Regelungen zu Speichersystemen

Speicherlösungen als zentrale Instanz zur Datenspeicherung sind für viele Abläufe und Geschäftsprozesse essenziell. Der sichere und ordnungsgemäße Betrieb kann nur sichergestellt werden, wenn Planung, Stationierung, Administration und Betrieb von Speicherlösungen in die bestehenden sicherheitstechnischen Vorgaben integriert sind.

Als zentrale Instanz zur Datenspeicherung aller Daten, die über das Virtualisierungs-Cluster des IT-Service verwaltet werden, kommt eine SAN-Lösung zum Einsatz. Diese gewährleistet die Anforderungen an Vertraulichkeit, Integrität und Verfügbarkeit der gespeicherten Daten.

Entsprechen der „Leitlinie für Informationssicherheit der Universität Bamberg“ und dem Informationssicherheitsmanagementsystem (ISMS) des IT-Service abgeleiteten Anforderungen an Vertraulichkeit, Integrität und Verfügbarkeit der gespeicherten Daten besitzt der SAN-Speicher einen hohen Schutzbedarf. Entsprechend sind die Maßnahmen dieser Richtlinie in Anlehnung an BSI M 2.525 abgeleitet.

Vorgaben für die Planung von Speichersystemen

Technische Infrastruktur für Speicherkomponenten

Zentrale SAN-Komponenten dürfen, sofern keine geeigneten eigenen Räume verfügbar sind, nur in einem der beiden Serverräume des IT-Service aufgestellt werden. Nur damit ist die notwendige Sicherheit der Komponenten gewährleistet.

In diesen Räumen wird die Virtualisierungs- und Speicherinfrastruktur jeweils gespiegelt betrieben. Redundanzen bezüglich Strom-, Netz- und Klimaversorgung müssen deshalb nicht pro Raum betrachtet werden. Beide Räume sind redundant mit Datennetz versorgt. Beide Räume verfügen über einen Grundschutz gegen „Höhere Gewalt“ (Feuer, Wasser, Temperatur) in Form von entsprechenden Meldeanlagen. Gegen technisches Versagen der Stromversorgung schützen am Standort RZ dedizierte USVs und am Standort M3 eine zentrale USV für alle im Raum untergebrachten Systeme.

Zum Schutz vor unbefugtem Zutritt und vorsätzlichen Handlungen greifen die „Regelungen für die Zugriffs- bzw. Zugangskontrolle“.

Zugriff Externer

Für den Zugriff Externer gelten die Ausführungen in den „Regelungen für den Einsatz von Fremdpersonal“.

Desastertoleranz

Ein Virtualisierungscluster über beide Standorte hinweg in Verbindung mit einem gespiegelten SAN ist für ein desastertolerantes Szenario Voraussetzung. Alle Datennetzanschlüsse an Servern und SAN, alle Datennetzkomponenten (Switches, Datennetzverbindungen), alle FC-Komponenten (HBAs, FC-Switches, FC-Verbindungen) sowie Stromanbindungen müssen redundant, also mindestens doppelt vorhanden sein.

Vorgaben für die Arbeit von Administratoren

Für Administratoren greifen die „Regelungen für die Zugriffs- bzw. Zugangskontrolle“. Dadurch wird sichergestellt, dass nur berechtigte Personen auf den SAN-Speicher zugreifen können.

Die Verwaltung der Speicherressourcen durch die Administratoren ist lokal über eine direkt angeschlossene Konsole, ein eigenes Administrationsnetz oder über verschlüsselte Verbindungen zulässig. Der Zugriff auf Speicherressourcen ist auf definierte Systeme zu begrenzen und geeignet zu kontrollieren (zum Beispiel durch Sicherheitsgateways).

IT-Systeme, die als Managementkonsole eingesetzt werden, sind auf bestmögliche Weise vor Schadprogrammen zu schützen, mindestens gemäß des „Sicherheitskonzeptes gegen Schadprogramme“.

Für jedes Speichersystem sind ein IT-Betriebshandbuch und ein IT-Notfallhandbuch gemäß Informationssicherheitsmanagementsystem (ISMS) des IT-Service zu führen. Die Pflege der Dokumente erfolgt gemäß den Vorgaben vom ISMS. Relevante Änderungen werden dort dokumentiert. Administratoren dürfen keine Aktionen ausführen oder Einstellungen an der Speicherlösung vornehmen, die zu Inkonsistenzen, Ausfällen oder Datenverlust führen können. Hierfür sind entsprechende Vorgaben und Regelungen zu treffen.

Änderungen der Grundkonfiguration des Speichersystems und der Administrationsmöglichkeiten bedürfen des Vier-Augen-Prinzips durch eine zweite Person der Abteilung Serverinfrastruktur.

Vorgaben für die Installation und Konfiguration der Speicherlösung

Das Vorgehen bei der Erstinstallation ist zu dokumentieren. Da diese in den meisten Fällen vom Hersteller oder Lieferanten vorgenommen wird, ist die entsprechende Dokumentation einzufordern.

Nach der Installation sind die Default-Einstellungen in Bezug auf Sicherheitsgefährdungen zu überprüfen, unsichere Dienste auf Netzkomponenten und Speichergeräten zu deaktivieren und die Standardkennungen und -passwörter zu ändern.

Zugriffe von Systemkonsolen auf Speicherkomponenten über das LAN sollten ausschließlich über verschlüsselte Verbindungen ermöglicht werden. Der Kreis der zugriffsberechtigten Anwender auf die Geräte ist möglichst klein zu halten. Regeln zur Verwendung und Konfiguration der Konsole und Restriktion der Zugriffsarten sind zu dokumentieren.

Für jedes Speichersystem sind ein IT-Betriebshandbuch und ein IT-Notfallhandbuch gemäß ISMS des IT-Service zu führen. Die Pflege der Dokumente erfolgt gemäß den Vorgaben vom ISMS. Relevante Änderungen werden dort dokumentiert.

Innerhalb des SANs sind spezifische Methoden der Segmentierung zu nutzen, mit dem Ziel eines besseren Schutzes von Teilbereichen sowohl bezüglich der Vertraulichkeit und Verfügbarkeit als auch bezüglich der Integrität der Konfiguration und der Verfügbarkeit des SANs. Es muss dabei sichergestellt werden, dass keine Daten aufgrund eines falschen Zugriffs zerstört werden und dass Server nur mit "ihrem" Ausschnitt der Speichereinheiten im SAN arbeiten. Dies wird erreicht, indem das SAN in logische Segmente (V SANs) eingeteilt wird, sodass nur die Geräte innerhalb eines Segmentes miteinander kommunizieren können. Bei Bedarf ist ein Konzept für die Zuordnung der SAN-Ressourcen zu erstellen (siehe dazu BSI M 5.130 Absicherung des SANs durch Segmentierung.

Vorgaben für den sicheren Betrieb

Die Administration der Speicherlösung ist abzusichern, indem Zugriffe nur über besondere Verbindungen (ein separates Administrationsnetz, gegebenenfalls auch das Speichernetz selbst) zugelassen werden.

Speicherkomponenten werden nur in einem bestehenden Managementsystem betrieben, gewartet und integriert. Eine sichere Konfiguration dieser Werkzeuge muss gewährleistet sein. Wenn möglich, sollten nur verschlüsselte Verbindungen genutzt und nicht benötigte Schnittstellen und Dienste deaktiviert bzw. gesperrt werden.

Für die Fernwartung des SAN gelten die Ausführungen in den „Regelungen für den Einsatz von Fremdpersonal“.

Softwareupdates und Änderungen der Konfiguration dürfen nur von Administratoren der Abteilung Serverinfrastruktur vorgenommen werden. Die Änderungen sind nach den Vorgaben vom ISMS zu dokumentieren. Sofern technisch realisierbar sind Änderungen und Updates stets vor dem Wirkbetrieb an baugleichen Testsystemen zu erproben und zu bewerten.

Während des Betriebes einer Speicherlösung sind alle administrativen Tätigkeiten zu protokollieren. Darüber hinaus muss ein Konzept für die Verwaltung und Überwachung der Speichersysteme erstellt werden.

Beim zentralen Speichersystem des IT-Service besteht keine Notwendigkeit der Verschlüsselung.

Die Datensicherung des Speichersystems erfolgt gemäß den Vorgaben des „Konzepts zur Datensicherung“.

Außerbetriebnahme eines Speichersystems

Bei der Außerbetriebnahme eines Speichersystems müssen alles Einstellungen auf Werkseinstellungen zurück-gesetzt werden. Alle am Server gespeicherten Nutzerkennungen müssen dabei gelöscht werden.

Festplatten sind analog „BSI M 2.167 Auswahl geeigneter Verfahren zur Löschung oder Vernichtung von Daten“ zu behandeln.

Notfallplan für Ausfall eines Speichersystems

Für den Ausfall eines Speichersystems greift der Notfallplan gemäß IT-Notfallhandbuch für das betreffende Speichersystem.

Unsere Empfehlung: Verwenden Sie für Ihre sensiblen Daten die Fileserver des IT-Service.

Sie haben noch Fragen?