Bezpieczeństwo przechowywania

Bezpieczeństwo pamięci masowej to specjalny obszar bezpieczeństwa, który dotyczy zabezpieczania systemów przechowywania danych i ekosystemów oraz danych znajdujących się w tych systemach.

Wstęp

Według stowarzyszenia Storage Networking Industry Association (SNIA) bezpieczeństwo pamięci masowej stanowi konwergencję dyscyplin, technologii i metodologii związanych z pamięcią masową, siecią i bezpieczeństwem w celu ochrony i zabezpieczania zasobów cyfrowych. W przeszłości koncentrowano się zarówno na aspektach zwiększania bezpieczeństwa produktów pamięci masowej przez dostawców, jak i aspektach konsumenckich związanych z bezpiecznym korzystaniem z produktów pamięci masowej.

Słownik SNIA definiuje bezpieczeństwo pamięci masowej jako:
Zabezpieczenia techniczne, które mogą obejmować kontrole integralności, poufności i dostępności, które chronią zasoby pamięci masowej i dane przed nieautoryzowanymi użytkownikami i zastosowaniami.
Norma ISO/IEC 27040 zawiera następującą, bardziej kompleksową definicję bezpieczeństwa pamięci masowej:
zastosowanie fizycznych, technicznych i administracyjnych środków kontroli w celu ochrony systemów i infrastruktury pamięci masowej oraz przechowywanych w nich danych
Uwaga 1 do wpisu: Bezpieczeństwo pamięci masowych koncentruje się na ochronie danych (i ich infrastruktury pamięci masowej) przed nieautoryzowanym ujawnieniem, modyfikacją lub zniszczeniem przy jednoczesnym zapewnieniu ich dostępności dla uprawnionych użytkowników.
Uwaga 2 do wpisu: Kontrole te mogą mieć charakter zapobiegawczy, detektywistyczny, naprawczy, odstraszający, naprawczy lub kompensacyjny.

W 2021 roku Gartner wprowadził nową kategorię, zatytułowaną „Cyberstorage”. Jak wyjaśnia Gartner w raporcie, „Rozwiązania Cyberstorage dostarczają aktywne technologie do identyfikowania, ochrony, wykrywania, reagowania i odzyskiwania danych po atakach ransomware na nieustrukturyzowane rozwiązania do przechowywania danych. Liderzy I&O muszą ocenić rozwiązania cyberprzechowywania jako nowy mechanizm obronny do ochrony ich najbardziej krytycznych danych”.


Zasady bezpiecznego przechowywania

  • Integralność: Przechowywane dane nie mogą być zmieniane.
  • Poufność: Tylko upoważnieni użytkownicy będą mieli dostęp do danych lokalnie lub przez sieć.
  • Dostępność: Zarządzaj i minimalizuj ryzyko niedostępności z powodu umyślnych zniszczeń lub wypadków, takich jak klęski żywiołowe, awarie mechaniczne i elektryczne.

Odpowiednie normy i specyfikacje

Stosowanie zabezpieczeń do systemów pamięci masowej i ekosystemów wymaga dobrej praktycznej znajomości szeregu standardów i specyfikacji, w tym między innymi:

  • ISO Guide 73:2009, Zarządzanie ryzykiem — Słownictwo
  • ISO 7498-2:1989, Technologia informacyjna — Wzajemne połączenia systemów otwartych — Podstawowy model referencyjny — Część 2: Architektura bezpieczeństwa
  • ISO 16609:2004, Bankowość — Wymagania dotyczące uwierzytelniania wiadomości przy użyciu technik symetrycznych
  • ISO/PAS 22399:2007, Bezpieczeństwo społeczne — Wytyczne dotyczące gotowości na incydenty i zarządzania ciągłością operacyjną
  • ISO/IEC 10116:2006, Technika informatyczna — Techniki bezpieczeństwa — Tryby działania dla n-bitowego szyfru blokowego
  • ISO/TR 10255:2009, Aplikacje do zarządzania dokumentami — Technologia przechowywania dysków optycznych, zarządzanie i standardy
  • ISO/TR 18492:2005, Długotrwałe przechowywanie informacji w postaci dokumentów elektronicznych
  • ISO 16175-1:2010, Informacje i dokumentacja — Zasady i wymagania funkcjonalne dotyczące akt w elektronicznych środowiskach biurowych — Część 1: Przegląd i zestawienie zasad
  • ISO 16175-2:2011, Informacje i dokumentacja — Zasady i wymagania funkcjonalne dotyczące akt w elektronicznych środowiskach biurowych — Część 2: Wytyczne i wymagania funkcjonalne dotyczące systemów zarządzania dokumentacją cyfrową
  • ISO 16175-3:2010, Informacje i dokumentacja — Zasady i wymagania funkcjonalne dotyczące zapisów w elektronicznych środowiskach biurowych — Część 3: Wytyczne i wymagania funkcjonalne dotyczące zapisów w systemach biznesowych
  • ISO/IEC 11770 (wszystkie części), Technologia informacyjna — Techniki bezpieczeństwa — Zarządzanie kluczami
  • ISO/IEC 17826:2012, Technologia informacyjna — interfejs zarządzania danymi w chmurze (CDMI)
  • ISO/IEC 19790:2006, Technologia informatyczna — Techniki bezpieczeństwa — Wymagania bezpieczeństwa dla modułów kryptograficznych
  • ISO/IEC 24759:2008, Informatyka — Techniki bezpieczeństwa — Wymagania testowe dla modułów kryptograficznych
  • ISO/IEC 24775, Technologia informacyjna — Zarządzanie pamięcią masową (w przygotowaniu)
  • ISO/IEC 27000:2014, Technologia informacyjna — Techniki bezpieczeństwa — Systemy zarządzania bezpieczeństwem informacji — Przegląd i słownictwo
  • ISO/IEC 27001:2013, Technologia informacyjna — Techniki bezpieczeństwa — Systemy zarządzania bezpieczeństwem informacji — Wymagania
  • ISO/IEC 27002:2013, Technologia informacyjna — Techniki bezpieczeństwa — Kodeks postępowania w zakresie kontroli bezpieczeństwa informacji
  • ISO/IEC 27003:2010, Technologia informacyjna — Techniki bezpieczeństwa — Wskazówki dotyczące wdrażania systemów zarządzania bezpieczeństwem informacji
  • ISO/IEC 27005:2008, Technologia informacyjna — Techniki bezpieczeństwa — Zarządzanie ryzykiem związanym z bezpieczeństwem informacji
  • ISO/IEC 27031:2011, Technologia informacyjna — Techniki bezpieczeństwa — Wytyczne dotyczące gotowości technologii informacyjno-komunikacyjnych do zapewnienia ciągłości działania
  • ISO/IEC 27033-1:2009, Technika informatyczna — Techniki bezpieczeństwa — Bezpieczeństwo sieci — Część 1: Przegląd i koncepcje
  • ISO/IEC 27033-2, Technologia informacyjna — Techniki bezpieczeństwa — Bezpieczeństwo sieci — Część 2: Wytyczne dotyczące projektowania i wdrażania zabezpieczeń sieci
  • ISO/IEC 27033-3:2010, Informatyka — Techniki bezpieczeństwa — Bezpieczeństwo sieci — Część 3: Scenariusze sieci odniesienia — Zagrożenia, techniki projektowania i kwestie kontroli
  • ISO/IEC 27033-4:2014, Informatyka — Techniki bezpieczeństwa — Bezpieczeństwo sieci — Część 4: Zabezpieczanie komunikacji między sieciami przy użyciu bram bezpieczeństwa
  • ISO/IEC 27037:2012, Technologia informacyjna — Techniki bezpieczeństwa — Wytyczne dotyczące identyfikacji, gromadzenia, pozyskiwania i przechowywania dowodów cyfrowych
  • ISO/IEC/IEEE 24765-2010, Inżynieria systemów i oprogramowania — Słownictwo
  • IEEE 1619-2007, standard IEEE dla szyfrowania szerokoblokowego dla współdzielonych nośników pamięci
  • IEEE 1619.1-2007, standard IEEE dla uwierzytelnionego szyfrowania z rozszerzeniem długości dla urządzeń pamięci masowej
  • IEEE 1619.2-2010, standard IEEE dotyczący kryptograficznej ochrony danych na urządzeniach pamięci masowej zorientowanych na bloki
  • Specyfikacja protokołu IETF RFC 1813 NFS wersja 3
  • IETF RFC 3195 Niezawodne dostarczanie dla syslog
  • Protokół IETF RFC 3530 Network File System (NFS) wersja 4
  • IETF RFC 3720 Internetowy interfejs małych systemów komputerowych (iSCSI)
  • IETF RFC 3723 Zabezpieczanie protokołów blokowej pamięci masowej przez IP
  • IETF RFC 3821 Fibre Channel przez TCP/IP (FCIP)
  • IETF RFC 4303 IP Encapsulating Security Payload (ESP)
  • IETF RFC 4595 Użycie protokołu IKEv2 w protokole Fibre Channel Security Association Management Protocol
  • IETF RFC 5246 Protokół Transport Layer Security (TLS) wersja 1.2
  • IETF RFC 5424 Protokół Syslog
  • IETF RFC 5425 Mapowanie transportu TLS dla Syslog
  • IETF RFC 5426 Transmisja komunikatów Syslog przez UDP
  • IETF RFC 5427 Konwencje tekstowe dotyczące zarządzania Syslog
  • IETF RFC 5661 Network File System (NFS) Version 4 Minor Version 1 Protocol
  • Układ bloków/woluminów IETF RFC 5663 Parallel NFS (pNFS)
  • IETF RFC 5848 Podpisane komunikaty Syslog
  • IETF RFC 6012 Datagram Transport Layer Security (DTLS) Mapowanie transportu dla Syslog
  • Mapa drogowa dokumentu IETF RFC 6071 Bezpieczeństwo IP (IPsec) i Internet Key Exchange (IKE).
  • IETF RFC 6587 Transmisja komunikatów Syslog przez TCP
  • IETF RFC 7146, Securing Block Storage Protocols over IP: Aktualizacja wymagań RFC 3723 dla IPsec v3
  • ANSI INCITS 400–2004, Technologia informacyjna — polecenia urządzeń pamięci masowej oparte na obiektach SCSI (OSD)
  • ANSI INCITS 458–2011, Technologia informacyjna — Polecenia urządzeń pamięci masowej oparte na obiektach SCSI — 2 (OSD-2)
  • ANSI INCITS 461–2010, Fibre Channel — Switch Fabric — 5 (FC-SW-5)
  • ANSI INCITS 462–2010, Technologia informacyjna — Fibre Channel — szkielet — 5 (FC-BB-5)
  • ANSI INCITS 463–2010, Fibre Channel — usługi ogólne — 6 (FC-GS-6)
  • ANSI INCITS 470–2011, Fibre Channel — kadrowanie i sygnalizacja — 3 (FC-FS-3)
  • ANSI INCITS 482–2012, Technologia informacyjna — zestaw poleceń ATA/ATAPI — 2 (ACS-2)
  • ANSI INCITS 496–2012, Technologia informacyjna — Fibre Channel — Protokoły bezpieczeństwa — 2 (FC-SP-2)
  • ANSI INCITS 512–2013, Informatyka — Polecenia blokowe SCSI — 3 (SBC-3)
  • NIST FIPS 140–2, Wymagania bezpieczeństwa dla modułów kryptograficznych
  • NIST FIPS 197, zaawansowany standard szyfrowania
  • Specjalna publikacja NIST 800-38A, Zalecenie dotyczące trybów działania szyfru blokowego: trzy warianty kradzieży tekstu zaszyfrowanego w trybie CBC
  • Specjalna publikacja NIST 800-38C, Zalecenie dotyczące trybów działania szyfru blokowego: tryb CCM dla uwierzytelniania i poufności
  • Specjalna publikacja NIST 800-38D, zalecenie dotyczące trybów działania szyfru blokowego: tryb Galois/Counter (GCM) i GMAC
  • Specjalna publikacja NIST 800-38E, Zalecenie dotyczące trybów działania szyfru blokowego: tryb XTS-AES zapewniający poufność urządzeń pamięci masowej
  • Specjalna publikacja NIST 800-57 Część 1, Zalecenia dotyczące zarządzania kluczami: Część 1: Ogólne (Rewizja 3)
  • Specjalna publikacja NIST 800-57 Część 2, Zalecenia dotyczące zarządzania kluczami: Część 2: Najlepsze praktyki dla organizacji zarządzającej kluczami
  • Specjalna publikacja NIST 800-67, zalecenie dotyczące szyfru blokowego algorytmu potrójnego szyfrowania danych (TDEA)
  • Specjalna publikacja NIST 800-88 wersja 1, Wytyczne dotyczące oczyszczania mediów, http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-88r1.pdf
  • Storage Networking Industry Association (SNIA), Storage Management Initiative – Specification (SMI-S), wersja 1.5, Architecture Book, http://www.snia.org/tech_activities/standards/curr_standards/smi
  • Storage Networking Industry Association (SNIA), Stanowisko techniczne SNIA: Specyfikacja TLS dla systemów pamięci masowej w wersji 1.0, http://www.snia.org/tls
  • Trusted Computing Group, specyfikacja rdzeni architektury pamięci masowej, wersja 2.0, listopad 2011 r
  • Trusted Computing Group, Storage Security Subsystem Class: Enterprise, wersja 1.0, styczeń 2011 r
  • Trusted Computing Group, Storage Security Subsystem Class: Opal, wersja 2.0, luty 2012 r.
  • OASIS, specyfikacja protokołu interoperacyjności zarządzania kluczami (wersja 1.2 lub nowsza)
  • OASIS, profile protokołów interoperacyjności zarządzania kluczami (wersja 1.2 lub nowsza)
  • Zalecenie ITU-T X.1601 (2013), Ramy bezpieczeństwa dla przetwarzania w chmurze
  • Zalecenie ITU-T Y.3500 | ISO/IEC 17788:2014, Technologia informacyjna — Przetwarzanie w chmurze — Przegląd i słownictwo
  • Specjalna publikacja NIST 800-209, Wytyczne bezpieczeństwa dla infrastruktury pamięci masowej

Linki zewnętrzne

Pobrano z „ https://en.wikipedia.org/w/index.php?title=Storage_security&oldid=1128869842