Bezpieczeństwo pamięci masowych IP

Kilku znanych producentów sprzętu sieciowego (w tym EMC, IBM, Cisco i Microsoft) zamierza zaproponować rozwiązania, które zwiększą bezpieczeństwo sieci pamięci masowych opartych na protokole IP.

Kilku znanych producentów sprzętu sieciowego (w tym EMC, IBM, Cisco i Microsoft) zamierza zaproponować rozwiązania, które zwiększą bezpieczeństwo sieci pamięci masowych opartych na protokole IP. Jednak eksperci sądzą, że może to być przedwczesne działanie, które zwiększy tylko ceny tego rodzaju produktów.

I tak firmy te zaproponowały IETF (Internet Engineering Task Force) rozpatrzenie standardów określających, jak technologia IP Security (IPSec) powinna być implementowana w urządzeniach pamięci masowych IP: jako pojedyncze układy scalone ASIC, jako oprogramowanie czy też jako oddzielne urządzenia VPN instalowane przy urządzeniach pamięci masowych. Kwestia ta nabrała szczególnego znaczenia szczególnie teraz, ponieważ pamięci masowe wykorzystujące protokół IP (w tym takie rozwiązania jak iSCSI) cieszą się coraz większą popularnością, a IETF wydała pod koniec 2001 r. komunikat, w którym oświadcza, że urządzenia pamięci masowej muszą dysponować mechanizmami IPSec potwierdzającymi autentyczność i szyfrującymi dane.

Zobacz również:

Producenci pamięci masowych IP potraktowali to oświadczenie poważnie i przyjęli założenie, że mechanizm IPSec należy wbudowywać do każdego urządzenia IP, bramy, karty sieciowej oraz oprogramowania, a decyzję o tym, czy go uaktywnić, należy pozostawić samemu klientowi. Mechanizm IPSec byłby więc jedną z dodatkowych opcji, którą klient może włączyć lub wyłączyć.

IPSec to technologia pozwalająca implementować bezpieczne sieci VPN, potwierdzająca tożsamość komunikujących się ze sobą klientów i szyfrująca pakiety IP. IETF uważa, że te same mechanizmy bezpieczeństwa, które chronią sieci IP, powinny być stosowane w urządzeniach pamięci masowych opartych na protokole IP. Tym bardziej, że pamięci masowe wykorzystują coraz częściej protokół IP i takie mechanizmy transportowania danych jak iSCSI, Fibre Channel over IP czy Internet Fibre Channel Protocol (iFCP).

Technologia iSCSI zapewnia uniwersalny dostęp do urządzeń pamięci masowych i sieci SAN przez połączenia TCP/IP i Ethernet. Z kolei technologia Fibre Channel over IP łączy ze sobą dwie oddzielone od siebie fizycznie sieci SAN (Fibre Channel) przez połączenie IP. Technologia iFCP jest używana do łączenia sieci SAN z iSCSI lub do łączenia ze sobą sieci Fibre Channel przez sieci WAN albo MAN.

Jak dotąd połączenia Fibre Channel były względnie bezpieczne, ponieważ włamywacze koncentrowali się wyłącznie na sieciach IP. Teraz, gdy protokół IP wkracza szeroką ławą do urządzeń pamięci masowych, sytuacja uległa radykalnej zmianie. Połączenia Fibre Channel są co prawda trudniejsze do penetrowania, gdyż opierają się wyłącznie na światłowodach i są dobrze odizolowane od sieci zewnętrznych, jednak problem będzie narastać. Specjaliści ostrzegają, że liczba włamań do sieci pamięci masowych IP wzrośnie za dwa lata nawet... stukrotnie.

Okazuje się, że implementowanie w urządzeniach pamięci masowej mechanizmu uwierzytelniającego klientów jest stosunkowo proste, ponieważ jest on integralną częścią istniejącej już specyfikacji iSCSI. Implementowanie szyfrowania IPSec jest już dużo trudniejszą sprawą. Przeglądanie każdego pakietu i szyfrowanie zmniejszają znacznie szybkość przesyłania danych przez sieć i mogą być kłopotliwe dla tych użytkowników, którym nie zależy na bezpieczeństwie, a mechanizmów tych nie można wyłączyć. Stąd głosy za tym, aby technologii IPSec nie implementować obowiązkowo w urządzeniach pamięci masowej (jako rozwiązanie sprzętowe lub oprogramowanie), ale stosować zapory, takie jak PIX (Cisco). Są to jednak odosobnione opinie. IPSec wejdzie na pewno do urządzeń pamięci masowej i do środowiska iSCSI.

Na koniec kilka słów o kosztach. Specjaliści oceniają, że po wyposażeniu karty Gigabit Ethernet lub Fibre Channel w układ scalony ASIC (obsługujący połączenie 1 Gb/s i oferujący opcję IPSec) za produkt taki zapłacimy nawet 600 USD więcej. Proszę pamiętać, że karta Gigabit Ethernet kosztuje obecnie ok. 200 USD (światłowód, kartę RJ45 można kupić za 125 USD), a adapter Fibre Channel - 1000 USD. Stąd wniosek, że pomysł taki raczej upadnie.