Regelungen zu Speichersystemen

Technische Infrastruktur für Speicherkomponenten

Zentrale SAN-Komponenten dürfen, sofern keine geeigneten eigenen Räume verfügbar sind, nur in einem der beiden Serverräume des Rechenzentrums aufgestellt werden. Nur damit ist die notwendige Sicherheit der Komponenten gewährleistet.

In diesen Räumen wird die Virtualisierungs- und Speicherinfrastruktur jeweils gespiegelt betrieben. Redundanzen bezüglich Strom-, Netz- und Klimaversorgung müssen deshalb nicht pro Raum betrachtet werden. Beide Räume sind redundant mit Datennetz versorgt. Beide Räume verfügen über einen Grundschutz gegen „Höhere Gewalt“ (Feuer, Wasser, Temperatur) in Form von entsprechenden Meldeanlagen. Gegen technisches Versagen der Stromversorgung schützen am Standort RZ dedizierte USVs und am Standort M3 eine zentrale USV für alle im Raum untergebrachten Systeme.

Zum Schutz vor unbefugtem Zutritt und vorsätzlichen Handlungen greifen die „Regelungen für die Zugriffs- bzw. Zugangskontrolle“.

Zugriff Externer

Für den Zugriff Externer gelten die Ausführungen in den „Regelungen für den Einsatz von Fremdpersonal“.

Desastertoleranz

Ein Virtualisierungscluster über beide Standorte hinweg in Verbindung mit einem gespiegelten SAN ist für ein desastertolerantes Szenario Voraussetzung. Alle Datennetzanschlüsse an Servern und SAN, alle Datennetzkomponenten (Switches, Datennetzverbindungen), alle FC-Komponenten (HBAs, FC-Switches, FC-Verbindungen) sowie Stromanbindungen müssen redundant, also mindestens doppelt vorhanden sein.

Für Administratoren greifen die „Regelungen für die Zugriffs- bzw. Zugangskontrolle“. Dadurch wird sichergestellt, dass nur berechtigte Personen auf den SAN-Speicher zugreifen können.

Die Verwaltung der Speicherressourcen durch die Administratoren ist lokal über eine direkt angeschlossene Konsole, ein eigenes Administrationsnetz oder über verschlüsselte Verbindungen zulässig. Der Zugriff auf Speicherressourcen ist auf definierte Systeme zu begrenzen und geeignet zu kontrollieren (zum Beispiel durch Sicherheitsgateways).

IT-Systeme, die als Managementkonsole eingesetzt werden, sind auf bestmögliche Weise vor Schadprogrammen zu schützen, mindestens gemäß des „Sicherheitskonzeptes gegen Schadprogramme“.

Für jedes Speichersystem sind ein IT-Betriebshandbuch und ein IT-Notfallhandbuch gemäß Informationssicherheitsmanagementsystem (ISMS) des IT-Service zu führen. Die Pflege der Dokumente erfolgt gemäß den Vorgaben vom ISMS. Relevante Änderungen werden dort dokumentiert. Administratoren dürfen keine Aktionen ausführen oder Einstellungen an der Speicherlösung vornehmen, die zu Inkonsistenzen, Ausfällen oder Datenverlust führen können. Hierfür sind entsprechende Vorgaben und Regelungen zu treffen.

Änderungen der Grundkonfiguration des Speichersystems und der Administrationsmöglichkeiten bedürfen des Vier-Augen-Prinzips durch eine zweite Person der Abteilung Serversysteme.

Das Vorgehen bei der Erstinstallation ist zu dokumentieren. Da diese in den meisten Fällen vom Hersteller oder Lieferanten vorgenommen wird, ist die entsprechende Dokumentation einzufordern.

Nach der Installation sind die Default-Einstellungen in Bezug auf Sicherheitsgefährdungen zu überprüfen, unsichere Dienste auf Netzkomponenten und Speichergeräten zu deaktivieren und die Standardkennungen und -passwörter zu ändern.

Zugriffe von Systemkonsolen auf Speicherkomponenten über das LAN sollten ausschließlich über verschlüsselte Verbindungen ermöglicht werden. Der Kreis der zugriffsberechtigten Anwender auf die Geräte ist möglichst klein zu halten. Regeln zur Verwendung und Konfiguration der Konsole und Restriktion der Zugriffsarten sind zu dokumentieren.

Für jedes Speichersystem sind ein IT-Betriebshandbuch und ein IT-Notfallhandbuch gemäß ISMS des IT-Service zu führen. Die Pflege der Dokumente erfolgt gemäß den Vorgaben vom ISMS. Relevante Änderungen werden dort dokumentiert.

Innerhalb des SANs sind spezifische Methoden der Segmentierung zu nutzen, mit dem Ziel eines besseren Schutzes von Teilbereichen sowohl bezüglich der Vertraulichkeit und Verfügbarkeit als auch bezüglich der Integrität der Konfiguration und der Verfügbarkeit des SANs. Es muss dabei sichergestellt werden, dass keine Daten aufgrund eines falschen Zugriffs zerstört werden und dass Server nur mit "ihrem" Ausschnitt der Speichereinheiten im SAN arbeiten. Dies wird erreicht, indem das SAN in logische Segmente (V SANs) eingeteilt wird, sodass nur die Geräte innerhalb eines Segmentes miteinander kommunizieren können. Bei Bedarf ist ein Konzept für die Zuordnung der SAN-Ressourcen zu erstellen (siehe dazu BSI M 5.130 Absicherung des SANs durch Segmentierung.

Die Administration der Speicherlösung ist abzusichern, indem Zugriffe nur über besondere Verbindungen (ein separates Administrationsnetz, gegebenenfalls auch das Speichernetz selbst) zugelassen werden.

Speicherkomponenten werden nur in einem bestehenden Managementsystem betrieben, gewartet und integriert. Eine sichere Konfiguration dieser Werkzeuge muss gewährleistet sein. Wenn möglich, sollten nur verschlüsselte Verbindungen genutzt und nicht benötigte Schnittstellen und Dienste deaktiviert bzw. gesperrt werden.

Für die Fernwartung des SAN gelten die Ausführungen in den „Regelungen für den Einsatz von Fremdpersonal“.

Softwareupdates und Änderungen der Konfiguration dürfen nur von Administratoren der Abteilung Serversysteme vorgenommen werden. Die Änderungen sind nach den Vorgaben vom ISMS zu dokumentieren. Sofern technisch realisierbar sind Änderungen und Updates stets vor dem Wirkbetrieb an baugleichen Testsystemen zu erproben und zu bewerten.

Während des Betriebes einer Speicherlösung sind alle administrativen Tätigkeiten zu protokollieren. Darüber hinaus muss ein Konzept für die Verwaltung und Überwachung der Speichersysteme erstellt werden.

Beim zentralen Speichersystem des IT-Service besteht keine Notwendigkeit der Verschlüsselung.

Die Datensicherung des Speichersystems erfolgt gemäß den Vorgaben des „Konzepts zur Datensicherung“.