Bezpieczeństwo pamięci masowych – kogo to obchodzi?

0

Jedną z większych zalet bycia „weteranem” przemysłu IT jest to, że osoby takie mogły przez lata śledzić na własne oczy zmiany zachodzące w tym obszarze. W przeszłości temat bezpieczeństwa danych przechowywanych w systemach pamięci masowych nie odgrywał w firmach dużej roli, głównie z tego powodu, iż pamięć masowa była na stałe podłączona do jednego komputera, świadcząc swe usługi tylko aplikacjom uruchamianym na tym komputerze. W następnych latach pamięci masowe zaczęły być współdzielone przez wielu użytkowników i wiele aplikacji, które mają do niej dostęp za pośrednictwem sieci LAN i SAN. I to właśnie wtedy administratorzy zdali sobie po raz pierwszy sprawę, jak bardzo ważnym zagadnieniem jest w takich środowiskach zapewnienie danym odpowiedniego poziomu bezpieczeństwa. Ale czy tematowi temu poświęcano w następnych latach odpowiednią uwagę? Raczej nie.

Bezpieczeństwo danych przechowywanych w pamięciach masowych sprowadzało się najczęściej do operacji zaznaczenia w okienku wyboru odpowiedniej opcji – użytkownicy nie rozumieli mechanizmu takiej operacji i nie przywiązywali do niej większej wagi. Wszystko co liczyło się to fakt, iż rozwiązanie zapewniało firmie dostęp do danych, minimalizując jednocześnie ryzyko ich utraty lub ich uszkodzenia. W stosowanych dzisiaj rozwiązaniach dane są przechowywane często w różnych fizycznych lokalizacjach, po to aby zapewnić firmom ciągłość prowadzenia biznesu; ale fakt istnienia tak wielu punktów dostępu do danych oznacza też to, że bezpieczeństwo danych nabiera szczególnego znaczenia. Biorąc pod uwagę wypowiedzi końcowych użytkowników pamięci masowych można nabrać pewności, że doceniają oni w pełni potrzebę zapewnienia danym bezpieczeństwa. Użytkownicy wyrażają przy tym opinię, że rozwiązania takie nie są niestety wdrażane.

Co może więc zmienić ten stan rzeczy? Wydaje się iż głównym czynnikiem, który może spowodować, że temat bezpieczeństwa danych nie będzie tylko pustym hasłem, ale zostanie przekuty na konkretne rozwiązania, jest rosnąca rola uregulowań prawnych, z którymi muszą się liczyć firmy zarządzające dużą ilością informacji. Drugim ważnym czynnikiem jest rosnąca liczba incydentów związanych z faktem, że firmy nie chronią danych w dostateczny sposób. Obowiązujące na świecie uregulowania prawne, takie jak Sarbanes-Oxley Act of 2002, California Database Protection Act of 2001, Gramm-Leach-Bliley Act, Health Insurance Portability and Accountability Act (HIPAA), Basel II, Markets in Financial Instruments Directive (MiFID) i EuroSox są dodatkowymi czynnikami, dzięki którym problem bezpieczeństwa danych nabiera pierwszorzędnego znaczenia. Uregulowania te nakładają na firmy obowiązek wdrażania rozwiązań pozwalających identyfikować, dokumentować, testować i monitorować wewnętrzne procesy zarządzające danymi. Ponieważ technologia informatyczna obsługuje większość takich procesów, jeśli nie wszystkie, uregulowania prawne mają znaczący wpływ na strategie bezpieczeństwa przyjmowane przez firmy. Nowe uregulowania prawne zmuszają osoby odpowiedzialne za bezpieczeństwo do wdrażania w swoich firmach odpowiednich rozwiązań, które są w stanie sprostać takim zadaniom.

Co to jest bezpieczeństwo pamięci masowych?

Bezpieczeństwo pamięci masowych to jeden z głównych elementów całego planu zapewnienia bezpieczeństwa firmie i posiadanym przez nią informacjom, które są przetwarzane w jej centrum danych. W konsekwencji polityka biznesowa firmy i praktyka muszą uzupełniać model bezpieczeństwa przyjęty w odniesieniu do oprogramowania czy warstwy sprzętowej, włączając w to bezpieczeństwo sieci i systemów. Jednak bezpieczeństwo nie jest zwykłym towarem, który można kupić i od razu wdrożyć. Rozwiązania dotyczące bezpieczeństwa powinny brać pod uwagę wszystkie aspekty informatycznej infrastruktury firmy – od aplikacji do takich zagadnień, jak zarządzanie technologiami czy ludźmi.

Wiele osób uważa, że po wdrożeniu w firmie rozwiązania zapewniającego danym bezpieczeństwo, problem mają już z głowy. Nic podobnego – nie jest to prawda! Zapewnienie danym bezpieczeństwa wymaga ciągłej uwagi, specjalistycznej wiedzy oraz uważnego śledzenia poszczególnych elementów systemu. Tylko wtedy można być pewnym, że cała infrastruktura pamięci masowych spełni zmieniające się ciągle wymagania stawiane przez biznes. Kwestia pomiaru poziomu bezpieczeństwa jest bardzo trudnym zagadnieniem – jak bowiem określić, że dane są bezpieczne w określonym punkcie? Można to zrobić co najwyżej po incydencie, sprawdzając czy zastosowane mechanizmy bezpieczeństwa zdały egzamin. Właśnie dlatego problem zapewnienia danym bezpieczeństwa jest w firmach traktowany niestety w podobny sposób, jak to oddaje stare powiedzenie: „zamknęli stajnię dopiero wtedy, gdy koń już uciekł”.

Oto podstawowe pojęcia związane z bezpieczeństwem pamięci masowych, zdefiniowane przez SNIA:

Storage System Security (SSS) – zapewnia bezpieczeństwo istniejącym/wbudowanym systemom i aplikacjom oraz integruje rozwiązanie z infrastrukturą bezpieczeństwa i IT (np. z zewnętrznymi usługami uwierzytelniania, centralnym systemem logowania, zaporami, itd.).

Storage Resource Management (SRM) – bezpieczne rozmieszczanie, monitorowanie, strojenie, alokowanie i kontrolowanie zasobów pamięci, tak aby dane mogły być w bezpieczny sposób przechowywane i przywracane (np. systemy do zarządzania całą pamięcią masową).

Data In-Flight (DIF) – ochrona poufności, integralności i/lub zapewnienie użytkownikom dostępu do danych, wtedy gdy są one przesyłane sieci SAN, LAN i WAN.

Data At-Rest (DAR) – ochrona poufności, integralności i/lub zapewnienie użytkownikom dostępu do danych przechowywanych na serwerach, macierzach dyskowych, urządzeniach NAS, bibliotekach taśmowych i innych nośnikach (szczególnie przenośnych).

Strategia zapewnienia danym pełnego bezpieczeństwa musi brać pod uwagę wiele czynników; nawet prosta operacja przeniesienia danych z jednego miejsca do drugiego (czy to przez sieć, czy też na inny nośnik, taki jak taśma lub dysk CD), wymaga stosowania określonych procedur i procesów, również z szyfrowaniem danych. Dane powinny być chronione zarówno wtedy, gdy znajdują się w stanie DIF (Data In-Flight), jak i w stanie DAR (Data At-Rest).

Mówiąc ogólnie, na bezpieczeństwo pamięci masowych składają się następujące elementy:

  • Uwierzytelnianie – potwierdza tożsamość użytkowników, systemów i/lub aplikacji
  • Kontrola dostępu – określa, jakie zasoby są dostępne
  • Integralność – potwierdza, że są to oryginalne i spójne dane, takie, jakie zostały zapisane
  • Poufność – ochrona treści z wykorzystaniem technik szyfrowania danych
  • Bezpieczne zarządzanie kluczami – klucze muszą być zawsze dostępne, niezależnie od tego gdzie dane są przechowywane i kiedy są udostępniane

Badania pokazały, że w 2007 r. największą popularnością wśród dostawców pamięci masowych – członków organizacji SNIA – cieszyły się projekty związane z zarządzaniem cyklem życia informacji (Information Lifecycle Management, ILM) oraz projekty zapewniające danym bezpieczeństwo.

Aby rozwijać takie projekty i doskonalić je, spełniając jednocześnie wymagania stawiane przez przepisy i określone umowy SLA, należy integrować mechanizmy bezpieczeństwa z całą strategią firmy dotyczącą zarządzania informacjami.

Aktualne wyzwania stojące przed oddziałami IT – dotyczące takich tematów, jak ochrona danych, ciągły wzrost przetwarzanych informacji, zgodność z uregulowaniami prawnymi i rosnące koszty takich rozwiązań – są ze sobą ściśle zintegrowane. Rok 2008 może być czasem, gdy oddziały IT przystąpią do opracowywania w tym obszarze dobrze opracowanych i udokumentowanych strategii.

Autorem tekstu jest Bjarne Madsen, dyrektor komitetu nordyckiego SNIA Europe

Więcej informacji:

SNIA Security Technical Work Group (TWG)
http://www.snia.org/tech_activities/workgroups/security/

Storage Security Industry Forum (SSIF)
http://www.snia.org/ssif

BRAK KOMENTARZY

ZOSTAW ODPOWIEDŹ