最近、弊社の顧客の 1 社が別の (サードパーティ) IT 監査会社による IT ネットワーク監査を実施しました。結果は概ね良好でしたが、NAS への接続手段として、NAS に SMB 共有を作成する代わりに、Windows Server 上の iSCSI クライアントを使用していたことが指摘されました。これは良くないアイデアだと彼らは示唆しました。
「iSCSI とランサムウェア攻撃にはセキュリティ上のリスクもあり、iSCSI ディスクに対して不正な暗号化が行われ、データが読み取り不能になる可能性があります。セキュリティの観点から、このデータ共有方法は廃止し、共有アプローチを採用することをお勧めします。」
これはどういう意味でしょうか? iSCSI は SMB (アプリケーション) よりも低い OSI 層 (セッション) で動作し、iSCSI ディスクはローカルに接続されたディスクと同じようにアプリケーション層に表示されるため、侵害されやすいという事実を指しているのでしょうか?
もしそうなら、それは正しいですか?
私はセキュリティ フォレンジックの専門家ではありませんが、私たちの仕事は本質的にフォレンジック的なものであることが多いです。私の理解では、ランサムウェアは、iSCSI ディスクを攻撃するのと同じくらい、特定の Windows マシンからアクセス可能な SMB 共有上のデータを攻撃する可能性があります。
私の理解は正しいでしょうか、それとも何か見落としているのでしょうか?
質問に対する追加コンテキスト
CHAP パスワードは iSCSI サーバー上で設定されているため、彼らが指摘している点は、iSCSI クライアントがインストールされている Windows サーバーの侵害に関連していると思われます。
常に接続できる iSCSI クライアントは 1 つだけであり、このパスワードがネットワーク内外の他のサーバーやマシンに決して入力されないよう、非常に強力な「サイバー ハイジーン」が採用されています。
一般的に、NAS ディスクを Windows Server で利用できるようにするために、iSCSI を使用することを推奨します。Windows がファイル システムを処理する場合、DACL 内の高度なアクセス制御エントリ (ACE) に問題は発生しないことがわかりました。たとえば、QNAP の実装には、ACE の順序付けに関して過去にバグがあり、問題になることがあります。また、子オブジェクトに CONTAINER_INHERIT_ACE を設定するとバグが発生することもわかりました (QNAP に通知されましたが、今日まで解決されていません)。この点は、この質問とは厳密には関係ありませんが、iSCSI を推奨する理由についての背景情報を提供します。
上記の点とは反対に、この特定の顧客の場合、問題の iSCSI 接続ディスクは、Veeam バックアップ ストアとして使用されているため、ReFS でフォーマットされています。技術的には必須ではありませんが、Veeam はパフォーマンス上の理由から NTFS よりも ReFS の使用を推奨しているため、このオプションを優先する傾向があります。(ここに良い記事があります(バックアップ用の ReFS と NTFS の比較について説明します。) これらの利点は、NAS を SMB に移行したのではなく、iSCSI を使用した場合にのみ実現可能です。
私はこの件についてすでに少し調べましたが、ネットワーク共有経由で接続するよりも iSCSI の方がランサムウェアの被害を受けやすいという証拠は見つかりませんでした。しかし、私は偏見を持たずにいます。
答え1
オンラインで書き込み可能なディスクは、悪意のあるソフトウェアやユーザーによって破損される可能性があります。ファイル共有が見つからないと想定して、それらを過小評価するのは間違いです。
重要なデータを守る最後の防衛線は常にテスト済み、コールド オフライン バックアップ。この場合、重要なデータにはバックアップ自体も含まれる可能性があります。バックアップ アーカイブを変更できないようにする方法について考えてみましょう。リムーバブル メディア (テープ)、バックアップにのみ資格情報を使用する変更不可能なクラウド ストレージ、NAS をバックアップ専用にして他には何も接続しない、バックアップ ソフトウェア ポート以外のすべてをファイアウォールで保護する、ファイル共有を無効にする、などです。
もう 1 つの制御はソフトウェアのリストを許可し、不明なものの実行を大幅に制限することです。
あなたが提供したコンテキストから、このことについてあなたが考えたことがわかり、プロトコルの使用が適切であると説明しています。この質問よりも少し高いレベルで考え、ビジネス継続計画にどのような保護が存在するかを回答に含めてください。
- 最後のバックアップ復元テストはいつ行われましたか? リカバリポイントとリカバリ時間の目標は達成されましたか?
- レッドチーム演習などを通じて、コールド バックアップがオンラインでなく脆弱ではないことを証明した人はいますか?
- 最後にランサムウェアの問題が発生したのはいつですか? また、技術的またはプロセス制御を改善するために何を行いましたか?
答え2
クラスター化されたファイル システムを使用せずに複数のイニシエーターで使用した場合の iSCSI の脆弱性の問題はさておき、ファイル共有プロトコルが iSCSI と比較してランサムウェアの面でより安全である理由はほとんど見当たりません。認証を強化するには CHAP を使用し、ネットワーク上のデータ転送を保護するには IPSec を使用します。iSCSI がなぜ必要なのか、全体的な説明は次のとおりです。https://www.starwindsoftware.com/blog/complete-an-infrastructure-project-for-your-organization-with-iscsi-san
それ以外の場合は、バックアップ サーバー全体のセキュリティの問題になります。バックアップ サーバーをメインの運用環境から分離し、ドメイン外に配置し、別のアカウント (ドメイン管理者ではない) を使用するなどです。いずれにしても、バックアップ サーバーにランサムウェアが侵入したとしても、たとえば SMB 共有をバックアップ リポジトリとして使用している場合は、それほど問題にはなりません (https://helpcenter.veeam.com/docs/backup/vsphere/smb_share.html?ver=100) または iSCSI ストレージ。
答え3
はい、ファイル レベルのネットワーク データ アクセス プロトコルは、ブロック (iSCSI、FC、FCoE など) のプロトコルに比べて安全です。これは、不適切に構成されたクラスター化ファイル システムやローカル ファイル システム (EXT3/4、ReFS、XFS など) でボリュームを損傷することが非常に簡単なため、「ネットワーク リダイレクタ」でボリュームを損傷することができないからです。全体のストーリーは、ここで詳しく説明されています。
https://forums.starwindsoftware.com/viewtopic.php?f=5&t=1392