Categories: Unternehmen

Vernetzte Speicher: Sicherheitsrisiko inklusive

Selbst Unternehmen mit mittelgroßen Netzwerken setzen NAS-Anwendungen ein oder bauen auf der Basis von Netzwerken intelligente Ablagesysteme mit SAN-Merkmalen auf. Das ist großartig, aber ich bin nicht davon überzeugt, dass die Anbieter von Storage-Lösungen in Bezug auf die Sicherheit sehr innovativ sind, und schon gar nicht, dass zentrale Speichersysteme sicher sind.

Die Sicherheitslage von SAN/NAS ist beunruhigend unklar. Was es bereits gibt, inklusive einiger geeigneter Produkte und einer IETF-Vorschrift, die als Standard gilt, befindet sich immer noch in der Entwicklung. Das ist ein ärgerlicher Punkt für IT-Manager, die das Speicher-Budget für das nächste Jahr planen wollen. Wenn sie die Sicherheitsfrage nicht genau definieren können, dann wird die Kostenfrage ähnlich problematisch. Hinzu kommen noch die Kosten für Implementierung und Personal, da wundert es kaum, dass die Kunden die Technologie erst akzeptieren werden, wenn sie ausgereift genug ist, um zu einer vorhersehbaren Budgetkalkulation zu führen.

Die gute Nachricht ist, dass in diesem Bereich kein völliges Durcheinander herrscht. Einerseits gibt es SAN-Sicherheitsprodukte von Unternehmen wie Decru und Neoscale, die Rack-einbaufähige Geräte anbieten, die in der Lage sind, Verschlüsselung für die gesamte Speicher-Architektur zu bieten, und das in der für Netzwerke notwendigen Geschwindigkeit. Außerdem gibt es das Angebot von Unternehmen wie Iron Mountain, die sich um die Sicherheit von elektronischen und Hardcopy-Archiven kümmern. Und schließlich gibt es Organisationen für die Entwicklung von Industrie-Standards, wie in diesem Fall die Internet Engineering Steering Group (IESG) der IEFT.

Im letzten Herbst hat die IESG eine Vorschrift herausgegeben, nach der künftige IP-Speicher-Geräte und die damit zusammenhängenden Netzwerkkomponenten eine IPSec-Authentifizierung und -Verschlüsselung enthalten müssen, damit sie den entsprechenden Standards entsprechen. Grundsätzlich sollen sämtliche Speicher-Produkte, Steuergeräte oder Host-Bus-Adapter sowie die zugehörige Software IPSec-kompatible Sicherheitsvorkehrungen enthalten.

Das klingt, als sei alles wirklich sicher. Aber was passiert, wenn man ein NAS-Gerät von Cisco verwendet, eine Sicherheitseinrichtung von Decru und die entsprechenden Netzwerkkarten und den Host-Bus-Adapter von Compaq/HP? Wenn man Verschlüsselungen des einen Händlers mit den standardisieren Authentifizierungen der anderen Händler verbindet und zusammenfügt, wie läuft das dann im Alltag? Es ist abzusehen, dass die Speicher-Administratoren jede Menge werden improvisieren müssen, und das sollte gerade bei etwas so Sensiblem wie der zentralen Datenspeicherung niemals passieren.

Und dieses Improvisieren kann natürlich auch die Leistung beeinflussen. „Sicherheit mit Wire-Speed“ klingt auf dem Papier großartig, aber jede Verschlüsselung hat zumindest einen gewissen Preis. Wenn die Verschlüsselung unter konstanter Benutzer-Belastung auf einen Netzwerk-Bestandteil aufgesetzt wird, muss dieser kontinuierlich überwacht und gewartet werden, um die entsprechenden Service-Level aufrecht zu erhalten.

Die Übertragungsgeschwindigkeit ist dabei nur eines der Probleme. Ein anderes ist die Bewältigung des Austausches der Verschlüsselungscodes zwischen Host-Geräten (SAN) und einer sich ständig verändernden und ewig hungrigen Benutzerumgebung. Wie sieht es mit Sicherheitsmaßnahmen aus, die bereits in die Hardware integriert sind, wie iSCSI oder InfiniBand? Schließlich müssen IPSec-Authentifizierung, Zugriffskontrolle und die entsprechende Ereignisüberwachung in die bestehende Authentifizierungsinfrastruktur auf der Grundlage von Domänen oder Verzeichnissen integriert werden. Unabhängig vom eingesetzten Verzeichnis- oder Betriebssystem kann das wirklich schwierig sein.

Ungeachtet dessen, ob man ein individuelles SAN-Sicherheitsprodukt wählt oder auf der Grundlage bestehender Standards eine eigene Lösung entwickelt, bleibt die Quintessenz, dass die Sicherung eines zentralen Netzwerkspeichers nach wie vor eine komplexe Aufgabe ist. Momentan ist dies eher eine Kunst als eine Wissenschaft. Man benötigt schon Technik-Freaks als Netzwerk-Architekten und jede Menge Arbeitsstunden für die Pflege und Überwachung – nicht gerade etwas, das man gerne in das aktuelle IT-Jahresbudget aufnimmt. Wenn SAN-Anbieter die Investitionen in zentralisierte Speicher schmackhaft machen wollen, müssen sie sich um die Sicherheit kümmern. Dazu wiederum müssen sie definitive Antworten und Verfahrensweisen anbieten, die die Budgets nicht gleich aufblähen.

ZDNet.de Redaktion

Recent Posts

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

2 Tagen ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

2 Tagen ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

2 Tagen ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

3 Tagen ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

3 Tagen ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

3 Tagen ago