Regelungen zu Speichersystemen
Speicherl?sungen als zentrale Instanz zur Datenspeicherung sind für viele Abl?ufe und Gesch?ftsprozesse essenziell. Der sichere und ordnungsgem??e Betrieb kann nur sichergestellt werden, wenn Planung, Stationierung, Administration und Betrieb von Speicherl?sungen in die bestehenden sicherheitstechnischen Vorgaben integriert sind.
Als zentrale Instanz zur Datenspeicherung aller Daten, die über das Virtualisierungs-Cluster des IT-Service verwaltet werden, kommt eine SAN-L?sung zum Einsatz. Diese gew?hrleistet die Anforderungen an Vertraulichkeit, Integrit?t und Verfügbarkeit der gespeicherten Daten.
Entsprechen der ?Leitlinie für Informationssicherheit der Universit?t Bamberg“ und dem Informationssicherheitsmanagementsystem (ISMS) des IT-Service abgeleiteten Anforderungen an Vertraulichkeit, Integrit?t und Verfügbarkeit der gespeicherten Daten besitzt der SAN-Speicher einen hohen Schutzbedarf. Entsprechend sind die Ma?nahmen dieser Richtlinie in Anlehnung an BSI M 2.525 abgeleitet.
Vorgaben für die Planung von Speichersystemen
Technische Infrastruktur für Speicherkomponenten
Zentrale SAN-Komponenten dürfen, sofern keine geeigneten eigenen R?ume verfügbar sind, nur in einem der beiden Serverr?ume des IT-Service aufgestellt werden. Nur damit ist die notwendige Sicherheit der Komponenten gew?hrleistet.
In diesen R?umen wird die Virtualisierungs- und Speicherinfrastruktur jeweils gespiegelt betrieben. Redundanzen bezüglich Strom-, Netz- und Klimaversorgung müssen deshalb nicht pro Raum betrachtet werden. Beide R?ume sind redundant mit Datennetz versorgt. Beide R?ume verfügen über einen Grundschutz gegen ?H?here Gewalt“ (Feuer, Wasser, Temperatur) in Form von entsprechenden Meldeanlagen. Gegen technisches Versagen der Stromversorgung schützen am Standort RZ dedizierte USVs und am Standort M3 eine zentrale USV für alle im Raum untergebrachten Systeme.
Zum Schutz vor unbefugtem Zutritt und vors?tzlichen Handlungen greifen die ?Regelungen für die Zugriffs- bzw. Zugangskontrolle“.
Zugriff Externer
Für den Zugriff Externer gelten die Ausführungen in den ?Regelungen für den Einsatz von Fremdpersonal“.
Desastertoleranz
Ein Virtualisierungscluster über beide Standorte hinweg in Verbindung mit einem gespiegelten SAN ist für ein desastertolerantes Szenario Voraussetzung. Alle Datennetzanschlüsse an Servern und SAN, alle Datennetzkomponenten (Switches, Datennetzverbindungen), alle FC-Komponenten (HBAs, FC-Switches, FC-Verbindungen) sowie Stromanbindungen müssen redundant, also mindestens doppelt vorhanden sein.
Vorgaben für die Arbeit von Administratoren
Für Administratoren greifen die ?Regelungen für die Zugriffs- bzw. Zugangskontrolle“. Dadurch wird sichergestellt, dass nur berechtigte Personen auf den SAN-Speicher zugreifen k?nnen.
Die Verwaltung der Speicherressourcen durch die Administratoren ist lokal über eine direkt angeschlossene Konsole, ein eigenes Administrationsnetz oder über verschlüsselte Verbindungen zul?ssig. Der Zugriff auf Speicherressourcen ist auf definierte Systeme zu begrenzen und geeignet zu kontrollieren (zum Beispiel durch Sicherheitsgateways).
IT-Systeme, die als Managementkonsole eingesetzt werden, sind auf bestm?gliche Weise vor Schadprogrammen zu schützen, mindestens gem?? des ?Sicherheitskonzeptes gegen Schadprogramme“.
Für jedes Speichersystem sind ein IT-Betriebshandbuch und ein IT-Notfallhandbuch gem?? Informationssicherheitsmanagementsystem (ISMS) des IT-Service zu führen. Die Pflege der Dokumente erfolgt gem?? den Vorgaben vom ISMS. Relevante ?nderungen werden dort dokumentiert. Administratoren dürfen keine Aktionen ausführen oder Einstellungen an der Speicherl?sung vornehmen, die zu Inkonsistenzen, Ausf?llen oder Datenverlust führen k?nnen. Hierfür sind entsprechende Vorgaben und Regelungen zu treffen.
?nderungen der Grundkonfiguration des Speichersystems und der Administrationsm?glichkeiten bedürfen des Vier-Augen-Prinzips durch eine zweite Person der Abteilung Serverinfrastruktur.
Vorgaben für die Installation und Konfiguration der Speicherl?sung
Das Vorgehen bei der Erstinstallation ist zu dokumentieren. Da diese in den meisten F?llen vom Hersteller oder Lieferanten vorgenommen wird, ist die entsprechende Dokumentation einzufordern.
Nach der Installation sind die Default-Einstellungen in Bezug auf Sicherheitsgef?hrdungen zu überprüfen, unsichere Dienste auf Netzkomponenten und Speicherger?ten zu deaktivieren und die Standardkennungen und -passw?rter zu ?ndern.
Zugriffe von Systemkonsolen auf Speicherkomponenten über das LAN sollten ausschlie?lich über verschlüsselte Verbindungen erm?glicht werden. Der Kreis der zugriffsberechtigten Anwender auf die Ger?te ist m?glichst klein zu halten. Regeln zur Verwendung und Konfiguration der Konsole und Restriktion der Zugriffsarten sind zu dokumentieren.
Für jedes Speichersystem sind ein IT-Betriebshandbuch und ein IT-Notfallhandbuch gem?? ISMS des IT-Service zu führen. Die Pflege der Dokumente erfolgt gem?? den Vorgaben vom ISMS. Relevante ?nderungen werden dort dokumentiert.
Innerhalb des SANs sind spezifische Methoden der Segmentierung zu nutzen, mit dem Ziel eines besseren Schutzes von Teilbereichen sowohl bezüglich der Vertraulichkeit und Verfügbarkeit als auch bezüglich der Integrit?t der Konfiguration und der Verfügbarkeit des SANs. Es muss dabei sichergestellt werden, dass keine Daten aufgrund eines falschen Zugriffs zerst?rt werden und dass Server nur mit "ihrem" Ausschnitt der Speichereinheiten im SAN arbeiten. Dies wird erreicht, indem das SAN in logische Segmente (V SANs) eingeteilt wird, sodass nur die Ger?te innerhalb eines Segmentes miteinander kommunizieren k?nnen. Bei Bedarf ist ein Konzept für die Zuordnung der SAN-Ressourcen zu erstellen (siehe dazu BSI M 5.130 Absicherung des SANs durch Segmentierung.
Vorgaben für den sicheren Betrieb
Die Administration der Speicherl?sung ist abzusichern, indem Zugriffe nur über besondere Verbindungen (ein separates Administrationsnetz, gegebenenfalls auch das Speichernetz selbst) zugelassen werden.
Speicherkomponenten werden nur in einem bestehenden Managementsystem betrieben, gewartet und integriert. Eine sichere Konfiguration dieser Werkzeuge muss gew?hrleistet sein. Wenn m?glich, sollten nur verschlüsselte Verbindungen genutzt und nicht ben?tigte Schnittstellen und Dienste deaktiviert bzw. gesperrt werden.
Für die Fernwartung des SAN gelten die Ausführungen in den ?Regelungen für den Einsatz von Fremdpersonal“.
Softwareupdates und ?nderungen der Konfiguration dürfen nur von Administratoren der Abteilung Serverinfrastruktur vorgenommen werden. Die ?nderungen sind nach den Vorgaben vom ISMS zu dokumentieren. Sofern technisch realisierbar sind ?nderungen und Updates stets vor dem Wirkbetrieb an baugleichen Testsystemen zu erproben und zu bewerten.
W?hrend des Betriebes einer Speicherl?sung sind alle administrativen T?tigkeiten zu protokollieren. Darüber hinaus muss ein Konzept für die Verwaltung und ?berwachung der Speichersysteme erstellt werden.
Beim zentralen Speichersystem des IT-Service besteht keine Notwendigkeit der Verschlüsselung.
Die Datensicherung des Speichersystems erfolgt gem?? den Vorgaben des ?Konzepts zur Datensicherung“.
Au?erbetriebnahme eines Speichersystems
Bei der Au?erbetriebnahme eines Speichersystems müssen alles Einstellungen auf Werkseinstellungen zurück-gesetzt werden. Alle am Server gespeicherten Nutzerkennungen müssen dabei gel?scht werden.
Festplatten sind analog ?BSI M 2.167 Auswahl geeigneter Verfahren zur L?schung oder Vernichtung von Daten“ zu behandeln.
Notfallplan für Ausfall eines Speichersystems
Für den Ausfall eines Speichersystems greift der Notfallplan gem?? IT-Notfallhandbuch für das betreffende Speichersystem.