Bezpečné ukládání dat není vzdáleným problémem

V rámci loňského průzkumu Enterprise Strategy Group (ESG) bylo 388 odborníků na ukládání dat dotazováno na to, kter


V rámci loňského průzkumu Enterprise Strategy Group (ESG) bylo 388 odborníků na
ukládání dat dotazováno na to, které místo ve své firmě považují z hlediska
rizika průniku k uloženým datům za nejzranitelnější. Čtyřicet dva procent z
nich se obávalo úmyslného útoku pracovníka IT, 33 % zmínilo lidské selhání, 11
% uvedlo, že mají strach z trhliny v technologiích, a jen 4 % se obávala útoku
zvenku. Většinu nejpalčivějších obav by tak mohlo do značné míry ošetřit
šifrování uložených dat.

Kromě strachu z přímého ohrožení vlastního byznysu jsou další příčinou
zvyšujícího se zájmu o šifrování nové zákony, například HIPAA nebo
Sarbanes-Oxley v USA a PHIPA v Kanadě. Podle společnosti Gartner bude již za
dva roky naprostá většina z 1 000 společností na žebříčku Fortune šifrovat
převážnou část důležitých dat v zařízeních úložných sítí SAN.

V praxi
Řada společností řeší uvedené problémy již nyní. Například pro firmu Transend
Business Services, která je poskytovatelem webových obchodních transakčních
služeb, je bezpečnost dat naprostou nezbytností. Součástí služeb této firmy je
i ukládání a archivace velkého množství citlivých dat, která se týkají
transakcí jejích zákazníků. Sama firma se chrání vrstvenou bariérou firewallů a
k přenosu dat mezi svými datovými středisky používá tunelů VPN.
Nicméně v poslední době se společnost Transend i její zákazníci začali ve
zvýšené míře zajímat o bezpečnostní rizika ukládání dat. Jejich zájem vzrostl
zejména poté, co byly zveřejněny případy z Kanady, kde společnosti ztratily
kontrolu nad citlivými daty kvůli tomu, že je zaměstnanci vynášeli na discích.
Společnost Transend na tyto obavy odpověděla podobně, jako stále větší množství
firem využila šifrování dat uložených v systémech SAN. Poté, co firmy utratily
spoustu peněz i času na zpevňování vnějších obranných valů, začínají teď
chránit uložená data před vnitřním napadením, před nespokojenými zaměstnanci,
nedůvěryhodnými kontraktory, návštěvníky i klienty.
"Naši zákazníci, kteří zodpovídají za bezpečnost informací o svých vlastních
zákaznících, přesouvají tuto zodpovědnost na nás," vysvětluje Brent Luckman,
výkonný ředitel Transendu. Aby firma zabránila případným vleklým soudním sporům
a ochránila informace o klientech, potřebovala zabezpečit nejen data, která
proudí mezi úložišti, ale i archivovaná data.
Proto si vybrala síťové zařízení Cryptostor FC od firmy NeoScale, které se
instaluje na SAN a které zachycuje data mezi připojenými hostitelskými a
úložnými systémy a začala používat algoritmus šifrování dat AES256 na úrovni
bloků. Luckman si pochvaluje, že tímto způsobem zajistili, že k datům zákazníků
nemůže přistoupit nikdo jiný.
"Díky implementaci Cryptostoru mohla společnost Transend snížit své pojištění
na případné škody u jedné z hlavních kanadských bank z 1 milionu na 100 000
dolarů," dodává.

Náklady rostou
Podle Riche Mogula, ředitele výzkumu společnosti Gartner, se firmám, které
nešifrují citlivá data v úložištích, toto opomenutí výrazně prodraží. Nebudou
totiž moci vyhovět předpisům regulátora ani smluvním požadavkům na ochranu dat.
Mogul předpovídá, že koncem roku 2007 bude 80 % z 1 000 společností na žebříčku
Fortune šifrovat většinu důležitých dat v zařízeních úložných sítí.
Další organizací, která právě takový krok udělala, je Center for Evaluative
Clinical Studies (CECS). Středisko, které provádí lékařské studie například o
kvalitě lékařské péče v různých částech USA, má v současnosti na páskových
nosičích 7 terabajtů dat.
Vin Fusca, ředitel IT operací CECS, vysvětluje, že v minulosti měli pořád
obavy, když jim z dalších organizací, chodily pásky s daty spadajícími pod
zákonnou ochranu HIPAA. "Neustále jsme se báli, aby se pásky neztratily nebo je
někdo nevzal. A když se pokazil řadič na serveru a my jsme ho v rámci záruky
vraceli k výměně, museli jsme všechna data na něm zničit," vzpomíná Fusca.
Středisko CECS nyní využívá síťové zařízení Data Fort od firmy Decru, které
nyní šifruje veškerá data archivovaná na páskách, i data, která putují mezi
pracovními stanicemi vědců. "Aby se teď k datům někdo dostal, vyžadovalo by to
akci NSA (National Security Agency), takže v případě problémů můžeme poslat
média k opravě tak, jak jsou," říká Fusca. "Konečně mohu klidně spát," dodává.

Zaplnění mezer
Síťová zařízení pro šifrování zabezpečují jak data archivovaná v úložištích,
tak přímo v síti SAN. "IP sniffery mohou proniknout do sítě iSCSI, osciloskopy
dokáží zachytit data na optickém kanálu Fibre Channel sítě SAN," vysvětluje Jon
Oltsik, vedoucí analytik společnosti ESG. Z toho podle něj plynou rizika pro
bezpečnost dat, která šifrování odstraňuje.
Například firma Neoscale představila produkt Cryptostor SAN VPN, který provádí
šifrování IPsec mezi dvěma porty kanálu Fibre Channel o rychlosti 2 Gb/s. "To
uživatelům umožňuje šifrovat i data synchronizovaných záložních spojení v rámci
celé metropolitní sítě," říká mluvčí firmy Neoscale.
Šifrování dat je ale podle Mogula z Gartneru jen jednou složkou účinné
strategie zabezpečení na datové úrovni. "Většinou úspěch závisí na běžných
postupech v síti, konkrétně například na řízení přístupu, které je zabudováno
do téměř všech souborových systémů, operačních systémů a zařízení úložných
sítí," vysvětluje. "Pokud zaútočím na server a zneužiji informace o jeho
uživatelích, budu se moci dostat do souborů bez ohledu na šifrování."
Přístupová práva jsou zvláště ožehavou oblastí. "Spousta softwarových produktů
pro správu ukládání dat používá nezabezpečené protokoly, do kterých se dá
dostat prostřednictvím http, dalšího nezabezpečeného protokolu," upozorňuje
Oltsik.
"Při běžném nastavení systémů SAN může každý na libovolném počítači použít
webový správcovský nástroj pokud zná heslo a dokáže se přihlásit," souhlasí Jay
Kidd, CTO společnosti Brocade. Přednostní práva správce umožňují uživatelům
rekonfigurovat zóny nebo ID oprávnění a zřizovat si volný přístup k uloženým
záznamům.

Obranná strategie
Hlavní výrobci z oblasti sítí a řešení pro ukládání dat neustále posilují
obranu svých produktů proti uvedeným nebezpečím. "Výrobci zařízení pro úložné
sítě, založených na IP, využívají tradičních zabezpečovacích mechanismů IP,"
vysvětluje Keith Brown, ředitel pro technologie a strategie společnosti Network
Appliances. "Všichni hlavní prodejci routerů zajišťují například bezpečnost
proti zneužití IP adres." Protokoly iSCSI a iFCP zahrnují autentizaci i
šifrování. "Operační systém pro SAN od společnosti Brocade má vestavěnou
funkci, která šifrováním zabezpečuje cestu od řídicí stanice k systému, čímž
předchází vyslídění hesel," podotýká Kidd.
Nedávno začali výrobci zavádět integrované řídicí nástroje a platformy, které
zákazníkům pomáhají monitorovat, identifikovat a odhalovat nedostatky v jejich
infrastruktuře pro ukládání dat. Například produkt firmy Brocade jménem Secure
Fabric OS umožňuje omezit konzole a přepínače, ze kterých lze provádět změny v
síti. "Tímto způsobem lze ohlídat snahu o falešný přístup i náhodné omyly v
konfiguraci," uvádí Kidd.

Rozdrobený trh
Jako každý mladý segment trhu je i trh s produkty pro zabezpečení úložných sítí
rozdrobený a úzce specializovaný. Pokud správci IT pracují v různých oblastech
zabezpečení s produkty několika značek, nutí je to k používání různých
softwarových nástrojů a rozhraní.
Výrobci ale tvrdí, že se snaží tuto situaci změnit. "Bezpečnost musí být
end-to-end řešením," míní Brown ze společnosti Decru. "Lotři jdou po slabých
místech." "Bezpečnostní produkty musejí zapadnout do infrastruktury budované ze
zařízení různých výrobců a do sítí založených na řadě protokolů," zdůrazňuje
Brandon Hoff, manažer bezpečnosti firmy McData.
Společnost Symantec nedávno zveřejnila svou integrační strategii, v jejímž
rámci plánuje sjednocení všech dosavadních produktů pro správu bezpečnosti a
dostupnosti do jediné integrované platformy. "Ta dokáže ochránit všechny uzlové
body v organizaci a uvést je do souladu s bezpečnostní politikou," vysvětluje
Don Klienschinitz, viceprezident pro dodávky produktů firmy Symantec. "Fúze
společnosti Symantec s firmou Veritas umožní Symantecu rozšířit tuto strategii
na systémy datových úložišť," dodává Klienschinitz.
Výrobci systémů pro úložné sítě zatím začínají poskytovat integrované řízení
bezpečnosti prostřednictvím podpory průmyslových norem jako Fibre Channel
Security Protocol. "FC-SP převádí ukládání dat na jednotný soubor
bezpečnostních mechanismů bez ohledu na to, zda je přenos založen na iSCSI,
FCIP nebo FC," poznamenává mluvčí společnosti Cisco.
"Produkt Data Fabric Manager od firmy Netapp dokáže spravovat zároveň
konfiguraci i bezpečnost systémů SAN, NAS i v sítích s úložišti iSCSI," uvádí
Brown. "Pro IP systémy SAN přednostně používáme Kerberos. Na straně NAS
pracujeme se Secure NFS. U SAN můžeme konfigurovat zóny a cesty." Zmíněná
platforma se ale týká jen produktů Netapp.
Produkt SANtegrity Security Center, který nedávno představila společnost
McData, může podle Hoffa potenciálně řídit jakýkoliv systém SAN, který vyhovuje
průmyslovým normám pro FC-SP a iSCSI. V současnosti je schopen spravovat
systémy SAN od Brocade a Qlogic. Prostřednictvím běžného rozhraní může správce
vidět, co je nakonfigurováno správně a co špatně. Pokud například zařízení nebo
server změní své jméno a pokusí se znovu přihlásit k systému SAN, je správci
vyslána výstraha. "Naším cílem je pomoci zákazníkům postavit spolehlivou
infrastrukturu s dobrým modelem autorizace, který by určoval, kdo se smí kam
dostat, a to z pohledu uživatele, zařízení i serveru," vysvětluje Hoff.

Uživatelé
Většina podniků právě začíná pracovat na ucelené strategii zabezpečení dat. Asi
84 až 91 % z dotázaných zákazníků přiznalo vloni firmě McData, že nemá
bezpečnostní politiku ve formě písemného dokumentu. Podle posledního přehledu
společnosti ESG tvrdí asi třetina respondentů, že jejich současná bezpečnostní
strategie a procedury nezohledňují datová úložiště.
Na druhé straně 53 % respondentů uvádí, že už provedli bezpečnostní audit nebo
jeho provedení plánují. "I když je na trhu poptávka po systémech zabezpečení
datových úložišť ještě malá, myslím, že letos se zvedne," je přesvědčen Oltsik.
"Firemní odborníci na zabezpečení začínají chápat, že už dále nemohou ignorovat
oblast ukládání dat," vysvětluje. Když se 338 odborníků na ukládání dat
dotázali, zda se ve své společnosti už někdy setkali s útokem na uložená data,
odpovědělo 27 % z nich, že ano, případně nevěděli nebo to podle vlastních slov
nedokázali posoudit.
"Odborník na bezpečnost by těch 27 % považoval za hazard," míní Oltsik. "A to
zejména pokud pracujete se zákaznickými databázemi, s cenným duševním
vlastnictvím nebo se záznamy o kreditních kartách," dodává.


Virtualizace ukládání dat

V oblasti ukládání dat se v poslední době hovoří nejen o bezpečnosti, ale také
o dalších zajímavých tématech. Jedním z nich je i virtualizace. Ta by podle
společnosti Gartner mohla menším podnikům usnadnit přístup k funkcím, kterými
disponují větší a dražší systémy pro ukládání dat. John Kirscher, prezident pro
výzkum u společnosti Gartner, tvrdí, že ačkoliv myšlenka virtualizace jakožto
techniky přístupu není nová, je teď rostoucí důraz kladen na její uvedení do
praxe. To teoretici předpovídali už před lety, když se zabývali řízením
informací v rámci celého jejich životního cyklu. "Virtualizace přináší řadu
výhod, a to jakémukoliv podnikání. Jde například o vyšší flexibilitu zdrojů,
optimalizovanou výkonnost, snížení nákladů a odstranění zbytečných hranic;
představuje ale také řadu potenciálních výzev," míní Kirscher. Výzvami má
přitom podle vlastních slov na mysli otázky škálovatelnosti, spravovatelnosti,
spolehlivosti a složitosti, které je třeba před implementací virtualizace
ukládání dat ve firmě prozkoumat.
Z různých způsobů virtualizace ukládání dat bude mezi nejslibnější techniky
zřejmě patřit virtualizace řídicí jednotky a rozdělení svazků, kdy se na jediné
řídicí jednotce vytvoří virtuální kanály a úložiště se rozdělí podle
konkrétních potřeb. "Jde o ideální řešení pro podniky, které mají mnoho
oddělení a řadu aplikací, z nichž každá vyžaduje vlastní úložiště," vysvětluje
Fanie van Rensburg ze společnosti Shoden Data.
Podle analýzy SNIA (Storage Networking Industry Association) uživatelé považují
za nejdůležitější bolavá místa systémů pro ukládání dat náklady (TCO),
požadavky na správu a kapacitu, řízení aktiv, nedostatek spolupracujících
řešení a složitost. K tomu dodejme, že by se správa dat během jejich životního
cyklu měla zabývat všemi důležitými principy, jako jsou různé požadavky na
shodu, potřeba mít určitá data bezprostředně dostupná nebo potřeba zabezpečit,
aby byla data uchovávána na správných médiích (podle jejich důležitosti). Díky
virtualizaci se tato snaha mění v realitu. Podle přehledu, který uvedla
společnost Gartner na poslední prosincové konferenci Data Centre, uvedlo 89 %
dotazovaných, že virtualizace řídicích jednotek a rozdělení svazků jsou
technologie, kterými se budou zabývat. Kromě toho 65 % dotazovaných souhlasilo,
že nejlepším místem, kde realizovat virtualizaci, je řídicí jednotka, zatímco
10 % bylo přesvědčeno, že by to měla být síť, a 25 % mínilo, že systém síťové
inteligence.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.