий (или контрмеры)
10 Module 14: Securing the Storage Infrastructure
EMC Proven Professional. Copyright © 2012 EMC Corporation. All Rights Reserved.
Меры безопасности
• Уменьшает воздействие уязвимостей
• Любые мероприятия должны задействовать все три аспекта инфраструктуры
Люди, процессы и технологии
• Мероприятия могут быть технические или нетехнические
Технические: антивирус, брандмауэры и системы обнаружения вторжений
Нетехнические: административные политики и физический контроль
• Мероприятия классифицируется на:
Профилактические
Исправительные - корректирующие
Расследование - детективные
11 Module 14: Securing the Storage Infrastructure
EMC Proven Professional. Copyright © 2012 EMC Corporation. All Rights Reserved.
Меры безопасности
• Уменьшает воздействие уязвимостей
• Любые мероприятия должны задействовать все три аспекта инфраструктуры
Люди, процессы и технологии
• Мероприятия могут быть технические или нетехнические
Технические: антивирус, брандмауэры и системы обнаружения вторжений
Нетехнические: административные политики и физический контроль
• Мероприятия классифицируется на:
Профилактические
Исправительные - корректирующие
Расследование - детективные
12 Module 14: Securing the Storage Infrastructure
EMC Proven Professional. Copyright © 2012 EMC Corporation. All Rights Reserved.
Во время этого занятия рассматриваются следующие темы :
• Области безопасности системы хранения
• Угрозы безопасности в каждой области
• Применяемые мероприятия для снижения риска в каждой области
Lesson 2: Области безопасности хранения
Module 14: Securing the Storage Infrastructure 13
Module 14: Безопасность
инфраструктуры хранения
EMC Proven Professional. Copyright © 2012 EMC Corporation. All Rights Reserved.
Области безопасности системы хранения
Внешняя память
Резервирование,
восстановление и
архивация Доступ к
приложению
Хранилище данных
Доступ к
управлению
Сеть
хранения
14 Module 14: Securing the Storage Infrastructure
EMC Proven Professional. Copyright © 2012 EMC Corporation. All Rights Reserved.
Области безопасности хранения
• Подключение устройства к сети повышает уровень риска и более подвержены угрозам безопасности по сетям.
Устройства хранения данных стали в значительной степени подвергаться угрозам безопасности из различных источников.
Конкретные меры контроля должны быть реализованы для обеспечения среды сетей хранения.
Мы должны понимать, пути доступа, ведущие в хранилище ресурсов.
Пути доступа к хранению данных можно разделить на три области безопасности :
Доступ к приложению,
Доступ к управлению,
резервное копирование, репликации и архивирование.
15 Module 14: Securing the Storage Infrastructure
EMC Proven Professional. Copyright © 2012 EMC Corporation. All Rights Reserved.
Области безопасности хранения (продолжение)
• Подключение устройства к сети …
Пути доступа
Если конкретный путь является неавторизованным и должен быть запрещен на техническом уровне, убедитесь, что эти элементы управления не будет нарушены
Компоненты хранилища
Если каждый компонент в сети хранения данных считается потенциальной точкой доступа, область атаки на все эти точки доступа должны быть проанализированы с целью выявления соответствующих уязвимостей.
16 Module 14: Securing the Storage Infrastructure
EMC Proven Professional. Copyright © 2012 EMC Corporation. All Rights Reserved.
Области безопасности хранения (продолжение)
• Три области безопасности среды системы хранения.
Доступ к приложению для сохраненных данных через сеть хранения данных.
Доступ к управлению хранилища и соединительным устройствам и к данным, хранящимся на этих устройствах.
Эта область в первую очередь доступна администраторам хранилища, которые конфигурируют и управляют средой.
Доступ к резервному копированию, репликации и к архивам.
Наряду с точками доступа в эту область, среда резервного копирования также должны быть защищены.
17 Module 14: Securing the Storage Infrastructure
EMC Proven Professional. Copyright © 2012 EMC Corporation. All Rights Reserved.
Домены безопасности хранения (продолжение)
• Для защиты среды сетей хранения данных,
определить существующие угрозы внутри каждой из областей безопасности и
классифицировать угрозы на основе вида безопасности услуг:
доступность,
конфиденциальность,
целостность, и
утчетность.
• Следующий шаг состоит в выборе и реализации различных элементов управления в качестве контрмер на угрозы.
18 Module 14: Securing the Storage Infrastructure
EMC Proven Professional. Copyright © 2012 EMC Corporation. All Rights Reserved.
Безопасность области доступа к приложению:
• Защита данных и доступа к данным
Общие угрозы Доступный контроль Примеры
• Подмена идентичности
пользователя или хоста
• Повышение привилегий
• Неумелое обращение с
данными при передаче и
в состоянии покоя
• Перехват сетевых
пакетов
• Отказ в обслуживании
• Кражи носителей данных
• Строгая
аутентификация
пользователя и хоста
и авторизации
• Контроль доступа к
объектам хранения
• Шифрование данных
• Шифрование сети
хранения данных
• Многофакторная
аутентификация
• RBAC, DH-CHAP
• Зонирование,
маскирование LUN
• Шифрование
хранилища
• IP-Sec, FC security
protocol
• Антивирус
• Контроль
физического доступа
в ЦОД
19 Module 14: Securing the Storage Infrastructure
EMC Proven Professional. Copyright © 2012 EMC Corporation. All Rights Reserved.
Безопасность области доступа к приложению:
• Защита данных и доступа к данным
Общие угрозы Доступный контроль Примеры
• Подмена идентичности
пользователя или хоста
• Повышение привилегий
• Неумелое обращение с
данными при передаче и
в состоянии покоя
• Перехват сетевых
пакетов
• Отказ в обслуживании
• Кражи носителей данных
• Строгая
аутентификация
пользователя и хоста
и авторизации
• Контроль доступа к
объектам хранения
• Шифрование данных
• Шифрование сети
хранения данных
• Многофакторная
аутентификация
• RBAC, DH-CHAP
• Зонирование,
маскирование LUN
• Шифрование
хранилища
• IP-Sec, FC security
protocol
• Антивирус
• Контроль
физического доступа
в ЦОД
20 Module 14: Securing the Storage Infrastructure
EMC Proven Professional. Copyright © 2012 EMC Corporation. All Rights Reserved.
Безопасность области доступа к приложениям
• Контроль доступа пользователей.
Мы должны устранить угрозы подмены личности пользователя и повышения их привилегий.
Обе эти угрозы воздействуют на целостность данных и конфиденциальность.
Следующие механизмы контроля доступа к приложениям используются в области доступа к приложениям:
Аутентификация пользователя и хоста (технический контроль)
Авторизация (административный контроль).
21 Module 14: Securing the Storage Infrastructure
EMC Proven Professional. Copyright © 2012 EMC Corporation. All Rights Reserved.
Безопасность области доступа к приложению
• Контроль доступа пользователей …
Эти механизмы часто находятся за пределами границ сети хранения данных и требуют различных систем для соединения с другими корпоративными системами управления идентификационными данными и систем аутентификации.
Устройства NAS поддерживают создание списков контроля доступа, регулирующими доступ пользователей к определенным файлам.
Управление корпоративной информацией (Enterprise Content Management ) приложений обеспечивает доступ к данным с помощью управления правами доступа к данным (Information Rights Management - IRM), которая определяет, какие пользователи имеют право на документ.
22 Module 14: Securing the Storage Infrastructure
EMC Proven Professional. Copyright © 2012 EMC Corporation. All Rights Reserved.
Безопасность области доступа к приложению
• Ограничение доступа на уровне хоста начинается с аутентификации узла, когда он пытается подключиться к сети.
Различные сетевые технологии хранения, такие как iSCSI, FC, и хранение на основе IP (IP-based storage), используют различные механизмы аутентификации, такие как:
Challenge-Handshake Authentication Protocol (CHAP),
Fibre Channel Security Protocol (FC-SP), и
IPSec, соответственно, для аутентификации доступа хоста.
23 Module 14: Securing the Storage Infrastructure
EMC Proven Professional. Copyright © 2012 EMC Corporation. All Rights Reserved.
Безопасность области доступа к приложению
• После того как хост был аутентифицирован,
Следующим шагом является определение контроля безопасности хранения ресурсов, таких как порты, тома или пулы хранения, доступ для которых авторизован хосту
Zoning является механизмом контроля коммутаторы, которые сегментируют сеть на определенные пути , используемые для передачи данных;
LUN masking определяет какие хосты могут иметь доступ к каким устройствам хранения.
24 Module 14: Securing the Storage Infrastructure
EMC Proven Professional. Copyright © 2012 EMC Corporation. All Rights Reserved.
Безопасность области управления доступом
• Включает в себя защиту административного доступа и управление инфраструктурой
• Общие угрозы
Подмена идентификатора администратора
Повышение привилегий администратора
Слежка сетями и DoS
• Доступные средства контроля
Аутентификация, авторизация и контроля управления доступом
Частная сеть управления
Отключение ненужных служб сети
Шифрование трафика управления
25 Module 14: Securing the Storage Infrastructure
EMC Proven Professional. Copyright © 2012 EMC Corporation. All Rights Reserved.
Безопасность области управления доступом
• Включает в себя защиту административного доступа и управление инфраструктурой
• Общие угрозы
Подмена идентификатора администратора
Повышение привилегий администратора
Слежка сетями и DoS
• Доступные средства контроля
Аутентификация, авторизация и контроля управления доступом
Частная сеть управления
Отключение ненужных служб сети
Шифрование трафика управления
26 Module 14: Securing the Storage Infrastructure
EMC Proven Professional. Copyright © 2012 EMC Corporation. All Rights Reserved.
Безопасность в области резервного копирования,
репликации и архивирования
• Включает в себя защиту инфраструктуры резервного копирования, репликации и архивирования
• Общие угрозы
Подмена disaster recovery (DR ) идентификатора сайта
Неумелое обращение с данными при передаче и в состоянии покоя
Перехват сетевых пакетов
• Возможные средства контроля
Контроль доступа – первичной и вторичной памяти
Шифрование резервных данных
Шифрования сети репликации
27 Module 14: Securing the Storage Infrastructure
EMC Proven Professional. Copyright © 2012 EMC Corporation. All Rights Reserved.
Во время этого занятия рассматриваются следующие темы :
• Реализации безопасности SAN
• Реализации безопасности NAS
• Реализации безопасности IP SAN
Lesson 3: Реализация безопасности в сетях хранения
Module 14: Securing the Storage Infrastructure 28
Module 14: Безопасность
инфраструктуры системы хранения
EMC Proven Professional. Copyright © 2012 EMC Corporation. All Rights Reserved.
Реализации безопасности в SAN
• Общий механизм безопасности SAN состоит:
Зонирование и маскирование LUN (masking and zoning)
Безопасность портов коммутатора FC
Контроль доступа Switch-wide и fabric-wide
Логическое разделение фабрики (fabric): VSAN
29 Module 14: Securing the Storage Infrastructure
EMC Proven Professional. Copyright © 2012 EMC Corporation. All Rights Reserved.
Безопасность портов FC коммутатора
• Связывание портов
Ограничивает устройства, которые можно присоединяться к определенному порту коммутатора
Позволяет только соответствующему порту коммутатора подключаться к узлу для доступа фабрики
• Блокировка и разблокировка портов (lockdown и lockout)
Ограничивает тип инициализации портов коммутатора
• Постоянное отключение порта
Предотвращает порт коммутатора от включения даже после перезагрузки коммутатора
30 Module 14: Securing the Storage Infrastructure
EMC Proven Professional. Copyright © 2012 EMC Corporation. All Rights Reserved.
Контроль доступа Switch-wide и Fabric-wide • Списки контроля доступа (access control lists - ACLs)
Включает управление политиками соединения устройств и соединения коммутаторов
Политика управления подключением устройств определяет какие адаптеры HBA, порты хранилищ могут подключаться к определенному коммутатору
Политика управления подключением коммутатора предотвращает неавторизованное подключение коммутаторов к определенным коммутаторам
• Связывание Fabric
Предотвращает неавторизованное подключение коммутаторов от присоединения фабрике
• Контроль доступа на основе ролей Role-based access control (RBAC)
Позволяет назначение ролей пользователям, которым явно назначены права доступа
31 Module 14: Securing the Storage Infrastructure
EMC Proven Professional. Copyright © 2012 EMC Corporation. All Rights Reserved.
• Позволяет создавать несколько логических SAN на базе общей физической SAN
• События фабрики в одной VSAN не распространяются на другие
• Зонирование должны быть настроены для каждой VSAN
Логическое разделение фабрики: VSAN
VSAN 20 HR
VSAN 10 Engineering
Storage Array
Storage Array
Hosts Hosts
Host
FC Switch
FC Switch
32 Module 14: Securing the Storage Infrastructure
EMC Proven Professional. Copyright © 2012 EMC Corporation. All Rights Reserved.
Архитектура безопасности SAN : Обороны в
глубину (Defense-in-Depth)
Security Zone D Host - Switch
Security Zone G Switch - Storage
WAN
Security Zone F Distance Extension
LAN
Security Zone C Access Control - Switch
Firewall
Security Zone B
Security Zone E
Switch - Switch/Router
Security Zone A Administrator
33 Module 14: Securing the Storage Infrastructure
EMC Proven Professional. Copyright © 2012 EMC Corporation. All Rights Reserved.
Архитектура безопасности SAN : Обороны в
глубину (Defense-in-Depth)
Security Zone D Host - Switch
Security Zone G Switch - Storage
WAN
Security Zone F Distance Extension
LAN
Security Zone C Access Control - Switch
Firewall
Security Zone B
Security Zone E
Switch - Switch/Router
Security Zone A Administrator
34 Module 14: Securing the Storage Infrastructure
EMC Proven Professional. Copyright © 2012 EMC Corporation. All Rights Reserved.
Реализации безопасности в NAS
• Разрешения и ACLs
Защита ресурсов NAS путем ограничения доступа
• Другие механизмы аутентификации и авторизации
Kerberos и сервисы Directory
Реализуется для проверки личности пользователей сети и определения их прав
Firewalls
Для защиты инфраструктуры хранения данных от несанкционированного доступа и вредоносных атак
35 Module 14: Securing the Storage Infrastructure
EMC Proven Professional. Copyright © 2012 EMC Corporation. All Rights Reserved.
Общий доступ к файлам NAS : Windows ACL
• Типы ACLs
Дискреционные списки контроля доступа (DACL)
Обычно называется ACL и используется для определения контроля доступа
Системные списки контроля доступа (SACL)
Определяет какие потребности доступа, подлежащих аудиту если включен аудит
• Владелец объекта
Владелец объекта имеет строго заданные разрешения на этот объект
Дочерние объекты родительского объекта автоматически наследует ACL из родительского объекта
• Идентификаторы безопасности - Security identifiers (SIDs)
SIDs уникально идентифицирует пользователя или группу пользователей
ACLs используют SIDs для контроля доступа к объектам 36 Module 14: Securing the Storage Infrastructure
EMC Proven Professional. Copyright © 2012 EMC Corporation. All Rights Reserved.
Общий доступ к файлам NAS :разрешения UNIX
• Разрешения UNIX определяют что может быть сделано с файлом и кем Общие разрешения: Read/Write/Execute
• Каждый файл и подкаталог (фолдер) имеет три отношения собственности: Права собственника файла
Права для группы, которой он принадлежит
Права для всех других пользователей
Module 14: Securing the Storage Infrastructure 37
rwxr-xr-х “d"
"l"
EMC Proven Professional. Copyright © 2012 EMC Corporation. All Rights Reserved.
Аутентификация и авторизация
Windows Authentication
Windows Domain Controller/ Active Directory
UNIX Authentication
NIS Server
UNIX object -rwxrwxrwx
Windows object ACL
SID abc deny write SID xyz allow write
Authorization
User SID - abc
UNIX Client
Windows Client
User root
NAS Device
Validate permissions with NIS or
Domain Controller
38 Module 14: Securing the Storage Infrastructure
EMC Proven Professional. Copyright © 2012 EMC Corporation. All Rights Reserved.
Kerberos – Сетевой протокол аутентификации
• Использует шифрование с секретным ключом
• Клиент может доказать свою идентичность серверу (и наоборот) через незащищенное сетевое соединение
• Клиент Kerberos
Сущность, которая получает билет обслуживания для службы Kerberos
• Сервер Kerberos
Обращается к Центр распределения ключей Key Distribution Center (KDC)
Реализует обслуживание аутентификации (Authentication Service - AS) и сервис выдачи билетов (Ticket Granting Service - TGS)
39 Module 14: Securing the Storage Infrastructure
EMC Proven Professional. Copyright © 2012 EMC Corporation. All Rights Reserved.
Аутентификация Kerberos
Windows Client
KDC
ID Proof (1)
TGT + Server name (3) TGT (2)
KerbC (KerbS TKT) (5)
Active
Directory
(4)
NAS Device
Keytab (7)
40 Module 14: Securing the Storage Infrastructure
EMC Proven Professional. Copyright © 2012 EMC Corporation. All Rights Reserved.
Брандмауэры сетевого уровня Network Layer Firewalls) • Firewalls реализуются в среде NAS
Для защиты от угроз безопасности в IP-сети
Для проверки сетевых пакетов и сравнения их с набором настроенных правил безопасности
Пакеты, которые не авторизуются правилами безопасности, отбрасываются
• Демилитаризованная зона (Demilitarized Zone - DMZ)
Для обеспечения безопасности внутренних активов при разрешенном интернет-доступе к различным ресурсам
Internal Network
Сервер приложений
Демилитаризованная зона(DMZ)
External Network
41 Module 14: Securing the Storage Infrastructure
EMC Proven Professional. Copyright © 2012 EMC Corporation. All Rights Reserved.
Реализации безопасности в IP SAN: CHAP
• Challenge-Handshake Authentication Protocol (CHAP)
Предоставляет для инициаторов и конечных объектов метод аутентификации друг друга, используя секретный код
Initiator
Host
Target
iSCSI
Storage Array
1. Инициирует login в target
2. CHAP вызов отправляется в initiator
3. Принимает общий секрет и вычисляет величину с использованием односторонней хэш-функции
4. Возвращает значение хэш-функции в target
5. Вычисляет ожидаемое значение хэш –функции от общего секрета и сравнивает значение полученное от initiator
6. Если значения совпадают, аутентификация признается
42 Module 14: Securing the Storage Infrastructure
EMC Proven Professional. Copyright © 2012 EMC Corporation. All Rights Reserved.
Безопасность IPSAN с доменами Discovery iSNS
Management Platform
Host A
Host B Host C
Device A
Device B iSNS может быть частью
сети или станцией управления
Два
Discovery
Домена
IP SAN
43 Module 14: Securing the Storage Infrastructure
EMC Proven Professional. Copyright © 2012 EMC Corporation. All Rights Reserved.
Во время этого занятия рассматриваются следующие темы :
• Проблемы безопасности
• Мероприятия безопасности
Lesson 4: Безопасность в виртуальных и облачных средах
Module 14: Securing the Storage Infrastructure 44
Module 14: Безопасность
инфраструктуры хранения
EMC Proven Professional. Copyright © 2012 EMC Corporation. All Rights Reserved.
Безопасность в виртуальных и облачных средах
• Эти среды имеют дополнительные угрозы из-за мультиарендности и недостаточно контроля над ресурсами облака
• Виртуализация конкретных проблем в области безопасности являются заботой для всех облачных моделей
• В публичных облаках существуют дополнительные проблемы безопасности, которые требуют конкретных контрмер
Клиенты имеют меньше контроля для обеспечения соблюдения мер безопасности в общественных облаках
Имеются трудности для потребителей и провайдеров облачных услуг (cloud service providers - CSP) для удовлетворения потребностей в области безопасности всех клиентов
Module 14: Securing the Storage Infrastructure 45
EMC Proven Professional. Copyright © 2012 EMC Corporation. All Rights Reserved.
Проблемы безопасности
• Мультиарендность
Позволяет нескольким независимым арендаторам обслуживаться с использованием того же набора ресурсов хранения
Совместное размещение нескольких виртуальных машин на одном сервере и совместное использование ресурсов увеличивают возможности атак
• Скорость атаки
Любые существующие угрозы безопасности в облаке распространяется быстрее и имеет большее влияние, чем в традиционных центров обработки данных
• Data privacy Обеспечение информации и конфиденциальности данных (Personally Identifiable Information - PII юридически защищены от разглашения)
• Information assurance - конфиденциальность, целостность и доступность данных в облаке
46 Module 14: Securing the Storage Infrastructure
EMC Proven Professional. Copyright © 2012 EMC Corporation. All Rights Reserved.
Меры безопасности
• Обеспечение безопасности вычислений
Безопасность физического сервера, VMs и гипервизора
• Обеспечение сетевой безопасности
Виртуальный брандмауэр
Обеспечивает фильтрацию пакетов и мониторинга трафика VM-на-VM
DMZ и шифрование данных
• Обеспечение безопасности хранения
Контроль доступа и шифрования данных
Использовать отдельные LUN для файлов конфигураций VM и данных VM
Отделять трафик VM от трафика управления
47 Module 14: Securing the Storage Infrastructure
EMC Proven Professional. Copyright © 2012 EMC Corporation. All Rights Reserved.
• Продукты безопасности RSA
• VMware vShield
Концепции на практике
Module 14: Securing the Storage Infrastructure 49
Module 14: Обеспечение
безопасности инфраструктуры
хранения данных
EMC Proven Professional. Copyright © 2012 EMC Corporation. All Rights Reserved.
Продукты безопасности RSA
• RSA SecureID
Обеспечивает двухфакторную аутентификацию
Основывается на чем-либо, что пользователь знает (пароль или PIN-код) и что имеется у пользователя (устройство аутентификации)
Устройство аутентификации автоматически меняет пароли каждые 60 секунд
• RSA Identity и Access Management
Обеспечивает идентичность, безопасность и контроль доступа для управления в физических, виртуальных и облачных средах
• RSA Data Protection Manager
Позволяет развертывание шифрования, токенизацию, а также корпоративное управление ключами
50 Module 14: Securing the Storage Infrastructure
EMC Proven Professional. Copyright © 2012 EMC Corporation. All Rights Reserved.
VMware vShield
• Семейство VMware vShield включает три продукта
vShield App
Решение брандмауэра на основе гипервизора по защите конкретных приложений
Наблюдает за сетевой активностью между виртуальными машинами
vShield Edge
Обеспечивает комплексную защиту периметра сети
Развернутое в виде виртуального устройства и служит в качестве шлюза безопасности сети для всех хостов
Предоставляет множество услуг, включая межсетевой экран, VPN и DHCP
vShield Endpoint
Состоит из усиленной специальной VM безопасности с антивирусным программным обеспечением стороннего производителя
51 Module 14: Securing the Storage Infrastructure
EMC Proven Professional. Copyright © 2012 EMC Corporation. All Rights Reserved.
Module 14: Резюме
Основные вопросы, затронутые в этом модуле :
• Структура информационной безопасности
• Области безопасности хранения
• Средства управления, которые могут быть развернуты в отношении выявленных угроз в каждой области
• Архитектура безопасности SAN
• Механизмы защиты в средах SAN, NAS и IP SAN environments
• Безопасность в виртуализированных и облачных средах
52 Module 14: Securing the Storage Infrastructure
EMC Proven Professional. Copyright © 2012 EMC Corporation. All Rights Reserved.
Проверьте ваши знания – 1
• Какая атака предполагает выполнения действия и устранения доказательств, которые могли доказать идентичность атакующего?
A. Отказ в обслуживании -Denial of service
B. Подслушивание - Eavesdropping
C. Отречение - Repudiation
D. Перехват - Snooping
• Какова роль Active Directory в аутентификации Kerberos?
A. Реализует сервис аутентификации и билет предоставления услуги
B. Проверяет идентификатор сессии, когда устанавливается клиент-серверная сессия
C. Проверяет информацию пользователя для входа
D. Поддерживает ключ безопасности для серверов
53 Module 14: Securing the Storage Infrastructure
EMC Proven Professional. Copyright © 2012 EMC Corporation. All Rights Reserved.
Проверьте ваши знания – 2
• Как уязвимость может быть уменьшена в ИТ-среде?
A. Максимизируя область атаки и минимизируя фактор трудозатрат
B. Минимизируя область атаки и максимизируя фактор трудозатрат
C. Максимизируя как область атаки так и фактор трудозатрат
D. Минимизируя как область атаки так и фактор трудозатрат
• Какой механизм безопасности SAN предотвращает доступность порта коммутатора от того включен даже после перезагрузки коммутатора?
A. Блокировка порта - Port lockdown
B. Постоянное отключение порта - Persistent port disable
C. Связывание порта - Port binding
D. Зонирование порта - Port zoning
54 Module 14: Securing the Storage Infrastructure
EMC Proven Professional. Copyright © 2012 EMC Corporation. All Rights Reserved.
Проверьте ваши знания – 3
• Какой механизм безопасности гарантирует, что порт может быть инициализирован только с определенным типом порта?
A. Блокировка порта - Port lockdown
B. Постоянное отключение порта - Persistent port disable
C. Связывание порта - Port binding
D. Зонирование порта - Port zoning
55 Module 14: Securing the Storage Infrastructure