Vernetzte Speicher: Sicherheitsrisiko inklusive

Selbst Unternehmen mit mittelgroßen Netzwerken setzen NAS-Anwendungen ein oder bauen auf der Basis von Netzwerken intelligente Ablagesysteme mit SAN-Merkmalen auf. Das ist großartig, aber ich bin nicht davon überzeugt, dass die Anbieter von Storage-Lösungen in Bezug auf die Sicherheit sehr innovativ sind, und schon gar nicht, dass zentrale Speichersysteme sicher sind.

Die Sicherheitslage von SAN/NAS ist beunruhigend unklar. Was es bereits gibt, inklusive einiger geeigneter Produkte und einer IETF-Vorschrift, die als Standard gilt, befindet sich immer noch in der Entwicklung. Das ist ein ärgerlicher Punkt für IT-Manager, die das Speicher-Budget für das nächste Jahr planen wollen. Wenn sie die Sicherheitsfrage nicht genau definieren können, dann wird die Kostenfrage ähnlich problematisch. Hinzu kommen noch die Kosten für Implementierung und Personal, da wundert es kaum, dass die Kunden die Technologie erst akzeptieren werden, wenn sie ausgereift genug ist, um zu einer vorhersehbaren Budgetkalkulation zu führen.

Die gute Nachricht ist, dass in diesem Bereich kein völliges Durcheinander herrscht. Einerseits gibt es SAN-Sicherheitsprodukte von Unternehmen wie Decru und Neoscale, die Rack-einbaufähige Geräte anbieten, die in der Lage sind, Verschlüsselung für die gesamte Speicher-Architektur zu bieten, und das in der für Netzwerke notwendigen Geschwindigkeit. Außerdem gibt es das Angebot von Unternehmen wie Iron Mountain, die sich um die Sicherheit von elektronischen und Hardcopy-Archiven kümmern. Und schließlich gibt es Organisationen für die Entwicklung von Industrie-Standards, wie in diesem Fall die Internet Engineering Steering Group (IESG) der IEFT.

Im letzten Herbst hat die IESG eine Vorschrift herausgegeben, nach der künftige IP-Speicher-Geräte und die damit zusammenhängenden Netzwerkkomponenten eine IPSec-Authentifizierung und -Verschlüsselung enthalten müssen, damit sie den entsprechenden Standards entsprechen. Grundsätzlich sollen sämtliche Speicher-Produkte, Steuergeräte oder Host-Bus-Adapter sowie die zugehörige Software IPSec-kompatible Sicherheitsvorkehrungen enthalten.

Das klingt, als sei alles wirklich sicher. Aber was passiert, wenn man ein NAS-Gerät von Cisco verwendet, eine Sicherheitseinrichtung von Decru und die entsprechenden Netzwerkkarten und den Host-Bus-Adapter von Compaq/HP? Wenn man Verschlüsselungen des einen Händlers mit den standardisieren Authentifizierungen der anderen Händler verbindet und zusammenfügt, wie läuft das dann im Alltag? Es ist abzusehen, dass die Speicher-Administratoren jede Menge werden improvisieren müssen, und das sollte gerade bei etwas so Sensiblem wie der zentralen Datenspeicherung niemals passieren.

Und dieses Improvisieren kann natürlich auch die Leistung beeinflussen. „Sicherheit mit Wire-Speed“ klingt auf dem Papier großartig, aber jede Verschlüsselung hat zumindest einen gewissen Preis. Wenn die Verschlüsselung unter konstanter Benutzer-Belastung auf einen Netzwerk-Bestandteil aufgesetzt wird, muss dieser kontinuierlich überwacht und gewartet werden, um die entsprechenden Service-Level aufrecht zu erhalten.

Die Übertragungsgeschwindigkeit ist dabei nur eines der Probleme. Ein anderes ist die Bewältigung des Austausches der Verschlüsselungscodes zwischen Host-Geräten (SAN) und einer sich ständig verändernden und ewig hungrigen Benutzerumgebung. Wie sieht es mit Sicherheitsmaßnahmen aus, die bereits in die Hardware integriert sind, wie iSCSI oder InfiniBand? Schließlich müssen IPSec-Authentifizierung, Zugriffskontrolle und die entsprechende Ereignisüberwachung in die bestehende Authentifizierungsinfrastruktur auf der Grundlage von Domänen oder Verzeichnissen integriert werden. Unabhängig vom eingesetzten Verzeichnis- oder Betriebssystem kann das wirklich schwierig sein.

Ungeachtet dessen, ob man ein individuelles SAN-Sicherheitsprodukt wählt oder auf der Grundlage bestehender Standards eine eigene Lösung entwickelt, bleibt die Quintessenz, dass die Sicherung eines zentralen Netzwerkspeichers nach wie vor eine komplexe Aufgabe ist. Momentan ist dies eher eine Kunst als eine Wissenschaft. Man benötigt schon Technik-Freaks als Netzwerk-Architekten und jede Menge Arbeitsstunden für die Pflege und Überwachung – nicht gerade etwas, das man gerne in das aktuelle IT-Jahresbudget aufnimmt. Wenn SAN-Anbieter die Investitionen in zentralisierte Speicher schmackhaft machen wollen, müssen sie sich um die Sicherheit kümmern. Dazu wiederum müssen sie definitive Antworten und Verfahrensweisen anbieten, die die Budgets nicht gleich aufblähen.