Сети хранения данных

       

Уровень устройств


Применительно к SAN в первую очередь угроза несанкционированного доступа к устройству может возникнуть вследствие слабой парольной защиты и непродуманной схемы авторизации пользователей. В этом случае несанкционированный доступ с захватом всех прав дает абсолютный контроль над данным узлом (коммутатором или шлюзом), в результате чего возникает реальная угроза нарушения целостности архитектуры и хранимых данных.

Другая опасность может возникнуть вследствие уязвимости на уровне встроенного программного обеспечения устройства, где хранятся данные, или из-за отсутствия внимания к вопросам безопасности в отношении используемого микрокода. Злоумышленник получает возможность использовать данное устройство для удаленной атаки на другие узлы сети хранения (серверы, рабочие станции, шлюзы, коммутаторы).

Для авторизации пользователей следует задействовать схему с применением списков контроля доступа (Access Control List). Зачастую необходимо ограничить доступ к устройству посредством многофакторной идентификации.

На этом уровне NAS работают как файловые серверы. Однако помимо традиционных каналов, для доступа к устройствам хранения (в том числе к внешним по отношению к самому серверу NAS) могут задействоваться элементы архитектуры SAN. Как правило, это жесткие диски, подключенные к серверу по оптическим линиям с использованием протоколов Fibre Channel или FC-AL. В таком случае на данный сегмент должны распространяться требования, аналогичные тем, что выдвигаются к архитектуре SAN.

Какие типы уязвимостей присущи данному уровню? Наличие настроек по умолчанию, а также ограниченность функций по администрированию приводит к повышению вероятности использования слабостей схемы авторизации при недостаточной парольной защите. В силу закрытости операционной системы и включенных фабричных настроек существует угроза возможных атак на незадействованные службы, DNS, Telnet и т. д.



Содержание раздела