Hasta hace relativamente poco tiempo, los administradores no perdían el sueño preocupados por la confidencialidad de sus datos, ya que la mayoría de los entornos de almacenamiento en la empresa se enmarcaban en el ámbito DAS (Direct Attached Storage).
Con la posterior proliferación del almacenamiento en red en sus distintas vertientes -NAS, SAN o CAS- se han multiplicado los temores para el encargado de gestionar los recursos de ‘storage’.
Peor aún, algunos escándalos que han supuesto pérdidas millonarias por el robo de datos pertenecientes a clientes de entidades bancarias -ya gestionaran sus propios sistemas o tuvieran esta función externalizada- ha llevado a la industria a plantearse una cuestión importante: encriptar la información que albergan los discos y servidores de almacenamiento.
Y es que según el Informe 2003 elaborado por el Computer Security Institute y el FBI, las pérdidas medias de información las que se han informado a estas autoridades alcanzaban los 2,7 millones de dólares, según los datos correspondientes a mayo.
El problema deriva del siguiente factor: una vez que las compañías se han ido sumando al almacenamiento en red, también se ha extendido la creencia de que bastaba con situar un simple firewall en el front-end para preservar la información almacenada de forma segura.
Otro de los factores que ha desvelado este clima de inseguridad afecta a la creencia de que el robo de datos se realiza desde el exterior, cuando cerca de la mitad de estas acciones proceden del interior de la empresa ya sea por descuido o intencionadamente.
Paralelamente y según el último informe de IDC, el 45 por ciento de todo el almacenamiento externo (no en servidores) correspondía al modelo DAS en 2002. El resto -55 por ciento- lo suman NAS y SAN. La primera tecnología supone el 19,9 por ciento, mientras SAN ostenta el 44,1 por ciento.
Para 2007, la consultora estima que tan sólo el 22 por ciento de todo el almacenamiento externo corresponderá al modelo directo. La fórmula en red reflejará un 18,8 por ciento para NAS y el 59,2 por ciento restante para SAN.
Debido a que las redes de almacenamiento son vulnerables ante brechas de seguridad, ataques de denegación de servicio, accesos no autorizados o robos internos y externos, hay una serie de nuevas tecnologías que tratan de evitar preocupaciones.
Así, han adquirido especial importancia dos métodos de partición o segmentación que aportan un cierto nivel de seguridad e integridad, aunque ésta no es la función inicial para la que fueron diseñados.
Se trata de ‘Zoning’ y ‘LUN masking’. El primero crea barreras y particiones -a través del hardware o el software- en una SAN para evitar que ciertos dispositivos interactúen con otros. Los usuarios de una zona se identifican con números de puerto o una dirección W W Name para poder relacionarse libremente. Zoning también crea Virtual LANs para maximizar los recursos.
Por su parte, LUN masking permite definir relaciones entre dispositivos FC, que se presentan como servidores individuales, por lo que facilita el uso de los mismos recursos de disco por múltiples máquinas, pero cada servidor sólo vislumbra el LUN con el que puede tratar.
Debido a que ambos sistemas fueron diseñados para establecer particiones, no evitan el uso no autorizado a los datos. No obstante, la industria entiende que podrían perfeccionarse para blindar las medidas de seguridad en la red SAN.
Otra fórmula con éxito en la actualidad consiste en adoptar medidas por parte de los fabricantes de switches, como Brocade o McData. Se trata del Zoning en los dispositivos físicos, o bien establecer Virtual SANs, además de mejorar sus funciones de autenticación y control de accesos.
Así, Brocade ha presentado recientemente Secure Fabric OS, que proporciona certificados digitales para prevenir los cambios de configuración sin autorizaciones, funciones de zoning y el soporte de FC Authentication Protocol, un nuevo estándar que facilita la identificación entre dispositivos Fibre Channel.
Tras su reciente entrada en este mercado, Cisco traslada la experiencia obtenida en networking para blindar su switch Andiamo. Se enfoca en crear VSANs y controles de acceso basados en rol de usuario.
Paralelamente, los vendedores de software de almacenamiento amplían las funciones de autenticación y control de accesos, mientras los vendedores de chips y HBAs trabajan en securizar y compatibilizar IPSec con iSCSI.
Pero quizás el mayor avance en securizar las redes SAN venga de la mano de nuevos actores que proponen como alternativa ‘appliances’ de seguridad para el almacenamiento en red.
Aunque tampoco constituyen la panacea, estos fabricantes -Decru, Kaste Chase Applied Research, NeoScale o Vormetric- se centran en la encriptación de los datos. De esta forma, si se produce un robo de información confidencial, será casi imposible leer los datos. La clave: emplean encriptación de 128 o 256 bits.
Y es que la actual corriente de soporte de Protocolo Internet por parte de la red SAN -modelo en el que trabajan casi los principales fabricantes de arrays- ha avivado aún más los temores.
La migración a iSCSI desde FC promete reducir costes ampliar el alcance de los datos y simplificar la interacción entre el departamento TI y la parte de almacenamiento, pero trae consigo posibles nuevas vulnerabilidades, heredadas del entorno Internet, ya que abre el abanico a nuevos Puntos de Acceso.
Habrá que esperar para ver si la industria acoge estos nuevos ‘apliances’, aunque probablemente deberán combinarse con el resto de técnicas y prestar especial importancia a los mecanismos MLS (Multi Level Security) en los sistemas de archivos compartidos.
