| Oracle® Hierarchical Storage Manager and StorageTek QFS Software Sicherheitshandbuch Release 6.0 E62074-01 |
|
 Vorherige |
 Nächste |
| Oracle® Hierarchical Storage Manager and StorageTek QFS Software Sicherheitshandbuch Release 6.0 E62074-01 |
|
Vorherige |
Nächste |
In diesem Kapitel wird der Planungsprozess für eine sichere Installation beschrieben und mehrere empfohlene Bereitstellungstopologien für die Systeme beschrieben.
Damit die Sicherheitsanforderungen verständlicher werden, müssen die folgenden Fragen gestellt werden:
In der Produktionsumgebung können zahlreiche Ressourcen gesichert werden. Berücksichtigen Sie bei der Bestimmung der Sicherheitsstufe den zu sichernden Ressourcentyp.
Schützen Sie bei der Verwendung von Oracle HSM die folgenden Ressourcen:
Mit diesen Datenträgerressourcen werden Oracle HSM-Dateisysteme erstellt. Üblicherweise sind sie über FC (Fibre Channel) verbunden. Ein unabhängiger Zugriff auf diese Datenträger (nicht über Oracle HSMS) stellt ein Sicherheitsrisiko dar, weil so die normalen Oracle HSM-Datei- und Verzeichnisberechtigungen umgangen werden. Diese Form des externen Zugriffs kann von einem Rogue-System stammen, das von FC-Festplatten liest oder darauf schreibt, oder von einem internen System, das unbeabsichtigt Non-Root-Zugriff (Zugriff ohne Root-Rechte) auf Raw Device-Dateien gewährt.
Unabhängiger Zugriff auf Bänder, die sich normalerweise in einer Bandbibliothek befinden, in der Dateidaten geschrieben werden, wenn ein Oracle HSM-Dateisystem ein Sicherheitsrisiko ist.
Dateisystemdumps, die mit samfsdump erstellt werden, enthalten Daten und Metadaten. Diese Daten und Metadaten sollten während dem routinemäßigen Erstellen eines Speicherabbilds oder eines Wiederherstellungsvorgangs nur Systemadministratoren zugänglich sein.
Oracle HSM-Clients erfordern TCP/IP-Zugriff auf den MDS. Vergewissern Sie sich jedoch, dass die Clients vor dem externen WAN-Zugriff geschützt sind.
Oracle HSM-Konfigurationseinstellungen müssen vor dem Zugriff durch Nicht-Administratoren geschützt werden. Im Allgemeinen werden diese Einstellungen bei Verwendung der grafischen Benutzeroberfläche des Managers automatisch durch Oracle HSM geschützt. Beachten Sie, dass ein Sicherheitsrisiko entsteht, wenn andere Benutzer als der Administrator in Konfigurationsdateien schreiben können.
Im Allgemeinen müssen die auf einem konfigurierten System im vorherigen Abschnitt beschriebenen Ressourcen vor sämtlichen Zugriffen geschützt werden. Dazu gehören auch Zugriffe eines externen Rogue-Systems über WAN oder FC-Fabric. Root- sowie Administratorenzugriffe sind davon nicht betroffen.
Die Ursachen für das Versagen des Schutzes strategischer Ressourcen können von unberechtigten Zugriffen (Datenzugriffe, die den Oracle HSM-POSIX-Dateiberechtigungen nicht entsprechen) bis hin zu Datenbeschädigungen (Schreiben auf Datenträger oder Band außerhalb der normalen Berechtigungen) reichen.
In diesem Abschnitt wird beschrieben, wie Sie eine Infrastrukturkomponente sicher installieren und konfigurieren. Weitere Informationen zur Installation von Oracle HSM finden Sie in Oracle Hierarchical Storage Manager Release 6.0 Customer Documentation Library unter: http://www.oracle.com/technetwork/documentation/tape-storage-curr-187744.html#samqfss
Beachten Sie bei der Installation und Konfiguration von Oracle HSM Folgendes:
Um Oracle HSM-Clients mit den MDS-Servern zu verbinden, stellen Sie ein separates TCP/IP-Netzwerk und Hardware bereit, die nicht mit einem WAN verbunden ist. Da der Metadatenverkehr über TCP/IP implementiert wird, kann theoretisch ein externer Angriff erfolgen. Die Konfiguration eines separaten Metadatennetzwerks verringert dieses Risiko und sorgt zudem für eine bessere Leistung. Die Leistungsverbesserung ergibt sich durch den garantierten Pfad zu den Metadaten. Wenn kein separates Metadatennetzwerk erstellt werden kann, verweigern Sie wenigstens den Datenverkehr vom externen WAN und von allen nicht vertrauenswürdigen Hosts im Netzwerk zu den Oracle HSM-Ports. Siehe Netzwerkzugriff auf kritische Services beschränken
Mit FC-Zoning können Sie allen Servern, die keinen Zugriff auf die Datenträger benötigen, den Zugriff auf die Oracle HSM-Datenträger verweigern. Verwenden Sie einen separaten FC-Switch, um eine physische Verbindung nur mit den Servern herzustellen, die den Zugriff benötigen.
Auf SAN RAID-Datenträger kann im Allgemeinen zu administrativen Zwecken mit TCP/IP oder eher mit HTTP zugegriffen werden. Sie müssen die Festplatten vor externen Zugriffen schützen, indem Sie den Systemverwaltungszugriff auf SAN RAID-Festplatten auf vertrauenswürdige Domains beschränken. Ändern Sie außerdem das Standardpasswort auf den Festplattenarrays.
Installieren Sie immer nur Pakete, die Sie wirklich benötigen. Falls Sie keine hierarchische Speicherverwaltung wünschen, installieren Sie nur die QFS-Pakete. Die Standardberechtigungen für Oracle HSM-Dateien und Verzeichnisse sowie Eigentümer sollten nach der Installation nicht ohne vorherige gründliche Überlegung der Auswirkungen geändert werden.
Wenn Sie gemeinsam verwendete Clients konfigurieren möchten, bestimmen Sie, welche Clients Zugriff auf das Dateisystem in der Datei "hosts" haben müssen. Weitere Informationen finden Sie auf der Manpage hosts.fs(4 ). Konfigurieren Sie nur diejenigen Hosts, die Zugriff auf das gerade konfigurierte Dateisystem benötigen.
Weitere Informationen zum Absichern des Oracle Solaris-Betriebssystems finden Sie in "Oracle Solaris 10 - Sicherheitsbestimmungen" und "Oracle Solaris 11 - Sicherheitsbestimmungen". Mindestanforderungen sind ein sicheres Root-Passwort, die Installation der neuesten Version des Oracle Solaris-Betriebssystems sowie der neuesten Patches (insbesondere Sicherheitspatches).
Weitere Informationen zum Absichern von Linux-Clients finden Sie in der Linux-Dokumentation. Mindestanforderungen sind ein sicheres Root-Passwort, die Installation der neuesten Version des Linux-Betriebssystems sowie der neuesten Patches (insbesondere Sicherheitspatches).
Verhindern Sie den externen Zugriff auf Oracle HSM-Bänder außerhalb von Oracle HSM, oder beschränken Sie derartige Zugriffe nur auf Administratoren. Gewähren Sie mithilfe von FC-Zoning nur dem MDS (oder dem potenziellen MDS bei konfiguriertem MDS-Backup) Zugriff auf die Bandlaufwerke. Solaris-Clients, die zur Verwendung von verteilter I/O konfiguriert werden, benötigen Zugriff auf Bandlaufwerke. Beschränken Sie ebenfalls den Zugriff auf Bandgerätedateien ausschließlich auf root. Durch den unberechtigten Zugriff auf Oracle HSM-Bänder können Benutzerdaten gefährdet oder gelöscht werden.
Einrichtung und Backups von Oracle HSM-Daten müssen mit den Befehlen samfsdump oder qfsdump durchgeführt werden. Schränken Sie den Zugriff auf Dumpbänder in dem für Oracle HSM-Bänder empfohlenen Maße ein.
Informationen zur sicheren Installation der SAM-Remote-Software finden Sie in der Oracle Hierarchical Storage Manager and StorageTek QFS Software Release 6.0 Customer Documentation Library unter: http://www.oracle.com/technetwork/documentation/tape-storage-curr-187744.html#samqfs
Informationen zur sicheren Installation der grafischen Benutzeroberfläche des Managers finden Sie in der Oracle Hierarchical Storage Manager and StorageTek QFS Software Release 6.0 Customer Documentation Library unter: http://www.oracle.com/technetwork/documentation/tape-storage-curr-187744.html#samqfs
Gehen Sie nach der Installation eines der Oracle HSM-Pakete durch die Sicherheitscheckliste in Anhang A, Checkliste für sichere Bereitstellung.
