NIST SP 800-209 資料儲存安全指引 Security Guidelines for Storage (2) 安全指引
前言
因為之前的篇幅NIST SP 800-209 資料儲存安全指引 Security Guidelines for Storage (1) 威脅與風險擔心太長,因此再建立一的新的Post來進行整理。
上一篇主要針對資料儲存基礎設施盤點相關的威脅、風險和攻擊面。
本篇則是主要整理儲存部署的安全建議。論文的貢獻可以在於強調可以滿足零信任要求與資料儲存相關安全標準SP800-209的相關措施。
4. 儲存部署安全建議 Security Guidelines for Storage Deployments
第4.1至4.12節提供了存儲基礎架構安全的安全建議和指南,透過其命名和編號方案旨在確保每個指南都有獨特的識別號。主要的唯一識別號採用“xx-SS-Ry”的形式。
但是,因為本人的論文希望更著重在,AP(客戶端)與資料儲存裝置之間連線時和主機本身的安全措施,因此本章節並不會列出所有的安全建議,僅列出與AP(客戶端)與儲存裝置之間,又或是「儲存基礎設施本身」的安全建議。
- “xx”是與節點標題相關的兩個字母組合:在第4.1節“物理存儲安全”中,主要識別號標記為PS-SS-R1,PS-SS-R2等
- “SS”代表“Storage Security”
- “y”是連續的數字識別號:如果有細項還會透過"a", "b"表示,例如‘PS-SS-R1.a’(遵循NIST SP 800-53,第3.10節),‘PS-SS-R1.b’(供應鏈保護)等。
我的感想:這個章節可以用來整理,如果要檢查AP、AP Host本身、儲存裝置Host本身、儲存裝置之間的安全措施,根據這些安全建立來進行檢查,並作為檢查項目之一,以此來進行授權與存取控制,避免可能的安全威脅。
4.1 (PS) 實體儲存安全 Physical Storage Security
實體安全是確保任何資訊科技「基礎建設安全」的「基本要素」。很多時候「儲存基礎建設的實體安全」要求與「其他基礎建設元素」(例如電腦和網路設備)相同(例如設施安全、監控、運輸等)。
- 基礎建設元素可以參考的相關標準包含:
NIST SP 800-53, Rev5 NIST SP 800-171。 - 有關媒體處置和銷毀可以參考:
ISO 27040, NIST SP 800-88有更近一步的討論。
因此本章節主要提供針對儲存基礎建設獨有的實體安全,或其他刊物中較少強調的方面進行條例介紹。
要求:PS-SS-R1 確保媒體安全 Media security measures
PS-SS-R1 |
確保媒體安全 |
|---|---|
PS-SS-R1.a |
建議遵循NIST SP 800-53, Rev5 的一些特定指導措施,包括制定政策、限制訪問權限、標記敏感信息、安全存儲、安全傳輸、確保數據 |
PS-SS-R1.b |
建議購買擁有足夠供應鏈保護的媒體。 |
PS-SS-R1.c |
對於敏感數據,「備份實體」媒體儲存與「主要數據儲存」地點應該足夠遠。 |
PS-SS-R1.d |
整理敏感數據的清單,並應紀錄的內容包含:敏感級別、分類(與哪些應用和服務相關)、加密級別、如果數據破壞或丟失可能對系統造成的影響、應急的措施與程序、數據與其他應用之間的依賴關係。 |
PS-SS-R1.e |
敏感的可移動媒體,應使用高級追蹤控制措施,例如RFID標籤、GPS追蹤設備、防竄改保護。 |
PS-SS-R1.f |
極度敏感的資訊,應考慮使用自我激活或遠程控制的自我毀滅機制,同時應仔細考慮如何保護這些功能以避免被攻攻擊者作為攻擊目標,觸發設備毀損機制。 |
要求:PS-SS-R2 保護所有敏感管理裝置 Protect all sensitive administrative equipment
可以**對儲存設施進行存取的「管理工作站」**應該要有以下措施:
有組織批准之安全控制:對於可以「獲取儲存基礎設施」的「敏感工作站」應進行管理訪問,使用經組織批准的安全控制,包含訪問、監控和審計。與數據保護一樣嚴謹的安全等級:保護「管理工作站」(包含家中所使用的工作站環境)的安全措施至少要與「保護數據」或「使用數據的系統」擁有一樣嚴格的安全措施。
要求:PS-SS-R3 資料消除方法應該包括儲存基礎設施中的各個元件 Data sanitization approach should cover storage infrastructure in detail
- 資料消除方法應該包括儲存基礎設施中的各個元件,而這些元件可能包含敏感資訊,應確保儲存基礎設施中的元件間都納入組織的資料消除政策,這些元件包含以下:
- 非揮發性記憶體
- 快取對象(儲存陣列、SAN交換器、路由器等)
- 韌體/BIOS設定和HBA級別的設置
4.2 (DP) 資料保護 Data Protection
本章節主要探討資料保護的相關措施、角度、分離程度等進行探討。而相關要求應該要考慮到以下層次:
資料保護不同角度
在這個章節中,主要討論資料保護的目標和相關活動,從不同的角度進行控制,包含以下:
- 資料備份和恢復(Data backup and recovery):這是確保資料在
意外故障或災難性事件後復原的重要控制措施。 - 存檔(Archiving):這是將資料保留在長期存儲中的控制措施,通常用於保存歷史資料或法規要求的資料。
- 複製技術(Replication technologies):這是在不同位置或系統之間建立資料複製的控制措施,以確保在主要
系統故障時能夠使用備用系統。 - 持續資料保護(Continuous data protection):這是一種
持續監視資料變化並即時備份的控制措施,能夠快速恢復到特定時間點的資料。 - 點對點拷貝和快照(Point-in-time copies and snapshots):這是在特定時間點上複製資料的控制措施,以便在
需要時進行還原或查詢。
識別區分數據平面
當我們談論儲存管理和保護數據時,區分不同的數據平面對於更好地理解和管理儲存系統至關重要。這是因為數據平面提供了一種方式來組織和區分數據相關的存取方法、協議、操作和授權,從而確保系統可以在不同層面上有效運作並滿足不同的需求。數據平面的主要類型包含:
- 數據消費平面:該平面涉及
執行I/O操作的存取方法和協議,以及相關的網絡連接。這是用戶和應用程序進行數據讀取和寫入的平面。 - 數據管理平面:該平面
涉及創建、配置、映射設備以及設備屬性的管理。它關注的是管理儲存系統中數據的元信息和配置信息。 - 數據保護平面:該平面涉及
數據的保護和備份。它包括複製、快照、備份、存檔等操作,以確保數據的持久性和容災能力。
資料平面分離程度
通常情況下,增加資料平面的細粒度和分離程度可以積極地影響資料資產的安全性,而設計和實施可能極大地影響,而這些設計和實施包含:
- 網路層兩層分離:例如使用不同的
VLAN增加分離程度。 - 網路邏輯分離:
獨立的IP子網路增加分離程度。 - 過濾和訪問控制列表ACL:在資料的
消費平面添加ACL防止管理操作,增加「消費」與「管理」平面的分離程度。 - 授權分離:限制每個角色的權限,
不同平面所使用的角色不同。
在該節中,也提供了針對上述每個控制措施的實施相關的嚴謹建議。而且,其他相關的需求還包含在第4.7節“隔離”和第4.8節“還原保證”中,這些需求與資料保護密切相關。
4.2.1 資料備份、恢復和儲存 Data Backup and Recovery, and Archiving
要求:DP-SS-R1 建立資料保護計劃或政策的文件
這份文件旨在確保在部署系統或資料存儲解決方案之前,組織有一個完整的、安全的資料保護計劃,以應對可能出現的數據損壞、故障或安全問題。這些措施將有助於保護數據的完整性和可用性,同時確保遵守相關的法規要求。
DS-SS-R1 |
建立資料保護計劃或政策的文件 |
|---|---|
DP-SS-R1.a |
層級、頻率和備份數量規格,以滿足組織的恢復目標。應包含如下: - 頻率和保留期:例如,每48小時快照、每日30份備份。 - 類型:例如,完整備份、增量備份、連續備份(如文件版本控制、日誌或日誌運送和存檔)、複製、點對點備份等。 |
DP-SS-R1.b |
要使用的媒體類型。 |
DP-SS-R1.c |
加密要求應用於「備份數據」的加密方法應至少與「受保護數據」的加密程度相同。 |
DP-SS-R1.d |
其他保護要求,例如數位簽章、存檔、位置、設施安全(包括防火、防爆和磁干擾保護)、不可變性和鎖定、每個備份集的最低備份数量,以及這些備份的地理分佈。 |
DP-SS-R1.e |
引用適用的法規框架以及相應的控制措施。 |
DP-SS-R1.f |
全面的生命周期管理,包括根據保護和保留政策跟踪數據副本和備份,包括積極刪除不再需要的數據副本。 |
DP-SS-R1.g |
恢復程序。 |
要求:DP-SS-R2 資料保護計劃或政策應盡可能「全面」
資料保護計劃或政策應盡可能「全面」,要求如下:
DS-SS-R2 |
資料保護計劃或政策應盡可能「全面」 |
|---|---|
DP-SS-R2.a |
應包含企業所有資料資產,無論是本地或雲端:儘管對於那些沒有重要性的資料,或可以從其他受保護資料來源中,重新建立的資料資產,可以不進行保護,但這樣的例外應有文件紀錄。 |
DP-SS-R2.b |
應以資料類型進行組織層級(第一層、第二層)。 |
DP-SS-R2.c |
應考慮應用程式和業務流程層面的資料完整性:若是有兩個元件使用相同之資料,進行恢復時需要恢復到相同的時間點才能正常運作,則應該針對這種情境實施「聯邦一致性機制」等解決方案。 |
DP-SS-R2.d |
應考慮到滿足業務或監管要求的恢復速度。 |
要求:DP-SS-R3 對於備份相關的標準作業程序應包含的要求
除了備份計畫或政策之外,與備份相關的標準作業程序應該包括以下內容:
DS-SS-R3 |
備份相關的標準作業程序要求 |
|---|---|
DP-SS-R3.a |
應該定期檢查備份的執行情況,並在需要時通知相關人員。 |
DP-SS-R3.b |
定期測試備份: 1. 重要的資料備份可還原性:應至少每月一次,以驗證其完整性和可還原性。 2. 嚴格要求還原速度的應用程式可用性:應進行端對端測試環境(例如將數據集完整還原到一個模擬真實還原情況的測試環境中,稱為sandbox recovery environment)。 |
DP-SS-R3.c |
1. 應保持最新的恢復目錄:追蹤每個副本(包括備份、複製、時間點副本等)的相關資訊,資訊包含防毒工作掃描結果。 2. 對於敏感資料,應定期使用防毒工具:掃描至少一個過去副本的子集識別是否有被感染的副本。目錄需求可參考CM-SS-R2。 |
DP-SS-R3.d |
定期審查(至少每年一次)備份計畫和操作程序,以確保其持續適應當前需求。 |
DP-SS-R3.e |
維護一份審計記錄,提供必要的資訊以確保操作符合政策要求。 |
DP-SS-R3.f |
應包含必要時所採取特殊控制措施(例如,將舊的、有風險的或不再支援的媒體複製到新的媒體中,等等)。 |
要求:DP-SS-R4 資料保護配置管理的要求
以下要求旨在確保資料保護配置的安全性、穩定性和一致性,同時保障系統的高可用性和容錯性。
- 集中式管理:所有與資料保護相關的配置,包括備份、點對點時間複製和複寫等,應該由一個中央管理系統或管理員來統一管理,以確保一致性和效率。
- 與資料使用層面分離:資料保護配置的管理應該與實際的資料使用層面分開。這意味著伺服器和客戶端不應該擁有更改自己資料保護配置的權限,這樣可以防止未經授權的變更和損害。
- 防止自我配置:資料保護系統應該禁止伺服器和客戶端對其自身的資料保護配置進行修改,以保證配置的穩定性和安全性。
- 不排除冗余機制:這項要求明確表示,雖然要集中管理和防止自我配置,但不排除使用冗余機制來保護系統免受單點故障的影響。這樣,即使一部分系統出現故障,其他冗余的部分還可以保持運作。
4.2.2 複製和鏡像 Replication and Mirroring
要求:DP-SS-R5 主要與次要儲存的資料保護需一致
- 同步和非同步「複製」都需要與主要儲存相同層次的資料保護。
- 包括加密資料在靜止時,以及設定存取限制。
要求:AC-SS-R6 消除不必要的儲存裝置間複製信任
- 當陣列之間沒有共用複製的卷時,應禁用它們之間的複製信任關係。
- 陣列之間有共用複製的卷時,應限制它們相互之間的特權,僅限於共用的卷上。
要求:DP-SS-R7 資料在複製和鏡像「傳輸中」的保護
- 複製和鏡像期間,資料在傳輸中的機密性和完整性需要使用加密保護。
- 當適當的緩解控制措施存在時,可以放寬加密要求(例如在相同機櫃或伺服器房間內進行鏡像)。
要求:DP-SS-R8 同步複製的自動I/O暫停
- 次要儲存伺服器的同步進度落後於主要資料的更新時,應啟用自動I/O暫停功能,防止主要儲存裝置上的寫操作。如果繼續允許在主要儲存裝置上進行寫操作,可能會導致
- 資料不一致性、資料遺失風險。
- 但是
需注意:啟用此功能增加主要儲存裝置受到攻擊的風險,因為敵對方可能攻擊複製網路路徑來觸發主要儲存裝置的拒絕服務。
要求:DP-SS-R9 刪除過時複製品以減少攻擊面
- 定期刪除過時的複製品,以減少攻擊面。
4.2.3 時間點副本 Point-in-Time Copies
要求:DP-SS-R10 配置點對點複本時應滿足目標要求
- 確保點對點複本(例如快照)的配置符合
目標數據集的恢復點目標(RPO)要求。 - 如果業務或合規標準要求在恢復時最多只能損失五分鐘的已提交數據,則快照間隔應為五分鐘或更短。
- 確保配置足夠數量的每小時快照以滿足保留要求。
要求:DP-SS-R11 刪除過時快照和克隆
定期刪除過時的快照和克隆,以減少攻擊面。
4.2.4 持續資料保護 Continuous Data Protection
要求:DP-SS-R12 使用持續資料保護的安全考量
- 功能上的優勢:改進的恢復點目標(RPO)、更細緻的保留策略。
- 持續數據保護技術:包括持續數據保護(CDP)、在雲端檔案和對象存儲中對「源數據或副本」進行「版本控制」,以及「事務日誌運送」。
- 協助改善敏感數據的取證:回溯到之前的版本可以幫助了解攻擊的特徵、時間等,但可能非常耗時。
4.3 (AC) 身份驗證與數據訪問控制 Authentication and Data Access Control
管理用戶及其管理主機是攻擊者可以利用的攻擊面,特權使用者的不當使用可能導致存儲系統失敗或遭受侵害。實施"最小權限模型"並利用特定角色進行管理是重要的。
根據ISO/IEC 27040標準,應該實施以下角色並在存儲技術中使用:安全管理員、存儲管理員和安全審計員,這些角色的設計有助於確保儲存技術的安全性,並限制特權訪問,降低了存儲系統受到攻擊的風險。
好的,我可以幫您做一個表格,來整理這些角色的擁有權限和工作內容。以下是表格的內容:
安全管理員 Security Administrator
| 擁有的權限 | 工作內容 |
不可做 |
|---|---|---|
| 查看和修改權限 | - 建立和管理帳戶- 設置和管理用戶和管理操作的 角色和權限- 制定與 驗證器、憑證和密鑰相關的政策- 管理加密和密鑰 - 管理 審計和日誌記錄 |
無 |
存儲管理員 Storage Administrator
| 擁有的權限 | 工作內容 |
不可做 |
|---|---|---|
| 存儲管理員 | 查看和修改權限 | - 訪問和管理存儲系統的所有方面 |
安全審計員 Security Auditor
| 擁有的權限 | 工作內容 |
不可做 |
|---|---|---|
| 安全審計員 | 查看權限 | - 進行授權審查- 驗證安全參數和配置- 檢查 審計日誌 |
存儲審核員 Storage Auditor
| 擁有的權限 | 工作內容 |
不可做 |
|---|---|---|
| 安全審計員 | 查看權限 | - 進行授權審查- 驗證安全參數和配置- 檢查 審計日誌 |
4.3.1 身份驗證建議 Authentication Recommendations
要求:AC-SS-R1 應確保使用者的唯一識別符號 Unique Identifier for all users
- 所有使用者(包括管理員)應該擁有一個僅供個人使用的唯一識別符號。
- 指派給管理員的識別符號,至少應該符合 NIST 文件 SP800-63A [35] 第 4.2 和 4.5 節中所指定的身份保證級別 3 (IAL 3)。
- 唯一的例外是緊急使用帳戶,其安全使用方式在 AC-SS-R16 中有所規定。
要求:AC-SS-R2 集中式認證解決方案 A centralized authentication solution
- 在大型環境中,應該部署一個集中式認證解決方案(例如 Active Directory、輕量級目錄訪問協議 [LDAP]、單一登錄 [SSO]、經組織批准的雲認證服務),以便密切監控和控制使用者對存儲資源的訪問。
- 確保組織的認證政策得到統一執行。
- 應該避免使用內建的認證和權限管理功能,最好將其停用。
要求:AC-SS-R3 認證伺服器的配置 Configuration of authentication servers
DS-SS-R3 |
要求內容 |
|---|---|
AC-SS-R3.a |
嚴格控制執行認證服務的伺服器的指派:將執行認證服務(Authentication Service)的伺服器指定給特定的伺服器,並確保這樣的指派是經過嚴格管理和控制的。 |
AC-SS-R3.b |
應該擁有多個認證伺服器:以確保可用性,避免單一故障點。 |
要求:AC-SS-R4 安全連接到集中式身份驗證伺服器 Secure connection to centralized authentication server
- 集中式身份驗證伺服器與驗證客戶端之間的通訊都應使用最新的安全協議
- 例如Transport Layer Security (TLS) 1.2或更高版本。
要求:AC-SS-R5 使用多因素驗證 Use of multi-factor authentication
- 對於存儲重要數據的基礎架構組件的訪問配置,應該使用至少兩因素驗證
- 這些驗證器至少應符合NIST文件SP800-63B [36]第5.1.9節中指定的要求。這項要求對於擔任安全管理員和存儲管理員角色的使用者的訪問應該是強制性的。
4.3.2 密碼建議 Password Recommendations
要求:AC-SS-R6 安全密碼政策應涵蓋服務帳戶 Secure password policies should cover service accounts
- 個人張戶與服務帳戶應滿足安全的密碼政策:不僅應用於個人帳戶,還應應用於服務帳戶(例如,簡單網路管理協定(SNMP)、網路資料管理協定(NDMP))和自動化工具使用的帳戶。
- 這些密碼至少應滿足NIST文件SP800-63B [36]中第5.1.1節所述的記憶的秘密memorized secrets的要求。
AC-SS-R7 密碼長度 Password Length
- 一個好的密碼應該至少有15個字符,最好是20個字符。
AC-SS-R8 密碼複雜性 Password complexity
- 一個好的密碼應該結合大寫和小寫字母、數字和特殊字符。它不應該與用戶名相似,也不應包含重複的字符序列。
AC-SS-R9 密碼到期 Password expiration
- 所有密碼應該設置到期時間。管理員帳戶的到期時間應該比普通用戶帳戶更短。
AC-SS-R10 密碼重複使用 Password reuse
- 用戶不應該重複使用最近的至少四個(或更多)密碼,根據組織風險因素來設定這樣的限制。
AC-SS-R11 密碼緩存 Password caching
標準 |
要求內容 |
|---|---|
AC-SS-R11.a |
密碼不應該被緩存在伺服器、桌面或任何其他系統中。 |
AC-SS-R11.b |
應該使用足夠短的生存時間(Time to Live, TTL)或等效的控制機制。 |
AC-SS-R12 儲存密碼 Saving Passwords
- 密碼不應該明文保存在任何地方(例如文件)或腳本中。
- 即使密碼以加密形式儲存,也絕不能啟用存儲管理應用程序來本地記住用戶和密碼以實現自動登錄,除非通過授權的中央身份驗證服務(如LDAP SSO)管理。
AC-SS-R13 刪除或更改默認密碼 Eliminate or change default passwords
- 系統安裝或部署時附帶的默認密碼應該立即更改。
4.3.3 帳戶管理建議 Account Management Recommendations
要求:AC-SS-R14 不與系統使用者關聯的帳戶 Use of accounts not associated with system users
- 應該禁用與任何無關聯的帳戶(例如不在Active Directory中的帳戶,如"guest",“anonymous”,“nobody”)。
- 它們的所有默認配置(例如密碼、權限)應該按照組織範圍的政策進行更改。
要求:AC-SS-R15 帳戶鎖定 Account lockout
- 在一定次數的失敗登錄嘗試後,應該將使用者鎖定。
- 某些帳戶鎖定的實現包括在一定時間或電源循環後自動重置(帳戶解鎖)。
- 在敏感的存儲系統上不應允許自動重置。
要求:AC-SS-R16 用於緊急情況的本地使用者帳戶 A local user account for emergency purposes
- 應該保留一個單獨的本地使用者帳戶,以便在「中央身份驗證系統」「不可用時」提供僅限緊急情況的存儲資源訪問。
- 這個帳戶應該符合:
- 所有組織政策(例如密碼長度)
- 它的使用應該僅限於特殊受保護的位置
- 遵循完善的文件程序,其中包括相關利益相關者的適當批准和使用通知。
要求:AC-SS-R17 消除或禁用預設使用者帳戶 Eliminate or disable default user accounts
- 存儲系統安裝時附帶的預設使用者帳戶,如果有相關功能,應立即被消除或禁用。
- 儘管消除或停用預設使用者帳戶功能不存在,或者有正當理由保留其中任何帳戶時,應滿足AC-SS-R18要求。
要求:AC-SS-R18 – 限制本地和預設使用者帳戶 Limit local and default user accounts
要求 |
要求內容 |
|---|---|
AC-SS-R18.a |
限制使用此類帳戶及其擁有的權限。 |
AC-SS-R18.b |
密碼策略應適用於所有使用者、本地和預設帳戶,包括具有管理權限的帳戶。 |
4.3.4 權限和會話管理建議 Privilege and Session Management Recommendations
AC-SS-R19 角色和責任配置
- 至少應該對所有儲存資源的訪問實施ISO標準ISO/IEC 27040 [10] 中的四個角色(即安全管理員,存儲管理員,安全審核員和存儲審核員)。
- 要確保存儲產品在存儲敏感信息時,具備足夠細緻的角色控制機制,若存儲產品原本沒有這樣的功能,則可以透過補償控制方式來達到相似的效果。
要求:AC-SS-R20 遵循“職責分離”原則
遵循“職責分離”原則來分配特權給角色和將角色分配給用戶。應該至少包含以下:
標準 |
要求內容 |
|---|---|
AC-SS-R20.a |
分配給「數據管理」的特權和「數據保護」的特權應分配給不同的角色,這兩個角色不應該指派給同一用戶。 |
AC-SS-R20.b |
分配給「數據管理」的特權和「主機管理」的特權應分配給不同的角色,這兩個角色不應該指派給同一用戶。 |
此外:
- 數據管理:創建新的儲存卷、或共享資源給用戶等讓儲存資源正常運作之權限。
- 數據保護:配置、停止或刪除備份,確保儲存資料的安全與預防數據損失有關之權限。
- 主機管理:在存儲控制器中創建/刪除對象等任務,管理存儲系統的硬體和基礎架構有關之權限。
要求:AC-SS-R21 最小特權原則
- 任何角色被指派的特權都應遵循"最小特權"原則
- 分配給角色的權限不應該超過其執行的功能所需的權限。在這個情境中,這些權限涉及訪問特定存儲資源,例如塊設備、文件、對象等。
要求:AC-SS-R22 - 安全的會話管理
- 客戶端和存儲基礎架構系統之間的所有會話都應該根據所需的認證保證等級進行管理,符合[63B]第7節的要求,包括終止和自動登出。
要求:AC-SS-R23 - 實施“每日消息”和“登錄橫幅”通知
- 在通過用戶界面(UI)、命令行界面(CLI)或應用程序編程接口(API,如果適用)「登錄」到「任何存儲基礎架構組件」或「系統」之前,應該顯示“每日消息”或“登錄橫幅”通知。該消息應該包括法律聲明:
- 「
警告用戶正在訪問具有敏感數據的受限系統」 - 以及「根據組織的安全和隱私政策
提供任何其他警告和有意義的消息。」
- 「
4.3.5 SAN 特定建議 SAN-Specific Recommendations
- SAN代表Storage Area Network,翻譯為「儲存區域網路」。簡單來說他用來連接儲存設備與伺服器之間的資料傳輸。
- 通常由專門的硬體和軟體組成,並使用光纖通道(Fibre Channel)或者乙太網(Ethernet)等高速連接技術,以實現高效率、低延遲的資料傳輸。
- SAN的儲存資源在伺服器上被視為本地的硬碟,使得伺服器能夠透過SAN存取和管理這些儲存裝置。
與SAN相關的存取控制主題涉及多個方面。有些方面與網絡配置和管理訪問有重疊,在其他章節中已經涵蓋了。
為了避免重複討論,要全面了解所有存取控制方面,請參考這三節的內容。
- 與「網絡基礎設施」(例如交換機、端口、主機緘閉器和網絡接口卡)以及「協議」相關的存取控制建議,可以參考第4.6節中有詳細討論
- 資料在傳輸過程中的加密(存取控制的其中一種機制),可以參考第4.9節中有詳細討論。
- 管理訪問在第4.10節中有詳細討論。
而本節主要討論「與資料相關」的「存取控制」,涵蓋塊「設備」相關的存取控制、「實施區劃」(zoning)以及加入「光纖通道」的存取控制規範。
注意:AC-SS-R24 - 區塊設備(HDD、SSD、etc)的存取控制
一組主機對於一組存儲區域網(SAN)設備的存取應該透過zoning(軟體或硬體)和masking來限制,以達到最小所需存取權限。
注意:AC-SS-R25 - 區塊設備複製和複本的存取控制
- 一組主機對於一組經SAN複製的區塊設備、快照和其他類型的時間點複本的存取應該透過分區zoning和masing來限制,以達到最小所需存取權限。
- 在許多情況下,被授予存取權限的主機不應該被允許存取複本。
注意:AC-SS-R26 - 默認分區的權限
- 默認zoning的權限(可能是產品特定的)應該始終配置為“全部拒絕”。
注意:AC-SS-R27 - 分區實施
分區應該在交換式SAN架構中基於合理的邏輯來實施,特別是與「環境」和「流量」類型的相關性,這些應該盡可能地分開:
要求 |
要求內容 |
|---|---|
AC-SS-R27.a |
環境:開發、測試、生產等。 |
AC-SS-R27.b |
流量類型:數據存取、管理、複製、備份等。 |
AC-SS-R27.c |
主機類型:虛擬化、物理主機。 |
AC-SS-R27.d |
存儲設備類型:磁帶、磁碟。 |
注意:AC-SS-R28 - 軟體分區實施
當實施軟體分區時,只允許主機通過簡單名稱服務器(SNS)連接到存儲設備,通過查閱軟體分區表,而不是直接使用設備探索。
注意:AC-SS-R29 - 控制可以加入SAN的裝置
- 在SAN中,有一個政策規範的功能,可以「創建白清單」,列出可加入該存儲區域網的交換機、數據存儲設備以及主機,建議在適用的情況下充分利用這一功能。
4.3.6 檔案和物件存取建議 File and Object Access Recommendations
注意:AC-SS-R30 - 限制所有類型的「物件存儲數據」到最低限度
限制所有類型的物件存儲數據(例如,檔案、物件)遵循“最小權限”原則,包括:
要求 |
要求內容 |
|---|---|
AC-SS-R30.a |
透過任何協議進行物件儲存數據的存取時,應該基於客戶端的IP和/或相關子網路進行限制,同時要求指定端口/協議。 |
AC-SS-R30.b |
使用更精細的存取控制機制(例如,按角色、ID、標籤、帳戶、虛擬私有雲(VPC)、VPC 端點等)。 |
AC-SS-R30.c |
存取權限只應授予集中管理的用戶和角色,例如企業目錄中的用戶或經批准的商業服務,而不應授予特定系統的本地用戶。 |
AC-SS-R30.d |
對於任何共享,**默認存取權限應設置為“全部拒絕”**或等效設置。 |
AC-SS-R30.e |
默認共享應禁用或刪除。如果有特定用途需要使用它們,存取權限應限制為最低要求。 |
AC-SS-R30.f |
存取權限(例如讀取、寫入、執行、修改、刪除、查看ACL、更改ACL)應根據“Need to Know”原則進行個別分配。 |
AC-SS-R30.g |
如果可用,應使用定義物件存儲ACL的功能,以及使用本地操作系統的用戶、組或管理員權限模型。 |
AC-SS-R30.h |
如果有定義文件級別存取模式的策略定義功能,應加以利用,並且應實現檢測違規模式的功能,可以發送通知。 |
補充:“Need to know” 是一個信息安全原則,強調只有在某人必須知道或具有執行特定任務的需求下,他們才能取得相關的敏感信息或資源。這個原則適用於各種情況,包括數據存取權限、網絡訪問權限、機密文件存取等。
注意:AC-SS-R31 - 禁用需要驗證的用戶
- 需要驗證的用戶應該被禁用(例如,匿名、空、訪客或“公共訪問”用戶)。
- 可以提供例外,以允許組織關鍵功能,例如網絡發現,但在這些情況下,這些用戶應映射到“nobody”用戶組,而不是“ID 0”。
注意:AC-SS-R32 - 定期審核安全設置
- 定期審核所有上述存儲數據的安全設置,包括各種類型的數據(例如文件、對象),以確保沒有偏離。
- 審核結果應予以記錄。
注意:AC-SS-R33 - 使用反惡意軟體掃描工具
- 使用反惡意軟體工具對敏感信息文件進行掃描。
- 每當「訪問」包含「敏感信息」的「文件」時,應首先使用經組織批准的反惡意軟體工具進行掃描,以確保文件未遭受破壞。
注意:AC-SS-R34 - 進行細粒度的權限分配
- 進行細粒度的權限分配:
- 對於文件和對象共享系統(例如NFS、CIFS、雲對象存儲),應採用較細粒度的權限授予。
- 不應使用較粗粒度的方式(例如對文件或對象進行控制,而非對整個文件夾進行控制,或者對共享或存儲桶進行控制)。
注意:AC-SS-R35 - 限制root訪問以保護NFS
- 限制root訪問以保護NFS,這包括使用“nosuid”選項。
- 避免使用“no_root_squash”來防止客戶端上的程序以root用戶身份運行。
- 並且避免遠程root用戶修改共享文件。一般情況下,
不應允許NFS客戶端在已導出的文件系統上運行“suid”和“sgid”程序。
注意:AC-SS-R36 - 設置noexec設定防止可執行文件執行
- 要求確保那些被設置為"read only"模式的NFS共享,在其
掛載配置中添加"noexec"選項,以防止在該共享上執行可執行文件。
注意:AC-SS-R37 - 不允許導出管理文件系統
- 不允許導出管理文件系統:包括
‘/’文件系統和受限的操作系統或存儲數組系統文件夾。
注意:AC-SS-R38 - 不應向任何用戶授予完全控制權限
- 在使用CIFS時,不應向任何用戶授予“完全控制”權限,因為接收者可能使用該權限來修改權限,從而導致特權泄露。
CIFS代表Common Internet File System(通用互聯網文件系統)。它是一種用於在計算機網絡上分享文件和資源的協議。CIFS最初是由微軟開發的,用於Windows操作系統中的文件共享。
CIFS協議允許不同的計算機之間進行文件共享,使得用戶可以在網絡上訪問和操作其他計算機上的文件,就像訪問本地文件一樣方便。這使得用戶能夠在不同的計算機之間共享資源,例如文檔、圖片、音頻和視頻等。
注意:AC-SS-R39 - 使用對象保護來防止未經授權的刪除
- 對於敏感信息,如果支持的話,應
使用高級控制來防止未經授權的對象刪除。 - (例如對象刪除時需要多重身份驗證,或對對象進行鎖定防止刪除)。
4.4 (AL) 審計日誌 Audit Log
儲存基礎架構元件會生成大量的交易或事件的事件日誌記錄。這些事件日誌記錄必須以某種方式進行記錄,以進行事件記錄。
- 從
安全或合規性的角度來看,重要的是捕獲那些必要的事件日誌記錄,以證明操作的證據。 強制說明責任和可追溯性,滿足證據要求,以及對系統進行充分監控。
以下是與安全相關的審計日誌事件:
管理事件- 與系統權限管理相關知識間。- 例如,重設使用者密碼,帳戶的創建/刪除,權限修改,角色變更,群組成員變更,特權操作,配置的建立/更改。
安全相關事件- 系統安全費制的更改、授權錯誤訊息等可能導致安全事件發生的事件。- 例如,使用者配置和安全配置的更改,對儲存的失敗/阻塞嘗試,被阻止的登錄嘗試。這些事件通常是有興趣的,儘管其中一些事件可能與管理事件重疊。
資料存取事件- 資料存取的相關事件,存取信息對於監控敏感信息(例如,確定對手可能接觸了什麼)是有幫助的。
以下是審制日誌不檔可能導致的後果:
- 安全日誌和分析的不足,使攻擊者能夠隱藏其位置、惡意軟體以及在受害者機器上的活動。
- 缺乏可靠的審計日誌,攻擊可能會長期不被察覺,而實際造成的損害可能是不可逆轉的。
- 由於日誌分析流程的不善或不存在,攻擊者有時可以在目標組織中控制受害者的機器數月或數年,而目標組織中的任何人都不知道,即使可以在未審查的日誌文件中獲取攻擊的證據。
基於事件日誌數據對於攻擊檢測和鑒識調查的關鍵性,以下是實施審計日誌功能的安全建議:
要求:AL-SS-R1 - 儲存基礎架構的組件應啟用審計記錄
- 是一個資訊安全要求,指出
所有儲存基礎架構的組件應啟用審計記錄,並且使用可靠的傳送方式和安全的通訊協議。
要求:AL-SS-R2 - 可靠的外部時間同步的要求
- Network Time Protocol (NTP)服務對於時間同步至關重要。
- 如果NTP服務被停用:
- 相依的系統可能會受到不準確的訊息、事件和警示的時間戳記
- 不同裝置之間的時間不一致,以及因此無法進行日誌分析、相關性分析、異常檢測或取證。
- 在整個環境中建立和
使用一個共同且準確的時間來源,有助於確保來自不同來源的事件記錄能夠相關聯。 - 以下是有關部署和整合NTP與儲存相關裝置的建議:
|要求| 要求內容 |
|---------|----------|
|AL-SS-R2.a| 所有裝置(包括日誌伺服器和儲存基礎架構)都應啟用NTP服務。|
|AL-SS-R2.b| 有裝置應配置為與時間來源伺服器(例如NTP伺服器)進行時間同步。|
|AL-SS-R2.c| 存取權限只應授予集中管理的用戶和角色,例如企業目錄中的用戶或經批准的商業服務,而不應授予特定系統的本地用戶。|
|AL-SS-R2.d| 建立至少三個地理位置不同的獨立時間伺服器,以確保即使其中某個伺服器發生故障或無法使用,其他伺服器仍能提供正確的時間資訊。|
|AL-SS-R2.e| 應使用憑證來驗證時間來源伺服器的身份已確保時間同步服務的安全性。|
|AL-SS-R2.f| - 可以利用存取控制選項,例如 “ntpd” 存取限制,來限制對時間來源伺服器的存取。
- 您可以設定存取控制清單,列出被允許或禁止存取時間伺服器的裝置。(例如設定restrict 192.168.2.10只允許此ip進行存取。)|
要求:AL-SS-R3 - 以集中的方式收集日誌並確保可靠性
- 通過將日誌寫入中央日誌伺服器(例如,syslog 伺服器、雲端日誌服務),降低了日誌丟失或被更改的風險,因為它們在內部網路中更安全。以下是有關部署和集成與存儲相關設備的中央日誌記錄的建議:
|要求| 要求內容 |
|---------|----------|
|AL-SS-R3.a| 應「定義」存儲設備的組織日誌記錄「標準」並以指定所需的日誌記錄級別。(更具體的建議請參見AL-SS-R4)|
|AL-SS-R3.b| 「所有設備」應根據適用的「組織日誌記錄標準」,配置「傳輸日誌事件數據」至組織核准的「中央日誌伺服器」。|
|AL-SS-R3.c| 應在所有設備上監控中央日誌配置的有效性(例如,日誌服務保持啟動狀態、日誌記錄級別配置符合組織標準、每個設備都配置了經核准的日誌伺服器),對檢測到的異常進行高優先級處理。|
|AL-SS-R3.d| 應部署多個syslog伺服器,以實現連續記錄,並防止單一故障點。|
|AL-SS-R3.e| 每個日誌應至少保留一份離線副本。|
|AL-SS-R3.f| 為防止在停止並重新啟動所有記錄條目寫入之前丟失條目,應配置日誌記錄實時寫入磁碟,並且不使用緩衝區,並使用可靠的協議傳送。|
要求:AL-SS-R4 - 日誌記錄等級
存儲審計日誌應包含(但不限於)與所有與「存儲相關」的object、sites和accounts的保護相關的以下事件:
要求 |
要求內容 |
|---|---|
AL-SS-R4.a |
敏感環境中,Read-only的API Calls。 |
AL-SS-R4.b |
所有對服務、端口、文件、對象或設備的拒絕訪問嘗試應記錄下來。 |
AL-SS-R4.c |
涵蓋整個密鑰生命周期操作(尤其是加密密鑰)的加密密鑰管理操作,例如密鑰生成、密鑰刪除、證書管理等,尤其是關於密鑰銷毀等事件皆應該紀錄。 |
要求:AL-SS-R5 - 有關審計日誌保留和保護
有關審計日誌保留和保護,應採取以下措施:
要求 |
要求內容 |
|---|---|
AL-SS-R5.a |
需要足夠長的時間保留日誌數據,因為通常需要一段時間才能察覺到已發生或正在發生的入侵事件。 |
AL-SS-R5.b |
分配足夠的存儲空間,主動監控日誌數據的剩餘空間和異常增長速率,以防止日誌目的地充滿。(已知的攻擊模式包括先充滿日誌以阻礙取證,適當的監控有助於即時識別此類攻擊。) |
AL-SS-R5.c |
涵存檔的日誌數據應受到防篡改保護(例如使用WORM或不可變存儲、對象鎖定、多因素身份驗證(MFA)批准刪除)。如果支持,中央日誌服務器也應使用這些存儲選項。 |
AL-SS-R5.d |
通過指定角色和帳戶來限制對日誌數據和服務器的訪問。 |
AL-SS-R5.e |
啟用加密,因為訪問日誌數據可能會為攻擊者提供有關資產和可能攻擊向量的有價值的見解。 |
要求:AL-SS-R6 - SIEM整合
- 如果支持,應將存儲基礎架構日誌與安全信息和事件管理SIEM整合,以進行潛在的威脅檢測。
4.5 (IR) 數據事件應急響應和網絡復原的準備 Preparation for Data Incident Response and Cyber Recovery
有關事件響應的作用與建立,可以參考NIST的架構來改進關鍵基礎設施的安全[40]。與存儲相關的事件應該作為組織事件響應流程的一部分來處理,其中包括隔離、根本原因分析、定義和管理響應計劃、測試以及定期流程審查和更新。以下的建議涵蓋了應考慮的特定方面,涉及存儲基礎設施和數據資產。
[40] National Institute of Standards and Technology (2018) Framework for Improving Critical Infrastructure Cybersecurity, Version 1.1. (National Institute of Standards and Technology, Gaithersburg, MD). https://doi.org/10.6028/NIST.CSWP.04162018
要求:IR-SS-R1 – 開發針對儲存元件遭到入侵的響應計畫
在組織風險分析、隔離、修復、恢復和測試程序中,應考慮以下要素:
要求 |
要求內容 |
|---|---|
IR-SS-R1.a |
整個存儲數組或整個基於雲的存儲資產(例如,SAN、NAS、對象存儲、彈性文件系統)的入侵。 |
IR-SS-R1.b |
備份系統的入侵響應計畫。 |
IR-SS-R1.c |
單個存儲元素(例如,共享、塊設備)的入侵響應計畫。 |
IR-SS-R1.d |
FC SAN網絡的入侵(包括單個交換機和SAN服務)。 |
要求:IR-SS-R2 – 在事件管理期間確保恢復資產不可變性
- 結合下面第4.7節提供的有關保護網絡復原副本的建議,這些副本在事件管理期間應
保持隔離。
要求:IR-SS-R3 – 驗證恢復的計算組件的衛生狀況
- 確保在將恢復的可執行文件、應用程序、容器和操作系統映像部署到生產環境之前,它們是不受感染的。
4.6 (NC) 網路設定指引 Guidelines for Network Configuration
與存儲相關的網絡主題涉及多個方面,其中一些與數據訪問控制、管理訪問和加密有重疊之處,這些已在其他部分中涵蓋。為了全面了解所有網絡配置方面,請參考所有節的內容。:
- 第4.3節中,與
數據訪問控制密切相關的某些網絡建議; - 第4.9節中,與
網絡和協議相關的加密建議; - 第4.10節中,與
管理訪問密切相關的某些網絡建議;
而本節主要涵蓋的網絡基礎設施(例如交換機、端口、HBA和NIC配置、分區指南等)和協議。
4.6.1 FC SAN 和 NVMEoF
- FC SAN:是一種存儲區域網絡技術,它使用光纖通道協議來連接主機和存儲設備。它是一個高性能、可靠且擴展性良好的解決方案,通常用於連接企業級的存儲系統和主機。
- NVMEoF (NVME over Fabric)目的在使用NVMe協議通過網絡訪問遠程存儲設備,而無需通過本地線路直接連接。
- NVMe(Non-Volatile Memory Express)是一種高效的存儲訪問協議,專門設計用於快閃存儲器(例如SSD)等非易失性存儲設備。
- NVMeoF 則是在現有網絡架構上將NVMe協議擴展到Fabrics(例如Ethernet或InfiniBand等)的技術。
- 這樣,NVMeoF允許主機使用NVMe協議通過網絡訪問遠程存儲設備,而無需通過本地線路直接連接。
- 這種技術可以在數據中心和雲環境中實現高效、低延遲的存儲訪問,並提供更好的可擴展性和靈活性。
注意:NC-SS-R1 - 主機和交換機身份驗證
- 每個
主機和存儲交換機應該具有獨特的身份,在加入網絡之前應該進行身份驗證(例如,FC-SP-2 AUTH-A)。
注意:NC-SS-R2 - 使用經批准的PKI機制
- 使用組織批准且經過認證的集中式PKI系統來管理交換機證書(例如,Fibre-Channel Certificate Authentication Protocol或FCAP),而
不是使用設備自簽名的證書。
注意:NC-SS-R3 - 使用混合方法進行zoning
實施一種結合不同類型區域劃分機制的方法,而不僅僅是使用單一類型的劃分(即主機、交換機和存儲設備):
要求 |
要求內容 |
|---|---|
NC-SS-R3.a |
基於主機的分區機制,主機上的應用程式可以存取和看到可存取的設被或儲存資源有哪些。 |
NC-SS-R3.b |
基於交換機的分區機制,這是指使用交換機來控制設備之間的通信,使得只有特定的設備可以與其他特定的設備進行交互。 |
NC-SS-R3.c |
基於存儲設備的分區機制,這是指在儲存系統中,存儲陣列會根據特定的設定,決定哪些主機(或者更具體地說,哪些主機的HBA端口)可以訪問哪些塊設備,而其他未列出的主機將被拒絕訪問。 |
NC-SS-R3.d |
基於功能性的分區機制,區域集合功能就像在存儲網絡中建立了幾個專用的區域,每個區域都有特定的用途,這樣就能更好地管理和控制存儲資源的訪問。 |
要求:NC-SS-R4 - 遮罩建議
- 遮罩指的是使block-device對主機可見或不可見。
- 優先將遮罩放置在盡可能靠近數據的位置,盡可能遠離數據使用者或客戶端(例如,優先使用數組遮罩而不是交換器遮罩,核心交換器而不是邊緣交換器,以及交換器而不是HBA)。
要求:NC-SS-R5 - 交換器配置數據備份
- 創建交換器配置數據的備份,包括區域配置文件。
- 該備份應保留在SAN交換器之外,以便在發生錯誤或惡意損壞或刪除時能夠重新部署。
要求:NC-SS-R6 - 將交換器管理功能限制為最小必要
要求 |
要求內容 |
|---|---|
NC-SS-R6.a |
在實施SAN(Storage Area Network)結構時,應該制定明確的政策,指定並最小化授權用於分發配置數據的交換器集合(同時提供可接受的冗餘性)。 |
NC-SS-R6.b |
不應啟用不必要的配置管理許可權和服務,例如密碼分發,將密碼發送給相應的用戶或設備的過程。 |
要求:NC-SS-R7 - 使用軟性(Soft zoning)與硬性(Hard zoning)區域劃分的考慮
- 軟性區域劃分:依靠主機的身份來限制存儲區域的訪問,相對不夠安全,但在跨設施且存在物理安全風險的情況下可能更合適。
- 硬性區域劃分:則使用物理端口號碼,不依賴主機身份,較為安全,特別適用於物理訪問受到嚴格保護的情況。
要求:NC-SS-R8 - 限制執行管理任務的特定的光纖通道埠
限制哪些儲存區域網路(SAN)的光纖通道物理和邏輯埠可以用於管理。- 只有
特定的光纖通道埠能夠執行管理任務,例如設置、配置或監控SAN。其他的光纖通道埠則被關閉或限制其功能,以確保它們不能被用來進行管理任務。
要求:NC-SS-R9 - 限制交換器之間的通信
- 限制交換器之間的通信。
- 確保只有必要的交換器之間可以相互通信。這有助於降低未經授權設備進入儲存區域網路的風險。
要求:NC-SS-R10 - 停用未使用的儲存區域網路(SAN)埠
- 停用未使用的儲存區域網路(SAN)埠,以防止意外或有意連接未經授權的設備。
4.6.2 IP 儲存網路 IP Storage Networking
要求:NC-SS-R11 – IP儲存網路分隔
本節主要討論IP存儲網絡的分隔原則,旨在保障存儲相關通信在IP網絡上的安全性。以下是該段落的重點總結:
- 在存儲相關通信中,應該根據不同的流量類型,在Network Layer第2層和第3層進行環境和流量的分隔,以保障安全。
- 對於敏感環境,應該最大限度地進行分隔,分隔的依據包括以下:
|要求| 要求內容 |
|---------|----------|
|NC-SS-R11.a| 流量類型:數據訪問協議、管理、複製、備份、主機和應用網絡等。|
|NC-SS-R11.b| 進一步區分不同解決方案、供應商和技術的管理流量。如果使用了兩個或更多的存儲解決方案(例如不同的數組技術、基於伺服器的SAN產品、交換機技術、存儲虛擬化等),每個環境的管理流量應該與其他環境分隔。|
|NC-SS-R11.b| 數據訪問協議(例如iSCSI、NFS、特有供應商協議等)。|
|NC-SS-R11.b| 訪問數據的伺服器或主機類型:虛擬化主機 vs. 實體主機。|
這些分隔原則旨在確保IP存儲網絡的安全性,使不同類型的流量和敏感信息在網絡中得到適當的隔離,從而減少潛在的安全風險。
要求:NC-SS-R12 - 子網的分隔
- 在SAN交換機的IP或是乙太網路管理ports應該要位於獨立的子網中,包含與主機和儲存之間的數據訪問子網,主機間通信子網都要分隔開。
要求:NC-SS-R13 - 啟用設備IP訪問控制
應啟用設備IP訪問控制,在存儲設備上配置相關的安全功能,例如內建防火牆規則、IP過濾和存取控制清單,以實現:
要求 |
要求內容 |
|---|---|
NC-SS-R13.a |
控制和限制僅允許所需主機或應用訪問其使用的存儲對象。 |
NC-SS-R13.b |
獨立控制管理主機和管理應用程序之間的IP流量,以及相關的存儲管理界面。 |
要求:NC-SS-R14 - 在網絡層面應用IP訪問控制
- 使用路由、防火牆、存取控制清單、虛擬私有雲(VPC)安全組
- 基於服務器的SAN客戶端來限制所有流量類型(如數據訪問和管理流量)僅限於允許的IP地址和TCP/UDP端口和協議之間:
|要求| 要求內容 |
|---------|----------|
|NC-SS-R14.a| 主機或應用程序和它們使用的存儲對象之間。|
|NC-SS-R14.b| 管理主機和應用程序與它們管理的相關存儲對象的存儲管理界面之間。|
要求:NC-SS-R15 - 封鎖網際網路或公網的訪問
- 應封鎖從網際網路或其他公共網路對非公開存儲對象的訪問。
要求:NC-SS-R16 - 對於需要公開訪問的存儲對象,應實施足夠的控制措施
(a) 最小化訪問。
(b) 使用物理和邏輯上分隔的存儲子網,最好是與非公開存儲對象使用不同的存儲設備和池。
© 考慮防止拒絕服務攻擊。
(d) 緩存副本(例如使用內容傳遞網絡(CDN)、副本和代理),至少保留與源數據相同的安全特性。
(e) 考慮法規要求(例如機密性、存儲位置限制)。
(f) 任何其他適用的安全控制措施(例如加密、身份驗證)。
要求:NC-SS-R17 - 配置SNMP時,所有流量應導向有效的組織內部IP地址作為目的地
在配置SNMP時,所有流量應導向有效的組織內部IP地址作為目的地,應定期審查配置的有效性。
要求:NC-SS-R17 - 考慮使用隔離的不可路由VLAN
對於基於服務器的SAN部署,考慮使用隔離的不可路由VLAN,以保護數據存儲環境並減輕安全擔憂。
4.6.3 Protocols 協定
要求:NC-SS-R19 - 禁用不安全的檔案訪問協議版本
- 需要封鎖過時、不推薦或不安全的協議版本,如SMB v1、NFS 1和2。
- 建議在客戶端和伺服器端都停用這些協議,以增加安全性。
要求:NC-SS-R20 - SNMP安全性設定
(a) 如果不使用SNMP,應禁用它。
(b) 修改預設的已知社群字串,即使未啟用SNMP。所設定的字串應符合組織的密碼政策。
© 對於具有不同機密性的設備,使用不同的社群字串。
(d) 使用至少SNMP版本3。
(e) 強制執行SNMP的身份驗證和加密功能。
(f) 如果不是絕對必要,不要配置具有讀寫訪問權限的SNMP。如果確實需要,要限制和控制讀寫SNMP的使用。
(g) 使用存取控制清單來控制通過SNMP對設備的訪問。
(h) 定期驗證SNMP陷阱是發送到授權的管理者。
(i) 參考美國國土安全部(CISA)的TA17-156A指南,以獲得額外的指導。
要求:NC-SS-R21 - 目錄、域和相似服務的真實性
- 需要定期審查所有儲存元素(如設備、交換機、管理工作站、管理軟體)中服務的配置,確保只使用核准的配置,並修復任何不一致之處。
要求:NC-SS-R22 - 使用標準和非標準的TCP/IP或UDP埠的考慮
- 考慮使用非標準埠,可以隱藏應用程式或服務,使駭客難以找到正確的埠號。
- 使用非標準埠的缺點是安全掃描工具可能無法識別非標準埠上的可疑活動,因為這些工具預期在標準埠上有特定行為。
要求:NC-SS-R23 - 啟用FCoE初始化協議(FIP)監聽過濾器
- FIP監聽是防止未經授權的訪問和數據傳輸到FC網絡的安全機制。
- FCoE轉接器將FC發起器(伺服器)連接到FCoE轉發器(FCF)以啟用相關VLAN上的FIP欺騙。
要求:NC-SS-R24 - 限制iSCSI埠
需要防止iSCSI網絡上的主機訪問除該網絡上為iSCSI指定的TCP埠之外的任何TCP埠。
要求:NC-SS-R25 - 使用iSCSI身份驗證
- 在建立會話時,使用支援的方法對iSCSI發起者進行身份驗證(例如CHAP、SRP、Kerberos、SPKM1/2)。
- 使用雙向驗證而不是單向驗證的CHAP。請注意,身份驗證不提供通道的加密或完整性保護。
要求:NC-SS-R26 - 使用NDMP安全功能
當使用NDMP時,應配置以下安全功能:
(a) 控制哪些主機可以啟動NDMP會話。
(b) 使用挑戰-回應身份驗證(不使用明文身份驗證選項)。
© 記錄NDMP連接嘗試。
(d) 符合組織密碼政策的NDMP密碼(例如,長度、複雜性等)。
(e) 僅需要使用者的受限NDMP相關權限。
(f) 加密的NDMP控制連接。
(g) 會話或伺服器的NDMP限流。
要求:NC-SS-R27 - 在LDAP中使用TLS
- 在設定儲存系統的Active Directory選項時,使用TLS來保護LDAP連接。
要求:NC-SS-R28 - 其他協議建議
- 當使用其他協議(如SymAPI、SMI-S、GNS等)時,應考慮適應第4.6.2和4.6.3節中的建議。
- 特別是:
- (a) 將數據訪問和管理的流量與其他環境隔離。
- (b) 限制TCP和UDP埠。
- © 啟用加密。
4.7 (IS) 隔離 Isolation
當生產數據損壞或丟失時,組織應該能夠通過複製或備份的數據副本來恢復數據。如果損害是惡意攻擊的結果,攻擊者也能夠破壞備份數據副本,那麼對生產環境的攻擊將產生災難性影響,因為組織將無法進行恢復。為了提高備份副本的彈性,應確保數據資產及其恢復副本之間具有足夠的隔離。在這個背景下,組織應該區分至少兩種不同的數據保護場景:
- 非惡意恢復 - 需要數據副本,以應對
自然災害、硬件故障、人為錯誤等情況。這些可以包括本地副本(例如,在進行維護之前拍攝的快照)、災難恢復副本(DR副本)、備份以及長期存檔。這些副本與生產環境越接近,越有可能被映射到計算系統進行測試和災難恢復。 - 防止網絡攻擊的恢復 - 需要
硬化、鎖定並保持隔離的數據副本。設計應該努力實現這樣一個狀態,即這些副本不受任何影響,包括與其相關聯的生產數據卷或其他類型的副本已被破壞的情況。
要求:IS-SS-R1 – 儲存系統的分隔
(a) 在私有雲中,應在指定的獨立儲存環境中建立防範網絡攻擊的備份副本。在公有雲中,則需要使用單獨的帳戶(或等效帳戶)來創建這些備份副本。
(b) 長期的備份和儲存系統應該與生產數據儲存系統分開。
要求:IS-SS-R2 – 管理系統的分隔
- 儲存系統中存儲網絡攻擊恢復副本的管理應該來自指定的管理系統,該系統與生產環境以及與生產相連的其他系統(包括數據保護機制)
分隔。 - 生產和常規備份不應該能夠訪問這些管理系統。該系統應該托管在一個僅與隔離網絡相連的專用環境中。
要求:IS-SS-R3 – 網絡攻擊恢復系統和長期備份的存取限制
(a) 對於敏感信息,網絡攻擊恢復副本及其系統不應該對常規的IT人員可見,僅應該讓單一人員(如CISO),或非常有限的高管或安全經理使用特別的憑證來訪問。這確保如果IT管理員的憑證被入侵,攻擊者無法使用這些憑證來訪問網絡攻擊恢復副本。這個受限制的團隊可以訪問網絡攻擊恢復副本,但管理權限只會授予更小的子集,用於授予其他使用者權限。
(b) 訪問長期備份的權限應該與用於執行其他儲存管理任務(例如SAN管理、儲存分配)的權限分開,並應包括使用不同的使用者ID、帳號和憑證。
要求:IS-SS-R4 – 離線儲存
- 網路攻擊恢復的備份應該
儲存在離線的地方,而不是和生產數據存放在同一地點。 - 這樣做可以確保即使攻擊者物理上進入生產地點,或者成功侵入物理位置,也無法訪問或破壞網路攻擊恢復的備份。
要求:IS-SS-R5 – 獨立的完整基準備份
- 備份系統通常使用增量備份,相對於基準備份捕獲數據的變化。這些增量備份在恢復時必須與基準備份一起使用。對於某些備份方案(如快照),只使用增量備份(即基準備份是生產數據本身)。
- 為了正確處理恢復情景,必須**考慮備份之間的依賴關係,並保持不同類型備份之間的充分隔離。**具體來說:
- (a) 複製的災難恢復備份不應依賴於生產基準數據。
- (b) 網路攻擊恢復備份不應依賴於生產基準數據。只有在這些備份從生產基準數據中得到充分隔離並符合IS-SS-R1、IS-SS-R2和IS-SS-R3的建議時,才允許依賴於災難恢復基準數據。
- © 長期儲存的歸檔數據
不應依賴於生產和災難恢復基準數據。
要求:IS-SS-R6 – 停用所有不必要的服務和協議
在網路攻擊恢復儲存系統上應停用所有不必要的服務和協議。在只需要應用程序編程接口(API)或命令行界面(CLI)進行管理的環境中,建議也禁用任何交互式網頁界面。
要求:IS-SS-R7 - 從主機或應用程式獨立
(a) 在進行資料恢復時,不應將資料副本掛載、匯出或映射到主機或應用程式,而應該將其還原到隔離的臨時環境(例如離線環境),而不是直接還原到目標主機或應用程式。或者,較不安全的方法是允許目標主機或應用程式在還原過程中有有限的唯讀訪問權限(例如映射或掛載),但在還原完成後應立即移除此類訪問權限。
(b) 長期備份的資料副本不應直接掛載、匯出或映射到主機或應用程式。
要求:IS-SS-R8 - 考慮設定空氣隔離 Air Gap
- 組織應考慮在
敏感資料的資料恢復副本周圍建立空氣隔離(air gap)。 - 嚴格的空氣隔離應提供完全的物理和網路層面分離。
- 某些存儲技術引入較不嚴格的隔離技術,也被稱為"空氣隔離",可在定期與生產系統進行同步時關閉數據端口並在有限的時間內打開。應根據資料的價值和對手的能力來衡量每種技術的有效性。選擇嚴格實施時,應注意繞過已知的空氣隔離系統漏洞,包括:
- (a) 防止空氣隔離系統與其他設備之間的視覺、聽覺和熱信號傳輸(例如保持足夠距離或使用減震和/或足夠的物理距離)。
- (b) 防止空氣隔離設備中的任何潛在無線傳輸功能。
- © 禁用暴露的數據端口(例如USB、網路)。
- (d) 使用電源調節或分離的電路。
要求:IS-SS-R9 - 執行定期隔離審核
應每年至少一次對上述隔離建議進行檢查,作為定期審計的一部分,以確保沒有可能犧牲資料恢復副本的隔離性的配置差距或偏差。對於敏感和高價值的存儲系統,可能需要至少每季審計一次,以及在每次重大更改後進行審計,視哪個較先發生。審計結果應該被記錄下來。
要求:IS-SS-R10 - 考慮使用不可變存儲技術
考慮使用不可變存儲技術,這可以進一步隔離和保護恢復資料(例如保留鎖定、保險庫鎖定、不可變性策略)。
4.8 (RA) 恢復保證 Restoration Assurance
- 主要在談"恢復保證",確保在業務中斷、災難恢復事件或資安攻擊後,能夠成功地復原。
- 僅僅擁有恢復流程是不夠的,組織還需要確保所有
關鍵資料元件都能夠被保護,並能夠忠實、一致、完整地恢復。 恢復的速度和更新程度也應符合業務和監管要求。- 很多情況下,組織備份了重要系統,但並不經常檢查這些備份是否能夠實際恢復系統。然而,由於配置漂移、環境變化,甚至是惡意攻擊導致備份受到破壞,他們最終無法使用備份數據來進行恢復。以下是確保恢復保證的安全建議:
要求:RA-SS-R1 - 確保恢復副本的完整性
所有包含關鍵資料元件的存儲元素應受到保護並備份,以支持災難恢復和資安攻擊恢復。這包括存儲卷、關鍵文件系統、數據庫、軟件映像、證書、加密密鑰、啟動文件、目錄信息、存取控制列表(ACLs)、虛擬化設置和配置文件。
要求:RA-SS-R2 - 保護所有依賴元件
- 依賴元件,例如
Active Directory和DNS,外部密鑰管理系統,應受到保護,以實現完整恢復。 - 如果使用自動化構建流程來配置存儲、源代碼存儲庫、構建環境和構建程序,這些應該也要受到保護。
要求:RA-SS-R3 - 所有相關軟件和硬件元件的可用性
用於運行系統的所有相關軟件和硬件元件(例如驅動程序、固件)都應該備份、保護並可供恢復操作使用。
要求:RA-SS-R4 - 選擇備份和數據複製技術 應符合組織的RTO要求
- RTO是
恢復時間目標,用來衡量期望的恢復速度。 - 要全面考慮滿足RTO的能力,包括所有相關的組件(如數據恢復、配置文件、加密密鑰)。
- 同時要平衡實際恢復所需的速度和調整所有相關組件以實現期望恢復速度所需的成本。
要求:RA-SS-R5 - 進行定期測試恢復以確保達到所需的RTO
定期進行測試恢復操作,確保成功完成並滿足所需的時間範圍。
要求:RA-SS-R6 - 設定回復點目標(RPO)
- 為每個資料資產
設定回復點目標,即在發生故障後可以容忍的資料損失量,以時間來衡量。 - 備份和數據複製技術的設計和實施應該支持在這個目標下進行數據恢復。
要求:RA-SS-R7 - 滿足組織的資料資產的數據保留和複製頻率需求
應該確定每個資料資產的數據保留和複製頻率需求(詳見DP-SS-R1以獲取更多細節)。備份和數據複製技術的設計和實施應該支持這些需求。
要求:RA-SS-R8 - 確保遠程副本備份和數據複製處於良好狀態
定期驗證備份副本的狀態。- 這包括檢查是否有相關的錯誤記錄,以及備份和數據複製媒體是否處於良好狀態。
- 驗證頻率應該符合受保護數據的敏感性和價值,但
不應少於每年一次。 - 將樣本比率保持在備份頻率的1到1.5個數量級較低的範圍內,可以作為一個可靠的基準(例如,每小時備份的樣本每日驗證,每日備份每兩週到每月驗證等)。
要求:RA-SS-R9 - 分離數據與應用程式的還原
為了在還原數據時避免恢復受感染的代碼或軟體,應該將數據與應用程式進行分離。
要求:RA-SS-R10 - 文件化災難復原計劃
必須撰寫儲存基礎架構的災難復原計劃,包括所有資源、與正式生產環境的映射、流程和測試程序。同時也應備份這些文件。
要求:RA-SS-R11 - 數據副本的網路安全措施
- 對於關鍵任務的資訊,災難復原副本應該
使用各種反惡意軟體掃描工具進行掃描,以檢測已知的漏洞和異常。 - 最理想情況下,應
對所有副本進行掃描。如果不可能,至少對其中一部分副本進行掃描,並記錄這些已經進行掃描且安全的副本。網路安全工具包括防病毒軟體、防惡意軟體、漏洞掃描和安全分析工具。
要求:RA-SS-R12 - 定期進行審計
- 述建議應該作為
定期審計的一部分進行回顧,以檢查副本的完整性、重新評估依賴性、軟體和硬體要求、支援復原速度的技術適用性、復原點目標 (RPO)、保存期限、健康檢查、災難復原計劃和網路安全措施。 - 應該確定並追蹤問題,並進行修復。
- 審計的頻率應與所保護數據的敏感性和價值相符,但不得少於每年一次。
- 對於敏感和高價值的儲存系統,可能需要每季度進行審計,以及每次進行重大變更後進行審計 - 以先到者為準。
- 審計結果應予以文件化。
4.9 (EN) 加密 Encryption
加密是將數據從可讀形式(明文)轉換為不易被未經授權的人理解的不可讀形式(密文)的過程。這樣可以確保敏感信息不會被未經授權的人存取或理解。
在存儲系統中,加密應該實施端到端,包括:
靜態數據(Data at rest):物理或邏輯進行儲存的相關設施(例如磁帶、磁盤、光盤等),其數據應該進行加密。這不僅包括數據本身,還應該加密元數據,如訪問權限、標籤、路徑和日誌信息等。數據傳輸(Data in transit):在存儲元素之間傳輸的數據,無論是客戶端讀寫、存儲設備或存儲池之間的複製,或在網絡中傳輸的數據,都應該進行加密,除非整個通信媒介都處於受保護的環境(例如數據中心)。管理訪問(Administrative access):包括通過標準和專有協議和API對存儲元素、存儲網絡和數據進行配置或控制的連接。
要求:EN-SS-R1 - TLS、雜湊 hashing 和 加密 encryption
- 為了支援存儲客戶端與伺服器之間的加密通信,應該使用Transport Layer Security (TLS)協議。
- 選擇和配置TLS協議的實現應遵循相關指南,包括TLS版本的選擇以及選擇雜湊和加密算法。
- 指南來源包括
NIST SP800-52 Rev2和SNIA TLS Specification for Storage Systems Version 1.1。
- 指南來源包括
要求:EN-SS-R2 - 不應使用明文協議,如HTTP,Telnet,FTP或RSH
- 明文協議容易遭受竊聽、攔截等攻擊,因為它們不加密流量或登錄詳細信息。
- 在敏感的存儲環境中,不應允許將HTTP用於重定向到HTTPS的情況,除非只用於處理錯誤輸入的URL。
要求:EN-SS-R3 - 存儲管理 API 會話加密
- 應該對所有API和CLI客戶端會話進行加密,可以利用
管理軟件或API/CLI軟體組件內的特定配置選項來實現加密。
要求:EN-SS-R4 - 管理員訪問會話的加密
- 使用HTTP的管理員會話應該
使用TLS(HTTPS)來進行加密。 命令列介面(CLI)訪問應該使用SSH而不是Telnet進行加密。- API訪問期間的身份驗證不應使用明文,會話本身也應該進行加密。
要求:EN-SS-R5 - 在FIPS環境中啟用FIPS模式
- FIPS 140-3規定加密模塊應該是一組硬體、軟體、韌體或其組合,用於實現加密功能或過程,包括加密算法,並可選擇性地進行金鑰生成,並且在定義的加密邊界內。
- FIPS規定某些加密算法是安全的,並確定在加密模塊稱為符合FIPS標準時應該使用哪些算法。
- 符合FIPS標準的組織應確保在其符合FIPS標準的存儲基礎設施組件中啟用FIPS模式。
要求:EN-SS-R6 - 敏感數據的靜態加密
靜態加密保護數據免受各種與數據相關的風險(包括未經授權的訪問,媒體丟失或被盜等)。對於敏感數據應該啟用靜態加密。應考慮以下幾點:
使用基礎設施加密:使用磁碟、存儲陣列或雲存儲提供的內建加密功能,無論使用供應商提供的金鑰還是組織提供的金鑰,可以保護免受設備丟失、錯置或被盜的威脅。但是,這並不能對抗以下情況:- 帶內攻擊 - 當攻擊者入侵到已經與存儲關聯的主機(或當可以通過合法方式將存儲映射到未經授權的主機)。
- 權限升級攻擊 - 管理員或攻擊者獲得高級權限後可能關閉加密或解密數據。
使用端到端加密:數據在其源頭(例如應用程序、數據庫、卷)處進行加密,對存儲基礎設施和管理員只呈現密文。這顯著增加了安全性,但有時會帶來相當大的成本:- 數據減少機制受影響 - 例如,壓縮和去重可以變得非常不有效。
- 管理更加複雜。
使用雙獨立層加密:在可能的情況下,應考慮對敏感數據存儲使用雙獨立層加密。這種配置提高了金鑰被破壞時的韌性,尤其是如果使用不同的加密服務。應考慮數據保留要求:如果加密數據被備份或存檔,相關的金鑰應該受到保護,保護時間應與數據相似。或者,備份數據應重新生成新的密鑰。無論哪種情況,數據和加密金鑰不應保持在一起。
要求:EN-SS-R7 - 在傳輸過程中的資料加密
- (a)
Fibre-Channel上的區塊傳輸:儘管在ANSI/INCITS 545-2019標準中有定義Fibre-Channel的連結加密,但目前大多數主機緘點適配器(HBA)和存儲供應商並不支援。針對敏感信息,應該使用端到端(主機到存儲)加密。 - (b)
IP區塊傳輸:IP存儲流量面臨與常規IP網絡相同的安全風險。默認情況下,IP區塊傳輸協議不會為每個數據包提供數據保密性、完整性或驗證。類似於連結加密,雖然有IP存儲流量加密的技術規範,但目前的技術並不原生支援。在使用IP區塊傳輸協議(例如iSCSI、FCIP、專有協議)時,應考慮使用IPsec隧道對暴露在網絡上的段進行保護。此外,針對敏感信息,應該使用端到端(主機到存儲)加密。 - ©
檔案和對象存儲訪問:應該在支援的情況下為備份系統和遠程複製啟用傳輸時的資料加密。對於檔案訪問,應該使用SMB加密等機制來加密敏感數據,還可以利用由雲服務提供商提供的NFS加密選項,或者使用通道加密(例如 ‘stunnel’)的NFS over TLS。確保對象通過HTTPS與TLS進行訪問。
要求:EN-SS-R8 - 存儲系統組件之間的通信應該加密
- 應該審查存儲系統組件的交互作用,並使用可用的加密選項。
- 應該使用加密來保護存儲節點和管理器之間的通信,主動存儲節點與見證設備之間的通信,以及與策略伺服器和防病毒伺服器之間的通信。
要求:EN-SS-R9 - 加密金鑰管理要求
- 遵循
NIST SP 800-57部分1-3中的一般建議進行金鑰管理,特別是:- 壽命
- 金鑰可以保護的最大數據量
- 金鑰管理基礎設施
- 重新生成金鑰
- 審計
- 金鑰的備份和恢復。
4.10 (AA) 管理者訪問權限 Administrative Access
- 這一節重點關注儲存元素的
管理者訪問權限,包括陣列、網路和架構、管理工具、備份、複寫和雲端儲存等。 - 管理者訪問可以通過
直接連接到儲存元件或者透過管理軟體來實現。這兩種連接方式都可以使用不同的界面,包括管理用戶介面(UI)、命令列介面(CLI)和應用程式介面(API)等。
這一章的某些其他節點涵蓋了與管理者訪問重疊的方面。為了避免重複,額外的相關建議可以在以下兩個部分找到:
- 在上面的第4.9 Encryption 中,涉及到加密的相關建議。
- 在上面的第4.3 Authentication and Data Access Control 中,涉及到與資料相關的訪問控制,其中的一部分可能也適用於管理者訪問。
此節提供了有關管理訪問配置的安全指南,以下是重點摘要:
要求:AA-SS-R1 - 限制對SAN交換機管理端口的網絡訪問
- 將對
SAN交換機管理端口的網絡訪問限制在特定指派的設備和管理員上,通過訪問控制清單(ACL)等機制實現。
要求:AA-SS-R2 - 控制和限制具有管理權限的設備和組件至最低限度
包括CLI服務器、管理控制台、API閘道、見證主機和具有控制權限的存儲設備。特別是:
(a) 積極發現具有存儲管理權限的組件,確保只有被授權的組件擁有這些權限。如果發現不必要的組件,應立即移除並彙報。
(b) 從被授權的設備中移除不必要的權限和能力。
要求:AA-SS-R3 - 實施最小權限原則
- 將
擁有管理權限的用戶的權限限制到最低限度。 - 這包括用戶可以執行的最小操作,並且將這些權限的範圍限制在僅涵蓋相關系統或區域。
- 完全的管理權限應僅授予需要這些權限的用戶。
要求:AA-SS-R4 - 限制服務帳戶的訪問權限
- 服務帳戶(例如
監控工具使用的帳戶)應限制為僅具有read-only和僅metadata-only訪問權限。
要求:AA-SS-R5 - 對所有CLI/API訪問進行身份驗證和授權
- 對
CLI/API使用應進行身份驗證和授權。 - 如果無法進行身份驗證或授權,則應通過額外的安全措施保護未經授權的訪問,例如使用特權管理工具來限制控制到最低必要的命令和對象。
要求:AA-SS-R6 – 優先使用API存取控制,而非CLI/shell存取控制
- 應該
優先使用API存取控制,因為CLI/shell存取具有訪問作業系統和檔案系統(包括配置文件)的能力。 - 若只有CLI/shell存取選項,則應使用安全協定,如SSH。
要求:AA-SS-R7 – 限制管理控制台的作業系統權限
- 只能通過指定的存儲帳戶提供對管理控制台的訪問,
不能使用作業系統管理帳戶(另見AC-SS-R20)。
要求:AA-SS-R8 – 管理Web使用者介面
- 提供管
理控制台訪問的 Web服務應該得到強化,以滿足或超過組織中其他 Web 應用程序服務器的最低標準。
要求:AA-SS-R9 – 限制主機存儲控制權限
- 在某些共享數據計算集群配置中(例如集群、地理集群、規模集或存儲虛擬化基礎設施),主機被授予存儲的管理權限,以便控制共享集群數據資源的分配和行為。
- 當需要此管理訪問時,應限制授予主機的範圍和權限,僅限於主機需要控制的特定元素(例如LUN、共享、檔案、物件)和需要執行的特定操作。
要求:AA-SS-R10 – 命令裝置或閘控配置
某些存儲數組允許主機對具有訪問特殊區塊設備的控制權(例如某些供應商稱為「命令裝置」和「閘控」的設備)進行管理控制。當使用時,建議遵循以下安全指南:
(a) 限制對控制裝置的使用:如果可行,應完全消除對這些裝置的使用(例如改用API存取)。如果不能消除,則應確保它們僅映射到必要的主機(例如管理主機)。
(b) 掃描控制裝置:進行網路掃描以發現控制裝置,並確保它們僅映射到必要且經授權的主機。
要求:AA-SS-R11 – 禁用或限制call home 或 遠端存取
通常call home 或 remote access 被用於收集遙測和診斷數據,供製造商分析和解決技術問題,以及進行自動軟件更新。然而,這些功能也可能成為黑客攻擊的目標,因此如果不需要的話應該禁用,如果需要的話則應該限制和控制。
(a) 修改默認憑據 - 改變遠端連接的默認憑據。
(b) 限制權限 - 只授予必要的最低權限。
© 強制加密 - 使用TLS/SSH/IPSEC等安全協議,並使用FIPS批准的加密算法。
(d) 使用"允許清單"限制訪問 - 使用允許清單限制特定IP和特定用戶的訪問。
(e) 完整記錄遠端訪問 - 為了審計目的,應該完整記錄所有遠端訪問。
(f) 啟用內建數據混淆功能 - 對於允許混淆敏感數據(如IP地址,WWN,設備名稱和用戶名)的存儲設備,應該啟用此功能。
(g) 限制發送的數據範圍 - 將發送的數據範圍限制為最低要求。
(h) 定期審查和批准 - 定期評估定期或自動發送給供應商的數據,確保其中不包含敏感信息,如IP地址,用戶名或實際存儲設備的內容。同時,審查確保連接是通往有效的供應商IP地址的。
(i) 授權每個連接 - 如果可能,實施一個在允許每個連接之前請求許可的機制。
(j) 限制對網關系統的訪問 - 當供應商通過網關設備、服務器或設備進行遠程訪問時,特別注意保護和限制對網關系統的訪問。
(k) 禁用供應商遠程訪問鏈路上的軟件更新 - 在敏感環境中,不應該允許通過供應商遠程連接鏈路進行軟件組件和更新的下載和部署(無論是手動還是自動)。
要求:AA-SS-R12 - 管理網路訪問的限制 Limit network access for management
- 建議將
管理網路與其他流量分開(參見第4.6節和第4.7節)。 - 進一步
加強管理網路的存取控制,可使用以下機制:
(a) 虛擬私人網路(VPN)、IPsec或一個或多個「跳板伺服器」:使用VPN、IPsec或一個或多個「跳板伺服器」或「登入代理伺服器」,這些是位於管理網路中的專用伺服器,只能從網路外部訪問,並且在經過適當的身份驗證和授權後,可以用於連接其他伺服器。
(b) 增強日誌記錄和追蹤功能,例如會話記錄。
要求:AA-SS-R13 - 安全保護核心儲存管理檔案和執行檔
- 儲存管理軟體通常包含
配置檔案,用於控制儲存系統的運作方式,包括未記載的選項。 - 這些敏感目錄和檔案應該具有適當的
限制權限,並擁有正確的擁有者和群組成員。 - 包括以下內容:
配置檔案:記錄用戶和角色、網路設定、一致性群組、裝置群組和其他儲存選項。定義一致性和裝置群組的配置檔案通常會從中央管理主機自動傳播到連接到受管理儲存系統的其他主機。因此,如果遭到入侵,可能會影響多個系統。腳本:用於控制啟動、監控和停止儲存管理服務和守護程序,以及本身的執行檔。應將這些腳本及其他重要的管理相關檔案進行安全保護。
- 應對配置檔案、腳本和其他重要的管理相關檔案採取以下控制措施:
(a)限制存取和權限,並控制關鍵目錄和檔案的擁有權。
(b) 對於敏感環境,應考慮監控這些檔案的內容變化,以防止未經授權的更改。
要求:AA-SS-R14 - 使用經核准的PKI機制進行管理訪問
- 在儲存設備管理和儲存管理控制台方面,建議使
用經組織核准並經認證的集中式PKI系統,而不是使用設備或軟體自簽名憑證。
4.11 (CM) 配置管理 Configuration Management
配置管理的目的是在「整個儲存設備」生命周期內提供對設定、行為、以及實體和邏輯屬性的可見性和控制。在儲存安全的背景下,這包括以下內容:
- 維護全面且即時的
清單,管理變更,以及確保配置持續符合組織的安全基線和目前業界最佳實踐,同時確保其不受已知風險的影響。
為了實現這一目標,需要適當的控制、政策、流程和工具。IT 配置管理的全面指南可參考 NIST Special Publication (SP) 800-53 [28]。以下段落包含適用於儲存基礎架構的建議。
要求:CM-SS-R1:建立全面的存儲設備清單,包括識別以下所有存儲組件的名稱、地址、位置和軟件、固件或驅動程序版本
- 數組(Array)
- 存儲虛擬化系統(Storage virtualization systems)
- 管理控制台(Management consoles)
- 監控存儲遠程網絡連接狀態的主機(例如Witness主機)
- 安裝了存儲管理軟件或插件的主機
- 數據保護設備(Data protection appliances)
- 備份客戶端和伺服器(Backup clients and servers)
- 存儲網路交換機(Storage network switches)
- 存儲適配器或"主機總線適配器 (HBA)"
- I/O多路徑軟件(I/O multipathing software)
- 主存儲系統和(複製)目標存儲系統的配對情況
- 指定的主機備份伺服器或離地備份的情況
- 磁帶庫和磁帶驅動器
- 磁碟驅動器和可移動媒體
要求:CM-SS-R2:建立全面的資料和配置資產清單,包括通過以下資產識別邏輯數據組件和數據訪問配置
- 存儲池、LUNs、遮罩和分區
- 發起者和發起者組
- 文件共享和存取控制列表(ACLs)
- 物件存儲池、桶等
- 備份複本和快照(Replicas and snapshots)
- 備份目錄和訪問權限
- 備份集(本地、存檔、雲端虛擬化、磁帶、存檔設備等)
- 用戶、群組、角色和權限
- 主機訪問配置到存儲資產(例如LUNs、文件共享、全局文件系統、物件存儲)
- 存儲軟件、虛擬設備等的映像
要求:CM-SS-R3 - 創建全面的存儲安全策略
- 存儲安全策略可以作為專用策略,或者作為組織安全策略的一部分。
- 策略應基於以下來源:
- 來自該出版物和
引用來源的建議。 - 內部組織相關的存儲相關安全標準。
- 相關供應商的
最佳安全實踐。
- 來自該出版物和
要求:CM-SS-R4 - 保持存儲安全策略的更新
- 存儲安全策略應該
定期進行審查和更新(至少每年一次)。 - 安全基線應根據可用的存儲系統和/或特定存儲設備的
最新供應商和行業建議進行更新(最好每季度進行,至少也要每年)。
要求:CM-SS-R5 - 定期主動評估存儲安全策略的配置合規性
- (a) 確保實際配置
符合存儲安全基線,並識別差距。 - (b) 及時
追蹤差距的整改。 - © 考慮制定基於數據類型、組織功能和敏感性的存儲安全基線合規性的關鍵績效指標(KPI)。
要求:CM-SS-R6 - 創建「存儲變更」管理流程
- 可以作為專用流程或組織的一般變更管理流程的一部分。
- 涵蓋:
- (a) 規劃、審查和批准存儲配置變更。
- (b) 更新環境文檔和庫存(例如基礎設施、數據、配置)。
- © 在對敏感存儲環境進行任何變更後評估合規性。
CM-SS-R7 - 檢測未經授權的存儲安全變更
- 應建立
檢測未經授權的存儲配置變更的流程,可以使用日誌記錄、將配置存儲資產與過去狀態進行比較,或者與組織批准的基線進行比較。
要求:CM-SS-R8 - 軟體更新和修補
(a) 確保儲存軟體版本更新:應建立定期更新儲存軟體至最新穩定且安全版本的流程。這包括管理軟體、API和CLI套件、數組和HBA固件版本以及作業系統驅動程式。
(b) 安裝重要的安全更新和修補程式:應建立主動且頻繁地安裝重要和緊急的儲存安全修補程式的流程。
© 無法取得修補程式的緩解計劃 - 如果某些儲存組件存在重要漏洞,而供應商尚未提供更新或修補程式,應暫停使用這些組件,除非可以定義適當的緩解計劃。
要求:CM-SS-R9 - 網路拓撲文件
保持儲存相關的網路文件最新,包括光纖通道(FC)和IP的繪圖。
要求:CM-SS-R10 - 審核FC SAN安全配置
隨著時間推移,某些安全變更可能無法可靠地傳播到整個光纖通道交換機(fabric)。
應定期審核FC SAN(就像IP和以太網網路一樣),以評估其安全性,識別和優先處理漏洞,並定義改進計劃。安全審核應至少每年進行一次,在敏感環境中,至少每季進行一次或在任何重大更改後進行 - 以先到者為準。- 審核結果應予以記錄。
4.12 (ST) 存儲安全培訓 Training
ST-SS-R1:存儲安全培訓計畫
應制定一個存儲安全培訓計畫,並納入現有的組織培訓活動和時間表,以滿足以下目標受眾:
資訊安全專業人員:為他們提供存儲安全的基本背景知識。存儲管理員:讓他們熟悉存儲安全原則,以及組織的政策和安全基準。管理者:理解數據保護的基本原則。