Standards und Technologien für die Speichersicherheit
Es bedarf eines mehrschichtigen Ansatzes, um allen Sicherheitsbedrohungen zu begegnen. Strategien wie eine Zero-Trust-Architektur und Verschlüsselung können dabei helfen.
Die Sicherheitskontrollen und -funktionen in Speichersystemen und IT-Ökosystemen haben sich seit einigen Jahren nicht wesentlich verändert. Dies ist nicht überraschend, da die Wahrnehmung der möglichen Bedrohungen relativ konstant geblieben ist.
Data-at-Rest-Verschlüsselung, sichere Speicherverwaltung und Speicherbereinigung sind allgemein verfügbar und im Einsatz. Die jüngsten Ereignisse veranlassen Unternehmen jedoch dazu, ihre Sicherheitsvorkehrungen für Storage neu zu bewerten.
Die Cyberbedrohungs-Landschaft ist durch eine große Anzahl von Ransomware-Angriffen und verstärkte Aktivitäten von Nationalstaaten gegen kritische Infrastrukturen gekennzeichnet. Auch das regulatorische Umfeld verändert sich und bringt möglicherweise Anforderungen mit sich, die eine Anpassung der Sicherheitsfunktionen, -kontrollen und -praktiken an die neuen Gegebenheiten erforderlich machen. Für den Speicherbereich bedeutet dies ein gesteigertes Interesse daran, dass der Speicher als mögliche letzte Verteidigungslinie dient oder zumindest kein schwaches Glied in der Schutzkette eines Unternehmens darstellt.
Für die Speichersicherheit sind dies interessante Zeiten, denn die Entwicklungen sind an mehreren Fronten zu beobachten. Bis zum Ende des ersten Quartals 2023 wird es erhebliche Änderungen an den Sicherheitsstandards und -spezifikationen geben, die für die Speicherung relevant sind. Neue Technologien könnten die Möglichkeiten der Speichersicherheit erweitern. Und schließlich könnten neue Praktiken und Bereitstellungsstrategien den Schutz der Daten weiter verstärken.
Normen mit Auswirkungen auf die Speichersicherheit
ISO/IEC JTC 1/SC 27 (Informationssicherheit, Cybersicherheit und Schutz der Privatsphäre) befindet sich mitten in einer umfassenden Aktualisierung der ISO 27000-Normenreihe, die mit einer vollständigen Neufassung der im Februar 2022 veröffentlichten ISO/IEC 27002:2022 (Informationssicherheit, Cybersicherheit und Schutz der Privatsphäre - Kontrollen der Informationssicherheit) begann.
Diese Neufassung der ISO/IEC 27002 machte eine Aktualisierung der ISO/IEC 27001 (Informationssicherheit, Cybersicherheit und Schutz der Privatsphäre - Managementsysteme für Informationssicherheit - Anforderungen) erforderlich, die Ende 2022 veröffentlicht wurde.
ISO/IEC 27001 dient als Grundlage für die Zertifizierung von Informationssicherheits-Managementsystemen von Organisationen, und diese neue Ausgabe wird sich auf bestehende Zertifizierungen auswirken. Die neue Norm ISO/IEC 27002 umfasst Kontrollen, die für Speichersysteme und -ökosysteme relevant sind, und enthält Verweise auf die Speichersicherheitsnorm ISO/IEC 27040. Infolgedessen werden die Auditoren Fragen der Speichersicherheit mit größerer Wahrscheinlichkeit zur Kenntnis nehmen.
Apropos ISO/IEC 27040 (Informationstechnologie - Sicherheitstechniken - Speichersicherheit): SC 27 hat eine umfassende Überarbeitung dieser Norm, die ursprünglich im Januar 2015 veröffentlicht wurde, fast abgeschlossen. Diese Aktualisierung, die Anfang 2023 erfolgen könnte, enthält Anforderungen und nicht nur Leitlinien.
Sie umfasst zahlreiche technologische Aktualisierungen - wie NVMe, Intelligent Platform Management Interface und Kryptografie -, die Erweiterung früherer Leitlinien, Aktualisierungen der Speicherbereinigung und eine überarbeitete Struktur, die die neue ISO/IEC 27002 widerspiegelt und auf ihr aufbaut.
Die ursprüngliche Version von ISO/IEC 27040 war mit der Sonderveröffentlichung 800-88r1 (Media Sanitization) des National Institute of Standards and Technology in Bezug auf technologiespezifische Mediensanierungstechniken synchronisiert. Allerdings verweist die neue ISO-Norm nun auf die kürzlich veröffentlichte IEEE-Norm 2883-2022 (Institute of Electrical and Electronics Engineers) für diese Techniken.
Der neue IEEE 2883 - Standard for Sanitizing Storage - wurde im September 2022 veröffentlicht. Er enthält Anforderungen für die Löschung von Daten auf bestimmten Speichergeräten und -medien. Dieser Standard bietet eine Reihe von Optionen für Reinigungs-, Säuberungs- und Zerstörungsmethoden. Er fördert die Verwendung umweltfreundlicher Bereinigungsverfahren. Es wird erwartet, dass IEEE 2883 der Standard für die Medienhygiene sein wird.
Aufkommende Technologien zur Speichersicherheit
Vertrauenswürdige Speicher (Trusted Storage). Mehrere Organisationen, darunter die Trusted Computing Group, DMTF, PCIe und das Open Compute Project, arbeiten an Spezifikationen, die die Integrität einzelner Komponenten und Plattformen auf der Grundlage von Vertrauensbeziehungen überprüfen. Die ersten Implementierungen werden sich wahrscheinlich auf Gerätebescheinigungen beziehungsweise -atteste konzentrieren.
Computational Storage. Sowohl die Storage Networking Industry Association (SNIA) als auch NVM Express arbeiten gemeinsam an Spezifikationen für computergestützten Speicher (Computational Storage), der den Nutzen von SSDs erhöhen könnte, indem er Hosts und Anwendungen die Möglichkeit gibt, bestimmte Funktionen auszulagern. Je nach Implementierung sind dabei einige interessante Sicherheitsfragen und -überlegungen zu berücksichtigen. Diese Funktionalität könnte jedoch auch dazu beitragen, dass eine SSD sich selbst schützen kann.
Neue Praktiken und Implementierungsstrategien
Erweiterter Einsatz von Verschlüsselung. Sowohl bei der Verschlüsselung von Daten bei der Übertragung (data in-flight) als auch bei der Verschlüsselung von Daten im Ruhezustand (data at rest) wird es wahrscheinlich zu Änderungen kommen. Die Umstellung auf Transport Layer Security Version 1.3 ist im Gange, und ihre Verwendung innerhalb des Speichers sollte den Datenzugriff und ihre historische Hilfe bei der Sicherung der Speicherverwaltung einschließen. NVM Express und die Trusted Computing Group entwickeln eine neue Form der Speicherverschlüsselung unter der Bezeichnung Key Per IO, bei der eine Hardwareverschlüsselung innerhalb einer SSD zum Einsatz kommt, die Schlüsselverwaltung jedoch vollständig von einem Host, einer VM oder einem Container kontrolliert wird.
Wiederherstellung nach Cyberangriffen. Die Bedrohung durch Ransomware hat die Aufmerksamkeit auf die Speichersicherheit gelenkt und die Bedeutung von Datensicherungen (Backups) erhöht. Einige Unternehmen haben ihre Backup-Strategien dahingehend angepasst, dass sie Plattformen zur Wiederherstellung nach Cyberangriffen umfassen, die Air-Gap-, Data-Vaulting- und Data-Immutability-Technologien enthalten können.
Zirkularität. Aus rechtlicher Sicht sind der Datenschutz und die Kreislaufwirtschaft zwei Beispiele, bei denen die Speichersicherheit eine hilfreiche Rolle spielen kann. Im Falle der Kreislaufwirtschaft sollten Speichermedien erst dann wiederverwendet oder entsorgt werden, wenn alle sensiblen Daten beseitigt sind. Ebenso erfordert der Schutz der Privatsphäre die Beseitigung von Daten auf dem Speichermedium vor dem Verlust der Kontrolle. Das Versäumnis, Daten zu beseitigen, kann zu kostspieligen und peinlichen Datenschutzverletzungen führen. Die Durchführung einer Medienbereinigung mit entsprechender Dokumentation kann die Probleme jedoch beseitigen.
Zero-Trust-Architekturen. Das Konzept des Zero Trust (Null Vertrauen) konzentriert sich auf explizites Vertrauen und defensive Haltungen in einer Umgebung, die als gefährdet gilt. Ein Schlüsselelement von Zero-Trust-Architekturen ist die Verwendung von Richtlinien-Durchsetzungspunkten und -Engines, die in Echtzeit Entscheidungen über den gesamten Zugriff auf und die Nutzung von Ressourcen treffen. Die Rolle des Speichers in einer solchen Architektur wird sowohl von SNIA und IEEE als auch von mehreren Behörden untersucht.
Die Sicherheitsfunktionen im Speicher werden ständig erweitert, um den sich entwickelnden Bedrohungen zu begegnen. Bei vielen Implementierungen kann der Speicher nun ein aktiver Teilnehmer beim Schutz der Daten sein. Daher sollte die Speichersicherheit als ein Element in die System-Sicherheitsarchitektur einbezogen werden.
Über das SNIA Data Protection and Privacy Committee (DPPC):
Das SNIA DPPC hat es sich zur Aufgabe gemacht, das Bewusstsein und die Akzeptanz von Datenschutztechnologien zu fördern und Aufklärung, Best Practices und technologische Leitlinien zu allen Fragen im Zusammenhang mit dem Schutz und der Privatsphäre von Daten bereitzustellen. Diese Charta erweitert den Fokus des DPPC auf Bereiche des Datenschutzes, der Einhaltung von Vorschriften und einer allgemeineren Sichtweise des Datenschutzes.
In Zusammenarbeit mit anderen relevanten Gruppen, wie z. B. der SNIA Security Technical Work Group, soll ein Bezugspunkt für Endbenutzer geschaffen werden, die ihre Verwaltung der primären Datenbestände verbessern und die Gefährdung durch externe Bedrohungen verringern möchten.
Wenn Sie daran interessiert sind, diesen Ausschuss zu unterstützen, senden Sie eine E-Mail an [email protected].
Eric Hibbard ist der Vorsitzende der SNIA Security Technical Work Group. Thomas Rivera ist Mitvorsitzender der SNIA Data Protection and Privacy Committee.
Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.