觀點

你的儲存設備安全嗎?

2006 / 04 / 18
W. CURTIS PRESTON
你的儲存設備安全嗎?

民眾之所以會知悉這些事情,是因為加州資料隱私法案「California Database Security Breach Notification Act (SB 1386)」,該法案規定當發生個人資料外洩事件時必須公開受害報告。由於這類法案的要求,加上許多企業本身的儲存與備份設備缺乏安全機制,讓這些執行資料儲存、備份的單位,可能就是讓你的公司成為下一個負面媒體焦點的罪魁禍首。
儲存網路(storage networks)不僅僅是駭客的另一個攻擊點,儲存設備、網路備份與復原設備的網路也是企業資料的必經路線。駭客如果能直接由這些地方取得機密資料,他何需再費力去入侵伺服器—儲存設備已是駭客的重要目標。在本文中,我們將會探討一些儲存與備份設備的問題,並介紹目前有哪些技術或做法,可協助企業強化這些設備的安全性,以確保企業資訊安全。
教育與訓練
首先,向這些儲存、備份設備的管理人員進行宣導,讓他們知道安全也是他們責任之一。網管人員了解防火牆對網路的重要性、UNIX管理人員了解關掉Telnet與FTP服務來確保伺服器安全性。但是企業中的資料儲存與備份人員,也許還沒意識到,這些儲存設備的安全,也跟他們的備份工作一樣重要。這些人員懂得如何定期備份資料、懂得如何設定各類型的磁碟陣列,但是他們可能不了解怎麼保護這些備份資料與磁碟陣列不被駭客入侵。或者說,他們的工作本來就不含怎麼抵禦入侵行為。這並不是責怪這些資訊儲存人員,資訊儲存產業跟其他產業比起來,仍在起步階段;目前一個專業的資訊儲存、系統備份人員的資歷可能少於10年,更別說多數企業並沒有聘請專門的資訊儲存人員。另外,由於儲存設備常有許多安裝、設定、連接、可靠度、效能上的問題,讓這些人員每天疲於解決這些事情,遑論花時間來學習安全相關的知識。他們能盡力不讓企業資料出問題就已經很了不起了。

資料保護法案是動力之一
現在像是SB 1386這類的法案,要求資訊外洩必須將此狀況告知客戶;這使得企業不得不開始重視儲存設備的安全問題。SB 1386法案要求擁有加州客戶的公司,若發生個人資料(像是社會安全號碼、姓名等資訊)外洩事件時,必須通知客戶此一狀況。如果有證據顯示,駭客侵入你的網路並且存取客戶個人資料時,或是存有客戶資料的備份磁帶遺失或被竊,你得將此狀況告知美國加州客戶。如果你無法「在合理的時間內」告知這些客戶,你必須告知媒體並將此消息放置在公司首頁。在美國至少有17州也建立了類似的法案,有些甚至是聯邦法。
除了有這些法條來保障個人資料,還有其他許多規章來保障相關的資訊,像是醫療紀錄、金融交易資料等。雖然細節不同,但是整體來說大同小異,在處理這些資訊時,必須做到下列事項:
◎要定期存取檢視這些儲存資訊,不管是發生災害或其他事件。 ◎確認這些資訊並沒有遭到竄改。 ◎確認僅有授權的人員存取這些資訊。
因此任何受這些法條(像是HIPAA、SOX)規範的公司必須確認所保護的資料有適當的保障,簡單的說,這些公司的備份措施必須確實、內外部網路不能被入侵。一旦沒有符合規定,將受到處罰並公佈,根據公司規模與所發生事件的種類來決定標準,而罰金可能達到上百萬。

找出問題並解決
當你告知儲存設備管理人員,要開始認真的考慮安全這檔事時,首先你得告訴他們,設備若無「認證(authentication)」與「授權(authorization)」機制會有多大的風險,就如同明文傳輸並不安全是一樣的道理,接著,協助他們了解設備上可能存在的問題。
◎外部管理通道(out-of-band)未加密。 ◎內部通訊通道(in-band)未加密。 ◎在Unix NFS或Windows CIFS使用主機名稱認證(Hostname-based authentication)。 ◎NFS/CIFS傳輸路徑未加密。 ◎採用World Wide Name認證模式。 ◎Soft zoning的問題。 ◎備份磁帶未加密的風險。 ◎備份主機上使用主機名稱認證的風險。 ◎備份管理者的權限與認證問題。
我們稱在儲存網路中的通訊為in-band(像伺服器與儲存設備之間傳遞資訊的通訊),而在儲存網路外的通訊稱為out-of-band(像管理人員從另外一個IP管理網路來管理儲存設備的動作)。一直以來,這兩種通訊都以明文傳輸,如果有人得以監聽in-band通訊封包,他就可以竊取到這些隱私資訊,或是在裡面找出相關的密碼資料來進行下一波攻擊。而如果他可以竊聽到out-of-band的傳遞資訊,他可能可以控制儲存網路,進而有機會存取這些儲存資料,或是造成儲存網路無法運作。
解決這問題的方法便是使用加密通訊,越來越多廠商在out-of-band通訊上,使用安全加密通訊(像是SSH、HTTPS)。而在in-band部分,也都有點對點(host-to-host)加密方式或硬體式的加密設備來協助。點對點加密能保證資料一送出主機便進行加密,但由於軟體式加密速度較慢,也較耗費CPU資源,可能會讓傳輸速率掉個5成。另一類選擇是使用硬體加密設備,可以裝置在儲存網路中,在資料存進設備前便進行加密。讓駭客在竊取實體設備後,無法讀取敏感資訊。
另外一種問題是使用NFS或CIFS協定。 NFS/CIFS是一種透過網路進行檔案分享或傳輸的機制,允許伺服器之間分享彼此的資源。這類網路檔案共享方式統稱NAS(Network Attached Storage)。NFS/CIFS目前碰到的安全問題就是它採用主機(host-based)認證方式,如果IP反解後是授權的主機名稱,就可以存取該分享資源。另外,這種認證方式是以明文傳輸,所以駭客只要能竊聽到傳輸資訊,就可以得知該假造哪一個網路位址。
另外一個可能被假造的是SAN(storage area network)架構中的WWNs(World Wide Names),WWN相當於光纖儲存網路中的mac 位址,可以藉由驅動程式來更改WWN,因此以WWN位址來做為認證,仍可能會有安全上的疑慮。
使用前幾段所提的host-based加密軟、硬體方式,可以解決WWNs和NFS/CIFS的認證封包未加密問題。可以在兩端使用軟體,建立加密機制:一端是應用程式端,另一端為伺服器端,而兩端的認證過程皆經過加密。若是有人欲偽造主機端WWN,也沒辦法取得加密方式而無法成功建立連線。而目前比較進階的Fibre Channel交換器也可以有效地加強WWN-based的認證:使用 port-binding,將WWN設定某個固定port上,如此一來也只有該port來的WWN才能存取資源。
但是,Fibre Channel SANs仍然存在其他的認證問題:soft-zoning。簡單的說,在光纖交換技術中,zone有點類似IP網路中的VLAN,但有一點不同。若使用 Hard-zoning,只有成員位於該zone才得以存取該zone的設備。若使用soft-zoning,只要知道該設備的WWN之後便可存取它;然而對於駭客而言,WWN是有機會被查出來的。這麼說來,解決辦法就是別使用soft-zoning嗎?對於企業環境來講也許不是那麼簡單。一般來說soft-zoning往往與WWN-based認證併用。而一般人也多使用WWN-based認證方式。目前越來越多交換器提供這些zoning 機制與認證方式,而最安全的架構當然就是 hard zoning再加上port-binding的認證方式。

備份系統安全性問題與解決方法
最後來討論備份系統的安全問題,在系統備份中,最大的安全疑慮便是使用明文儲存的備份磁帶。目前已經有許多加密方式可讓使用者加密機密資料。包含主機型檔案系統、利用軟體加密、使用備份系統內建的加密功能,也有加密硬體產品,可以建置在資料儲存設備之前,將資料加密之後,再存入磁帶。
這些加密硬體產品雖然很貴,但是比起其他的方案,更易建置與維護,而且提供即時加密與Key management功能。有些還提供資料壓縮的功能,雖然加密後的資料無法有效壓縮,所以有些產品內建資料壓縮晶片,在加密之前先將資料進行壓縮。這項特色是其他方案所無法達到的,其他方案無法再將加密的資料進行壓縮。
備份系統的第二個安全疑慮,一般來說是備份系統多半使用主機名稱認證的方式來達到伺服器與存取端之間的認證。駭客若偽造IP位址,便可使用兩種方式來竊取資料。第一種方式,駭客建立一個假的存取端,然後要求伺服器回存資料,如此一來就竊取到真的存取端資料。這個假的存取端同時也可以備份假資料給伺服器。另一種方式,駭客建立一個假的伺服器,然後吸取所有存取端的備份資料;這是駭客偷取所有資料最好的方式。目前有許多產品針對這個主機名稱認證問題進行改善,增加了進階的認證選項,但由於這些進階的認證方式較為複雜,更讓備份管理員怯步不前。
最後,備份系統的授權方式通常都採取「all or nothing」,也就是說,若是賦予一個人員取(eject)磁帶的能力,通常也給了他刪除、修改備份政策、刪除備份紀錄、覆寫備份資料的權利。這可能導致一個菜鳥管理員因為按錯按鍵,就意外刪除了所有磁帶備份資料。某健康食品公司就曾經發生過這種烏龍事件。目前備份軟體廠商已經採用role-based的管理模式,以避免此類問題,所以,可以只提供該人員職責上應該有的功能。備份軟體廠商陸續開發像這種role-based管理機制與其他新功能,表示儲存設備廠商的確開始重視資料儲存的安全性。如果目前企業內的儲存設備還沒有這些功能,趕快對你的廠商施壓,讓他知道這些功能,對於你的機密資料是非常重要的。
W. Curtis Preston是企業儲存服務機構GlassHouse Technologies資料保護的副總裁,他也是「The Storage Security Handbook,Using SANs and NAS, and Unix Backup and Recover」作者,若對本文有任何建議,歡迎來信iseditor@asmag.com