Organizacja bezpieczeństwa MITRE do tej pory przypisała 22 identyfikatory CVE (Common Vulnerabilities and Exposures) lukom wykrytym przez badacza. Jednak projekt trwa i trzeba się spodziewać, że do końca roku uda się jeszcze znaleźć wiele luk. Taki stan rzeczy wynika m.in. z tego, że do urządzeń NAS producenci dołączają coraz szersze pakiety oprogramowania. Podobne badania Holcomb prowadził rok wcześniej na domowych routerach. Wtedy wykrył 50 podatności. Badacz spodziewa się, że liczba luk wykrytych w macierzach NAS będzie znacznie większa, gdy projekt się zakończy.

Luki znalezione w badanych urządzeniach to m.in. możliwość przesyłania własnych komend, przepełnienie bufora, ominięcie czy błędne działanie mechanizmu uwierzytelniania oraz konta typu backdoor. Łącząc niektóre z tych podatności, udało się uzyskać dostęp do konta root urządzeń, co umożliwia wykonywanie poleceń z najwyższymi uprawnieniami. Holcomb na żywo demonstrował te ataki podczas konferencji Black Hat. Wszystkie dotychczas znalezione luki zostały zgłoszone, ale udostępnienie łatek może zająć kilka miesięcy.

Zobacz również:

• Zewnętrzny dysk, chmura czy dysk sieciowy? Jak zadbać o backup
• Cyfrowa transformacja z AI - co nowego na Google Cloud Next 24

Oczywiście całkiem inne możliwości daje złamanie zabezpieczeń macierzy NAS a inne włamanie do routera. Kontrolując router, można przechwytywać i modyfikować komunikację sieciową. Natomiast włamanie do systemu NAS daje dostęp do przechowywanych w nim danych. Statystycznie routery są łatwiej dostępne niż macierze NAS. Właściwie każdy router domowy jest podłączony do Internetu. Jednak systemy NAS pełnią coraz częściej rolę serwerów dostępnych z Internetu, więc również są powszechnie dostępne.

Z kolei badacze z Dell SecureWorks odkryli, że zręczny haker zarobił 600 tys. dolarów dzięki wykryciu i wykorzystaniu luki w urządzeniach NAS jednego z producentów. Macierze zostały wykorzystane do wykuwania kryptowaluty Dogecoin. Zdarzały się również przypadki infekowania macierzy szkodliwym oprogramowaniem szyfrującym pliki.

Poważne obawy budzi fakt, że wielu producentów NAS korzysta z tego samego kodu w swoich podstawowych, jak i najbardziej zaawansowanych modelach. To oznacza, że te same podatności są w tanich modelach, jak i w drogich systemach NAS przeznaczonych dla użytkowników korporacyjnych. Wyższa cena nie oznacza więc automatycznie wyższego poziomu bezpieczeństwa.

Profesjonalny backup

NAS’y są niezwykle popularne jako urządzenia umożliwiające współdzielenie plików czy tworzenie kopii zapasowych. Jednak często są pomijane w kompleksowych strategiach backupu (jako urządzenie wymagające ochrony), mimo że te urządzenia mogą przechowywać terabajty danych. Wiele modeli NAS umożliwia korzystanie z konfiguracji RAID, co chroni przed utratą danych na skutek awarii. Niestety niewiele jest programowych rozwiązań backupowych umożliwiających kopiowanie danych z NAS na inne urządzenie. Na rynku zaczynają się już pojawiać gotowe rozwiązania, które ułatwią ochronę danych przechowywanych na macierzach NAS. W niektórych przypadkach mamy do czynienia w tym zakresie ze współpracą między producentami, którzy stworzyli wspólną ofertę (dostawca macierzy z producentem oprogramowania do backupu).

Macierz pod wirtualizację

Przez lata NAS był postrzegany jako system pamięci masowej drugiej kategorii, nie nadający się od obsługi najważniejszy aplikacji, w tym jako nośnik dla maszyn wirtualnych. W ostatnim czasie przybywa jednak opinii, popartych praktycznymi doświadczeniami, że NFS jest protokołem, który nadaje się do wykorzystania w środowisku wirtualnym. Nie brakuje nawet głosów, że jest to obecnie najlepsza opcja, mająca wiele zalet. Widać, że producenci myślą podobnie, ponieważ rośnie liczba zaawansowanych modeli NAS. Branża oczekuje również od dostawców platform wirtualizacyjnych większego wsparcia dla NFS.

Przykładowo, zarządzanie środowiskiem wirtualnym z NFS jest znacznie prostsze niż zarządzanie porównywalnym systemem blokowej pamięci masowej. Co więcej, dobra macierz NFS może wykonywać takie operacje, jak migawki, replikację czy kontrolować parametry QoS dla konkretnych maszyn wirtualnych, zamiast dla woluminów. Jest to możliwe, ponieważ macierz „wie”, które bloki danych są przypisane do których maszyn wirtualnych.

Opracowanie przez VMware takich narzędzi, jak View Composer for Array Integration (VCAI), które obsługują tylko NFS, potwierdza, że ten protokół ma istotne przewagi nad zapisem blokowym. Szczególnie jeśli chodzi o szybkość wdrożenia i obciążenie pamięci masowej, na której są przechowywane maszyny wirtualne.

Poza tym NFS nie stwarza takich problemów, jakie są związane z zapisem blokowym. Chodzi m.in. o to, że przestrzeń dyskową w systemie NFS może współdzielić znacznie więcej maszyn wirtualnych niż w przypadku zapisu blokowego, bez negatywnego wpływu opóźnień, wynikającego z rezerwacji SCSI (mimo znacznego ulepszenia w VAAI) czy konfliktów wynikających z ograniczeń długości kolejki SCSI (jest to problem, który jeszcze nie został rozwiązany w VAAI).

Skutkiem tych ograniczeń jest przechowywanie w jednym, blokowym magazynie danych (datastore) archaicznej już liczby maksymalnie 25 maszyn wirtualnych w przypadku aplikacji nie wykonujących intensywnie operacji wejścia/wyjścia. Jest to liczba osiągana z wykorzystaniem VAAI, które niektórzy uważają za niemal magiczne rozwiązanie ograniczeń zapisu blokowego. Tymczasem rekomendowana, maksymalna liczba maszyn wirtualnych uruchamianych w jednym magazynie danych z VAAI wynosi 140, a dla protokołu NFS wynosi ponad 200.

Jest to efekt znacznych udoskonaleń protokołu NFS w ostatnich 10 latach, co potwierdzają liczni eksperci. Wydaje się również, że podobnego zdania są przedstawiciele VMware i firma powinna rozwijać swoje rozwiązania pod katem NFS. To z kolei przełoży się na większe zainteresowanie macierzami NAS. Obecnie vSphere obsługuje NFS w wersji 3.0, która liczy sobie już 18 lat. Najnowszy NFS 4.1 ma znacznie bardziej zaawansowane mechanizmy bezpieczeństwa oraz szereg udoskonaleń w zakresie komunikacji sieciowej i kontroli dostępu do danych. Z kolei opcjonalne rozszerzenie pNFS umożliwia osiągnięcie wydajności i korzystane z mechanizmu multipathing znanych z sieci SAN mających centralnie zarządzany system plików. Wprowadzenie przez VMware obsługi NFS 4.1 z pewnością umocniłoby pozycję protokołu NFS jako podstawowego wyboru w środowiskach wirtualnych i uzupełniałoby ofertę VMware w zakresie VSAN.

Lepsze wsparcie dla NFS i VSAN umożliwiłoby zbudowanie solidnej warstwy pamięci masowych do obsługi środowisk wirtualnych, bez konieczności oczekiwania od producentów macierzy implementacji w ich produktach obsługi vVOL. Tym bardziej, że ten mechanizm zdaniem ekspertów służy jedynie rozwiązaniu wyzwań związanych z zapisem blokowym i VMFS, które to wyzwania rozwiązano już w NFS 3.0. Wersja NFS 4.1 umożliwia uzyskanie jeszcze lepszych rezultatów.

Kilku producentów macierzy już idzie w kierunku protokołu NFS 4.1, co umożliwia im stworzenie lepszych i bardziej efektywnych rozwiązań macierzowych do obsługi środowisk wirtualnych. Z pewnością jest to coś, czego użytkownicy oczekują. Jednymi z bardziej pożądanych funkcji są migawki i repliki tworzone per wirtualna maszyn.