최근 우리 고객 중 한 명이 다른(제3자) IT 감사 회사로부터 IT 네트워크 감사를 받았습니다. 결과는 일반적으로 좋았지만 NAS에 SMB 공유를 생성하는 대신 Windows Server에서 NAS에 연결하는 수단으로 iSCSI 클라이언트를 사용했다는 점을 지적했습니다. 그들은 이것이 나쁜 생각이라고 제안했습니다.
"또한 iSCSI 및 랜섬웨어 공격에는 보안 위험이 있습니다. iSCSI 디스크에 불법 암호화가 수행되어 데이터를 읽을 수 없게 될 수 있습니다. 보안 관점에서 이 데이터 공유 방법을 중단하고 공유 접근 방식을 채택하는 것이 좋습니다."
이것이 무엇을 의미합니까? 이는 iSCSI가 SMB(애플리케이션)보다 낮은 OSI 계층(세션)에서 작동하고 iSCSI 디스크가 로컬로 연결된 디스크와 동일한 방식으로 애플리케이션 계층에 제공되므로 손상되기 쉽다는 사실을 말하는 것입니까?
그렇다면 그게 맞나요?
우리 업무는 본질적으로 법의학적인 경우가 많지만 저는 보안 법의학 전문가는 아닙니다. 제가 이해한 바에 따르면 랜섬웨어는 iSCSI 디스크를 공격하는 것과 마찬가지로 특정 Win 시스템에 액세스할 수 있는 SMB 공유의 데이터를 공격할 가능성이 높습니다.
내 이해가 정확합니까, 아니면 뭔가를 놓쳤습니까?
질문에 대한 추가 컨텍스트
CHAP 비밀번호는 iSCSI 서버에 설정되어 있으므로 그들이 주장하는 내용은 iSCSI 클라이언트가 설치된 Win 서버의 손상과 관련이 있는 것으로 추정됩니다.
오직 하나의 iSCSI 클라이언트만 연결되며, 이 비밀번호가 네트워크 안팎의 다른 서버나 시스템에 입력되지 않도록 매우 강력한 "사이버 위생"이 채택되었습니다.
일반적으로 우리는 NAS 디스크를 Windows Server에서 사용할 수 있도록 하기 위해 iSCSI를 고수하는 것을 선호합니다. 우리는 Windows가 파일 시스템을 관리할 때 DACL 내의 고급 액세스 제어 항목(ACE)에 문제가 없다는 것을 발견했습니다. 예를 들어, QNAP의 구현은 과거에 문제가 될 수 있는 ACE 순서와 관련하여 버그가 있었습니다. 또한 하위 개체에 CONTAINER_INHERIT_ACE 설정과 관련된 버그를 발견했습니다(QNAP에 전달되었지만 현재까지 해결되지 않았습니다). 이 점은 이 질문과 엄밀히 관련이 없지만 우리가 iSCSI를 선호하는 이유에 대한 몇 가지 맥락을 제공합니다.
위의 요점과 달리, 이 특정 고객의 경우 문제의 iSCSI 연결 디스크는 Veeam 백업 저장소로 사용되기 때문에 ReFS로 포맷되었습니다. 기술적으로 필요하지는 않지만 Veeam에서는 성능상의 이유로 NTFS보다 ReFS를 사용할 것을 권장하므로 이 옵션을 선호하는 경향이 있습니다. (여기 좋은 글이 있어요백업을 위해 ReFS와 NTFS를 설명합니다.) 이러한 이점은 NAS를 SMB로 이동한 경우가 아니라 iSCSI를 사용하는 경우에만 가능합니다.
저는 이 주제에 대해 이미 조금 읽었으며 iSCSI가 네트워크 공유를 통해 연결하는 것보다 랜섬웨어에 더 취약하다는 증거를 찾지 못했습니다. 그러나 저는 열린 마음을 유지합니다.
답변1
모든 온라인 쓰기 가능 디스크는 악성 소프트웨어나 사용자에 의해 손상될 수 있습니다. 파일 공유를 찾을 수 없다고 가정하여 그들을 과소평가하는 것은 실수입니다.
중요한 데이터에 대한 최후의 방어선은 항상테스트를 거쳤습니다., 콜드 오프라인 백업. 그리고 이 경우 중요한 데이터에는 백업 자체가 포함될 수 있습니다! 백업 아카이브를 변경할 수 없도록 만드는 가능한 방법을 생각해 보십시오. 이동식 미디어(테이프), 백업에만 사용되는 자격 증명이 있는 변경 불가능한 클라우드 스토리지, NAS를 백업 전용으로 사용하고 다른 것은 연결하지 않음, 백업 소프트웨어 포트를 제외한 모든 것을 방화벽으로 설정하고 파일 공유를 비활성화합니다.
또 다른 제어 기능은 소프트웨어 목록을 허용하여 알 수 없는 항목의 실행을 크게 제한하는 것입니다.
귀하가 제공한 컨텍스트는 귀하가 이에 대해 생각했음을 나타내며 프로토콜 사용에 대해 설명하는 것이 좋습니다. 이 질문보다 좀 더 높은 수준을 생각해 보고 비즈니스 연속성 계획에 어떤 보호 장치가 있는지 응답에 포함시키세요.
- 마지막 백업 복원 테스트는 언제 수행되었으며 복구 지점 및 복구 시간 목표를 충족했습니까?
- 레드팀 훈련 등을 통해 콜드 백업이 온라인이 아니며 취약하다는 것을 입증한 사람이 있습니까?
- 마지막으로 랜섬웨어 문제를 겪었던 때는 언제였으며 기술 또는 프로세스 제어를 개선하기 위해 어떤 조치를 취했습니까?
답변2
클러스터된 파일 시스템 없이 여러 이니시에이터를 제외하고 iSCSI를 사용할 때의 iSCSI 취약성 문제를 떠나서 파일 공유 프로토콜이 iSCSI와 비교하여 랜섬웨어 측면에서 더 안전한 이유를 거의 찾을 수 없습니다. CHAP를 통해 인증을 강화하고 IPSec를 통해 네트워크를 통한 데이터 전송을 보호할 수 있습니다. iSCSI를 사용하는 이유에 대한 전반적인 내용은 다음과 같습니다.https://www.starwindsoftware.com/blog/complete-an-infrastructure-project-for-your-organization-with-iscsi-san
그렇지 않으면 백업 서버를 기본 프로덕션 환경에서 분리하고, 도메인 외부에 별도의 계정(도메인 관리자 아님)을 사용하는 등의 전반적인 보안 문제가 됩니다. 어쨌든, 랜섬웨어를 백업 서버로 가져오는 데 성공했다면, 예를 들어 SMB 공유를 백업 저장소로 사용한다면 별 문제가 되지 않을 것입니다(https://helpcenter.veeam.com/docs/backup/vsphere/smb_share.html?ver=100) 또는 iSCSI 스토리지.
답변3
예, 모든 파일 수준 네트워크 데이터 액세스 프로토콜은 "네트워크 리디렉터"를 사용하여 볼륨을 손상시킬 수 없기 때문에 블록(iSCSI, FC, FCoE 등)에 비해 더 안전합니다. 이는 부적절하게 구성된 클러스터링으로 매우 쉽게 수행할 수 있습니다. 또는 모든 로컬 파일 시스템(EXT3/4, ReFS, XFS 등). 전체 이야기는 여기에 잘 설명되어 있습니다.
https://forums.starwindsoftware.com/viewtopic.php?f=5&t=1392