觀點

只有加密,資料夠安全嗎?

2009 / 09 / 10
ALAN RADDING
只有加密,資料夠安全嗎?
加密電腦裡的資料是一項可靠的安全措施,在有效率的儲存安全規劃裡,卻只是組成元件之一。

  加密是SAN安全解決方案的一塊,但畢竟有其侷限。「加密是個有趣的選擇方案, 但是通常用在磁帶。」Forsythe(一位於美國伊利諾Skokie的儲存系統整合商)首席顧問Tim Arland如此表示:「以線路速度即時加密所有資料的難度相當高。」Arland補充道,不過,想要採用加密解決所有SAN安全上的問題,最終還是需要使用即時加密。

  就算能夠即時加密,可能還是行不通。假設光纖通道介面卡(HBA, host bus adapter)開識別系統一個玩笑,會發生什麼事呢?因此我們不只需要加密。儲存安全的問題遠超過儲存的資料本身,而儲存專家未必能獨力解決這些問題。「儲存專家正等著與其他公司的安全團隊合作。」TheInfoPro(一家位於紐約市的研究調查機構) 的董事經理、儲存實務專家Robert Stevenson如此表示。Stevenson也根據TheInfoPro所做的調查報告指出,部分受訪者對於將公司安全政策導入儲存操作提出了抱怨。曾經,儲存管理人員低調的隱蔽手法(obscurity)可以輕易地實現安全,他們因而相信自己的光纖通道(FC, Fibre Channel)SAN系統不會成為攻擊的目標。然「今日儲存基礎建設(磁碟、陣列、IP與SAN光纖、NAS與磁帶)存有太多可能遭受攻擊弱點,因為已知安全技術與這些技術被實現的程度存在著落差。」SNIA儲存安全資訊論壇(SSIF, Storage Security Information Forum ) 的主席LeRoy Budnik如此表示。Budnik也是白皮書《儲存安全概論》的作者之一,這份文件歸納了許多一般性的建議事項,並且為每一條建議提供了詳細的儲存安全行動。

  今日的SAN系統太容易遭受攻擊,面臨無數內部與外部的威脅,這些地方都需要強化安全性。各式各樣的管理命令都強制儲存團隊必須採用更強固的安全措施,比方說將資料分級,然後監控資料的存取,最後根據資料所屬層級使用不同的方法來保護資料的安全。因為沒有單一行動可以解決這個問題,所以儲存管理人員必須開始實作Budnik的建議事項,包括要求供應商在支援部門的員工職務有異動時立即知會,以便鎖定Windows伺服器上的安全識別人員名單,避免離職員工矇混闖關成功。待辦事項清單還長得很,儲存團隊恐怕無法獨力完成所有的工作。千奇百態的威脅暴露了不同的弱點,因此需要建構多樣防線。最終,儲存管理人員將必須做網管人員多年來一直在嘗試的事情─實現「縱深防禦」(defense in-depth)的策略。就儲存而言,這意味至少3道防線:存取、識別與原則控制;強化伺服器與主機的安全性,以及強化儲存設備、元件、交換器,與相關通訊連線的安全性。

第一道防線

  雖然身分遭公司外部人士盜用這樣的新聞標題很吸引人,但是TheInfoPro調查的受訪者更害怕公司內部人員的安全威脅。「3/4的受訪者認為,網路之內的威脅遠比網路之外的威脅要大,」TheInfoPro的Stevenson表示。這些受訪者尤其關注敏感資料未經授權的存取與竊取,例如悄悄地將機密資料存在鑰匙圈上小巧的USB設備裡面,然後攜出公司。

  存取控制與身分管理因此成了SAN系統的第一道防線。其目的在阻礙未經授權人士獲得存取儲存管理工具與設備的權限。這道防線的部署可以辨識嘗試進行存取的使用者或系統,獲得合適的許可權限。「你要允許哪些人存取你的SAN系統呢?也就是說,SAN安全管理的第一步就是存取控制。」Datalink(一家位於美國明尼蘇達Chanhassen的儲存系統整合商)的科技長Scott Robinson如此表示。將近3/4的TheInfoPro受訪者均認為,在強化儲存的安全性方面,就算存取控制不是非常重要至少也是重要的事(請見「5大儲存安全技術」)。

  「對於S A N 系統而言, 管理工具是最大的威脅。一旦有人獲得存取這些儲存管理工具的權限, 他們幾乎可以做任何的事情,」StorageIO(一家位於明尼蘇達Stillwater的儲存產業研究公司)的創立者與資深分析師G r e gSchulz表示。管理工具是直接連線到SAN系統的伺服器來進行存取的。「SAN安全的致命傷就是,儲存設備的管理介面是架構在公司的LAN之上的,」GlassHouseTechnologies(位於美國麻薩諸塞Framingham)資料保護部門的副總裁W. Curtis Preston表示。他說,至少管理人員應該定期變更管理工具的密碼。這樣看來,要為儲存系統建構有效的存取控制並不容易。「沒有人擁有充分的角色式存取控制權限,讓你在命令列控制存取權限。」SNIA的Budnik表示。他預計這樣的角色式安全控制問題將在兩年內慢慢浮現。

  除了存取控制之外,另一個議題是身分管理。不過儲存管理人員在身分管理方面使不上什麼力。「這類的工具大部分位於層層的應用程式裡。」TheInfoPro的Stevenson表示。「儲存人員通常將身分管理視為資料庫管理者或應用程式開發人員必須擔負的責任。」

  這種交互指責推託的情況,通常是安全防護牆出現裂縫的原因。解決方案就是應該由儲存、公司安全、網路與應用程式團隊,以及企業經理人一起制訂出一套原則方針與處理程序。

  「我們看到的重點就是,原則方針是實現安全的重要關鍵,」資訊管理顧問Jot Gill(目前正在Network Appliance建構策略顧問實務)表示。「這不是設備層或應用層的議題,而是公司本身的議題。」他繼續補充道,這些原則針的努力甚至應該包括律師與會計師的加入(但願不會)。這需要所有參與人士的合作。「我們和客戶一起看到的那些人,也就是在為制訂原則方針而奮戰的相關人士,」Forsythe的Arland表示。「雖然儲存人員也可以採用一些基本的安全措施,不過你真的非常需要在公司層級擁有一套整體的安全方針。」

第二道防線

  第二道防線是架構在伺服器與主機之上。「你必須讓任何連接到SAN系統的伺服器都擁有優異的安全性。」StorageIO的Schulz表示。要從一部洩漏機密的伺服器對儲存系統發動攻擊,是非常容易的。這裡要再強調一次,除了告誡系統與應用程式開發人員必須弄清楚內建於伺服器作業系統的所有安全設定之外,儲存管理人員的控制權應該越少越好。這個動作應該要像定期更改密碼那樣當作基本信條。

  儲存管理人員可以在SAN系統上面實作分區(zoning)與遮罩(masking),以便限制允許進行存取的伺服器與主機。「這麼做可以讓你進行SAN分割,實際上也就是建立子SAN系統,」Schulz表示。不過分區與遮罩只提供了程度有限的安全性。假使主機被入侵了,要脫離這樣SAN分割範圍並不難。儘管如此,「還是要完成LUN的遮罩與分區,」Budnik強調。

  「分區是我們SAN安全裡面很重要部分,」VeriCenter(位於美國休斯頓)資料保證部門的資深經理Lynn Granger表示。「我們是一家管理嚴密的主機代管公司,所以必須將主機互相分隔開來。」Granger也會變更交換器的密碼、使用存取控制清單來管理公司的SAN路由器,以及實作公開金鑰基礎建設(PKI, Public Key Infrastructure),保護管理工具。

  除此之外,儲存管理人員在主機這道防線方面幾乎是幫不上任何忙的。「你要如何認證HBA,讓它能夠跟儲存系統溝通呢?」Preston提出了這樣的問題。大部分SAN認證根據的都是並不安全的通用名稱(worldwide name)。

第三道防線

  儲存團隊實際負責安全是在這道防線,此時連接SAN設備會被鎖定,而設備與交換器之間通訊將是安全的。你開始的第一步,應該是在每部設備與交換器上面,執行最新版本的作業系統,並且安裝目前所有的更新套件,還有定期為所有的裝置更改密碼。Budnik提出了警告,他預期供應商將會抱怨密碼的變更,因為這會妨礙他們支援的技術人員的作業。此外,Schulz也提供建議,關閉交換器上未使用的連接埠,以及停用未使用的服務。

  在今年春天有了光纖通道安全協定(FC-SP, Fibre Channel Security Protocol)的導入之後,事情應該會有所改善。FC-SP將會涵蓋光纖通道設備認證協定,也會以密碼強化金鑰交換以及光纖通道設備間的通訊。運行於FC-SP之下的安全協定包括盤問握手認證通訊協定(CHAP, Challenge-Handshake Authentication Protocol ) 與Diffie - Hellman 式CHAP(DH-CHAP)通訊協定。CHAP為交換器到主機與主機到交換器的認證,提供雙向安全金鑰交換機制。CHAP是iSCSI的一部份,而DH-CHAP則適用於光纖通道。

關於加密

  加密的重要角色是保護儲存資料的安全性,但不必是儲存決策的考量重點。「加密其實只是一個內容的控制項,有許多內部與外部的係數必須加以考量,例如相容性以及要在哪裡進行加密等議題。」Budnik表示。「這完全是公司的決策。」他建議了幾個儲存加密之外的另類方案:「有沒有可能堅持要求應用程式供應商加密特定的欄位呢?也許資料庫供應商或者企業資源規劃供應商應該提供可以加密某幾個欄位或資料列的公用程式。」

  只有當你擁有良好的認證機制可以採用時,加密才會是不錯的選擇,GlassHouse的Preston繼續補充道:「SAN系統最關鍵的安全問題並非加密,而是缺乏合適的認證機制。」Datalink的Robinson則表示:「我們一般並不建議客戶加密他們的資料。他們需要加密的應該是要移往異地的資料,而且在未來的12到18個月之內,他們可能會想要開始加密某些資料集,比方說財務與客戶資料。」VeriCenter在客戶堅持的時候,會進行有限度的加密。「加密會使備份速度變慢而且金鑰管理也很困難,」VeriCenter的Granger表示。「儘管如此,還是有少數的客戶會在資料庫層級進行加密。」

  產業分析師與顧問截至目前為止所觀察到的阻礙儲存加密推廣的主要因素有3個:成本、耗時與金鑰管理。說到成本的話,加密的代價太昂貴了。「我有看過有企業花了1百萬美元在儲存加密設備的投資上。」Preston說道。至於耗時,加密是非常吃CPU運算資源的。即便加密的速度很快,能夠讓處理器很快完成運算,但是在儲存與讀取資料的時候,還是必須花費額外的處理時間。金鑰管理更是同時「兼具」風險與成本代價。風險是指會有遺失金鑰的潛在可能,這將使得加密的資料無法使用。「金鑰管理還會增加成本,因為需要更多的管理作業,」顧問Gill表示。

安全成本

  安全從來就不是可以廉價達成的。加密可能是最大的單一產品支出項目,因為必須搭配許多起價大約30,000美金的硬體式加密設備。認證、身分管理、防火牆、入侵偵測系統,以及其他IT縱深防禦元件,也都是需要花錢投資,不過其中有些元件的成本已經涵蓋在基礎建設的支出裡面了。除此之外,儲存安全必須付出的管理負擔也相當大。管理者必須主動積極地管理密碼、認證系統與設備、監視儲存元件之間的通訊、控制存取管理工具的權限,還要處理金鑰。有效的安全需要有紮實的教育訓練作為基礎,但是這又是另一筆開銷了。

  根據TheInfoPro最新的調查,8 5%的組織在安全方面的投資金額,少於儲存預算的1 0%。不過TheInfoPro的Stevenson也說,幾乎所有的受訪者都表示,他們預計儲存安全的花費將會增加。

  儲存安全的問題,是沒有簡單的靈丹妙藥可以解決的。認證、身分管理與加密都有其重要的角色必須扮演。網路安全與應用安全亦然,不過這兩者已經超出儲存團隊的控制範疇了。儲存管理人員可以從實現SNIA的《儲存安全概論》白皮書裡面所條列的安全行動要點開始,但是儲存安全也並非儲存團隊能夠獨力達成的工作。儲存安全實在是必須經由全公司上下的努力與資源協助,才能夠實現的。

關於作者: Alan Radding是《Storage》的特約撰述。