Безопасность хранения

Безопасность хранения данных — это специальная область безопасности, которая занимается защитой систем хранения данных и экосистем, а также данных, находящихся в этих системах.

Введение

По данным Ассоциации производителей сетей хранения данных (SNIA), безопасность хранения данных представляет собой объединение дисциплин, технологий и методологий хранения, сетей и безопасности с целью защиты и обеспечения безопасности цифровых активов. ^[1] Исторически сложилось так, что основное внимание уделялось как вендорским аспектам повышения безопасности продуктов хранения, так и потребительским аспектам, связанным с безопасным использованием продуктов хранения.

Словарь SNIA определяет безопасность хранения как:

Технические средства контроля, которые могут включать средства контроля целостности, конфиденциальности и доступности, которые защищают ресурсы хранения и данные от несанкционированных пользователей и видов использования.

ISO/IEC 27040 дает следующее более полное определение безопасности хранения:

применение физического, технического и административного контроля для защиты систем хранения и инфраструктуры, а также данных, хранящихся в них.

Примечание 1 к записи: Безопасность хранения направлена на защиту данных (и инфраструктуры их хранения) от несанкционированного раскрытия, изменения или уничтожения, обеспечивая при этом их доступность для авторизованных пользователей.

Примечание 2 к записи: Эти меры контроля могут носить профилактический, обнаруживающий, корректирующий, сдерживающий, восстановительный или компенсирующий характер.

Принципы безопасного хранения

Целостность: сохраненные данные не могут быть изменены. ^[2]
Конфиденциальность: только авторизованные пользователи будут иметь доступ к данным локально или через сеть. ^[3]
Доступность: Управляйте и минимизируйте риск недоступности из-за преднамеренных разрушений или несчастных случаев, таких как стихийные бедствия, механические и энергетические сбои. ^[4]

Соответствующие стандарты и спецификации

Применение безопасности к системам хранения и экосистемам требует хорошего практического знания ряда стандартов и спецификаций, включая, помимо прочего:

ISO Guide 73:2009, Менеджмент риска. Словарь
ISO 7498-2:1989, Информационные технологии. Взаимосвязь открытых систем. Базовая эталонная модель. Часть 2. Архитектура безопасности
ISO 16609:2004, Банковское дело. Требования к аутентификации сообщений с использованием симметричных методов.
ISO/PAS 22399:2007, Социальная безопасность. Руководство по обеспечению готовности к инцидентам и управлению непрерывностью деятельности.
ISO/IEC 10116:2006, Информационные технологии. Методы обеспечения безопасности. Режимы работы n-битного блочного шифра.
ISO/TR 10255:2009, Приложения для управления документами. Технология хранения данных на оптических дисках, управление и стандарты
ISO/TR 18492:2005, Долгосрочное сохранение информации, основанной на электронных документах.
ISO 16175-1:2010, Информация и документация. Принципы и функциональные требования к записям в среде электронного офиса. Часть 1. Обзор и изложение принципов
ISO 16175-2:2011, Информация и документация. Принципы и функциональные требования к записям в среде электронного офиса. Часть 2. Руководящие указания и функциональные требования к системам управления цифровыми записями.
ISO 16175-3:2010, Информация и документация. Принципы и функциональные требования к записям в среде электронного офиса. Часть 3. Руководящие указания и функциональные требования к записям в бизнес-системах.
ISO/IEC 11770 (все части), Информационные технологии. Методы обеспечения безопасности. Управление ключами.
ISO/IEC 17826:2012, Информационные технологии. Интерфейс управления облачными данными (CDMI)
ISO/IEC 19790:2006, Информационные технологии. Методы обеспечения безопасности. Требования безопасности для криптографических модулей.
ISO/IEC 24759:2008, Информационные технологии. Методы обеспечения безопасности. Требования к испытаниям криптографических модулей.
ISO/IEC 24775, Информационные технологии. Управление хранением данных (будет опубликован)
ISO/IEC 27000:2014, Информационные технологии. Методы обеспечения безопасности. информационной безопасностью. Обзор и словарь. Системы управления
ISO/IEC 27001:2013, Информационные технологии. Методы обеспечения безопасности. Системы управления информационной безопасностью. Требования.
ISO/IEC 27002:2013, Информационные технологии. Методы обеспечения безопасности. Правила управления информационной безопасностью.
ISO/IEC 27003:2010, Информационные технологии. Методы обеспечения безопасности. Руководство по внедрению систем управления информационной безопасностью.
ISO/IEC 27005:2008, Информационные технологии. Методы обеспечения безопасности. Управление рисками информационной безопасности.
ISO/IEC 27031:2011, Информационные технологии. Методы обеспечения безопасности. Руководящие указания по обеспечению готовности информационных и коммуникационных технологий к обеспечению непрерывности бизнеса.
ISO/IEC 27033-1:2009, Информационные технологии. Методы обеспечения безопасности. Сетевая безопасность. Часть 1. Обзор и концепции.
ISO/IEC 27033-2, Информационные технологии. Методы обеспечения безопасности. Сетевая безопасность. Часть 2. Руководящие указания по проектированию и реализации сетевой безопасности.
ISO/IEC 27033-3:2010, Информационные технологии. Методы обеспечения безопасности. Сетевая безопасность. Часть 3. Эталонные сетевые сценарии. Угрозы, методы проектирования и проблемы контроля
ISO/IEC 27033-4:2014, Информационные технологии. Методы обеспечения безопасности. Сетевая безопасность. Часть 4. Защита связи между сетями с использованием шлюзов безопасности.
ISO/IEC 27037:2012, Информационные технологии. Методы обеспечения безопасности. Руководящие указания по идентификации, сбору, получению и сохранению цифровых доказательств.
ISO/IEC/IEEE 24765-2010, Системная и программная инженерия. Словарь
IEEE 1619-2007, стандарт IEEE для широкоблочного шифрования для общих носителей данных.
IEEE 1619.1-2007, Стандарт IEEE для шифрования с аутентификацией и увеличением длины для устройств хранения данных.
IEEE 1619.2-2010, Стандарт IEEE для криптографической защиты данных на блочно-ориентированных устройствах хранения данных.
Спецификация протокола IETF RFC 1813 NFS версии 3
IETF RFC 3195 Надежная доставка для системного журнала
Протокол сетевой файловой системы (NFS) IETF RFC 3530 версии 4
IETF RFC 3720 Интернет-интерфейс малых компьютерных систем (iSCSI)
IETF RFC 3723 Защита протоколов блочного хранения данных через IP
IETF RFC 3821 Fibre Channel через TCP/IP (FCIP)
IETF RFC 4303 IP-инкапсуляция полезной нагрузки безопасности (ESP)
IETF RFC 4595 Использование IKEv2 в протоколе управления ассоциациями безопасности Fibre Channel
IETF RFC 5246 Протокол безопасности транспортного уровня (TLS), версия 1.2
IETF RFC 5424 Протокол системного журнала
IETF RFC 5425 Транспортное сопоставление TLS для системного журнала
IETF RFC 5426 Передача сообщений системного журнала через UDP
Текстовые соглашения IETF RFC 5427 для управления системным журналом
IETF RFC 5661 Сетевая файловая система (NFS) версии 4, дополнительный протокол версии 1
IETF RFC 5663 Параллельная структура блоков/томов NFS (pNFS)
IETF RFC 5848 Подписанные сообщения системного журнала
IETF RFC 6012 Datagram Transport Layer Security (DTLS) Транспортное сопоставление для системного журнала
Дорожная карта документа IETF RFC 6071 по IP-безопасности (IPsec) и обмену ключами в Интернете (IKE)
IETF RFC 6587 Передача сообщений системного журнала по TCP
IETF RFC 7146, Защита протоколов блочного хранения данных через IP: Обновление требований RFC 3723 для IPsec v3
ANSI INCITS 400–2004, Информационные технологии. Команды объектно-ориентированного устройства хранения данных (OSD) SCSI.
ANSI INCITS 458–2011, Информационные технологии. Команды объектно-ориентированного устройства хранения данных SCSI – 2 (OSD-2)
ANSI INCITS 461–2010, Fibre Channel — коммутационная фабрика — 5 (FC-SW-5)
ANSI INCITS 462–2010, Информационные технологии — Fibre Channel — Магистраль — 5 (FC-BB-5)
ANSI INCITS 463–2010, Fibre Channel — Общие услуги — 6 (FC-GS-6)
ANSI INCITS 470–2011, Fibre Channel — кадрирование и сигнализация-3 (FC-FS-3)
ANSI INCITS 482–2012, Информационные технологии. Набор команд ATA/ATAPI — 2 (ACS-2).
ANSI INCITS 496–2012, Информационные технологии — Fibre Channel — Протоколы безопасности — 2 (FC-SP-2)
ANSI INCITS 512–2013, Информационные технологии — блочные команды SCSI — 3 (SBC-3)
NIST FIPS 140–2, Требования безопасности для криптографических модулей
NIST FIPS 197, расширенный стандарт шифрования
Специальная публикация NIST 800-38A, Рекомендации по режимам работы блочного шифрования: три варианта кражи зашифрованного текста для режима CBC
Специальная публикация NIST 800-38C, Рекомендации по режимам работы блочного шифрования: режим CCM для аутентификации и конфиденциальности
Специальная публикация NIST 800-38D, Рекомендации по режимам работы блочного шифрования: режим Галуа/счетчика (GCM) и GMAC
Специальная публикация NIST 800-38E, Рекомендации по режимам работы блочного шифрования: режим XTS-AES для конфиденциальности на устройствах хранения данных
Специальная публикация NIST 800-57, часть 1, Рекомендации по управлению ключами: Часть 1: Общие сведения (редакция 3)
Специальная публикация NIST 800-57, часть 2, Рекомендации по управлению ключами: Часть 2: Передовой опыт организации управления ключами
Специальная публикация NIST 800-67, Рекомендации по блочному шифру с тройным алгоритмом шифрования данных (TDEA).
Специальная публикация NIST 800-88, редакция 1, Рекомендации по санитарной обработке средств массовой информации, http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-88r1.pdf
Ассоциация производителей сетей хранения данных (SNIA), Инициатива по управлению хранилищем – спецификация (SMI-S), версия 1.5, Книга по архитектуре, http://www.snia.org/tech_activities/standards/curr_standards/smi
Ассоциация индустрии сетей хранения данных (SNIA), Техническая позиция SNIA: Спецификация TLS для систем хранения данных v1.0, http://www.snia.org/tls
Trusted Computing Group, Базовая спецификация архитектуры хранения данных, версия 2.0, ноябрь 2011 г.
Группа доверенных вычислений, Класс подсистемы безопасности хранилища: Enterprise, версия 1.0, январь 2011 г.
Группа доверенных вычислений, Класс подсистемы безопасности хранилища: Opal, версия 2.0, февраль 2012 г.
OASIS, спецификация протокола взаимодействия управления ключами (версия 1.2 или более поздняя)
OASIS, профили протокола взаимодействия управления ключами (версия 1.2 или новее)
Рекомендация МСЭ-T X.1601 (2013 г.), Структура безопасности для облачных вычислений
Рекомендация МСЭ-Т Y.3500 | ISO/IEC 17788:2014, Информационные технологии. Облачные вычисления. Обзор и словарь.

Внешние ссылки

Ассоциация производителей сетей хранения данных: SNIA Home

Ссылки

^ Эрик А. Хиббард; Ричард Остин. «Руководство по навыкам и знаниям для специалистов по безопасности хранения» (PDF) . www.snia.org/ssif . СНИА . Проверено 18 августа 2014 г.
^ «Что такое безопасное хранилище и как защитить ваше хранилище данных» . Миниинструмент . 07.08.2021 . Проверено 18 сентября 2022 г.
^ «Что такое безопасное хранилище и как защитить ваше хранилище данных» . Миниинструмент . 07.08.2021 . Проверено 18 сентября 2022 г.
^ «Что такое безопасное хранилище и как защитить ваше хранилище данных» . Миниинструмент . 07.08.2021 . Проверено 18 сентября 2022 г.

[1] Эрик А. Хиббард; Ричард Остин. «Руководство по навыкам и знаниям для специалистов по безопасности хранения» (PDF) . www.snia.org/ssif . СНИА . Проверено 18 августа 2014 г.

[2] «Что такое безопасное хранилище и как защитить ваше хранилище данных» . Миниинструмент . 07.08.2021 . Проверено 18 сентября 2022 г.

[3] «Что такое безопасное хранилище и как защитить ваше хранилище данных» . Миниинструмент . 07.08.2021 . Проверено 18 сентября 2022 г.

[4] «Что такое безопасное хранилище и как защитить ваше хранилище данных» . Миниинструмент . 07.08.2021 . Проверено 18 сентября 2022 г.

[1]

[2]

[3]

[4]