最近,我們的一位客戶接受了另一家(第三方)IT 審計公司的 IT 網路審計。結果總體不錯,儘管他們指出我們在 Windows Server 上使用 iSCSI 用戶端作為連接 NAS 的方式,而不是在 NAS 上建立 SMB 共用。他們認為這是一個壞主意:
“iSCSI 和勒索軟體攻擊也存在安全風險,可以對 iSCSI 磁碟進行非法加密,導致資料無法讀取。從安全角度來看,建議放棄這種資料共享方法並採用共享方法。”
他們這是什麼意思?是否指的是 iSCSI 在比 SMB(應用程式)更低的 OSI 層(會話)上運行,並且 iSCSI 磁碟以與本機連接磁碟相同的方式呈現給應用程式層,因此更容易受到攻擊?
如果是這樣,這是正確的嗎?
我不是安全取證專家,儘管我們的工作本質上通常是取證。我的理解是,勒索軟體攻擊特定 Win 電腦可存取的 SMB 共享上的資料的可能性與攻擊 iSCSI 磁碟的可能性一樣。
我的理解是否正確,或者我錯過了什麼?
問題的附加背景
CHAP 密碼是在 iSCSI 伺服器上設定的,因此我推測他們提出的觀點與安裝了 iSCSI 用戶端的 Win 伺服器的妥協有關。
僅連接一個 iSCSI 用戶端,並採用非常強大的「網路衛生」來確保該密碼在任何時候都不會輸入到網路內外的任何其他伺服器或電腦中。
一般來說,我們傾向於堅持使用 iSCSI 來使 NAS 磁碟可供 Windows Server 使用。例如,QNAP 的實施過去在 ACE 排序方面存在錯誤,這可能會產生問題。我們也發現了在子物件上設定 CONTAINER_INHERIT_ACE 的錯誤(已傳達給 QNAP,但至今尚未解決)。這一點與這個問題並不嚴格相關,但提供了一些背景來說明為什麼我們更喜歡 iSCSI。
與我的上述觀點相反,對於該特定客戶,相關 iSCSI 連接磁碟使用 ReFS 進行格式化,因為它用作 Veeam 備份儲存。儘管技術上沒有要求,但出於效能原因,Veeam 建議使用 ReFS 而不是 NTFS,因此我們傾向於選擇此選項。 (這是一篇好文章解釋 ReFS 與 NTFS 進行備份。
我已經閱讀了一些關於這個主題的內容,並且無法找到任何支持證據表明 iSCSI 比透過網路共享連接更容易受到勒索軟體的影響,但我仍然持開放態度。
答案1
任何線上可寫磁碟都可能被惡意軟體或使用者損壞。透過假設他們找不到文件共享來低估他們是錯誤的。
重要數據的最後一道防線始終是經測試、冷離線備份。在這種情況下,重要資料可能包括備份本身!考慮使備份存檔無法更改的可能方法。可移動媒體(磁帶)、不可變的雲端儲存(憑證僅用於備份)、專用 NAS 進行備份且不連接任何其他裝置、對備份軟體連接埠以外的所有內容進行防火牆、停用檔案共用。
另一個控制措施是允許列出軟體,顯著限制運行未知的東西。
您提供的上下文表明您已經考慮過這一點,解釋您對該協議的使用是很好的。想一個比這個問題更高層次的問題,並在回答中包括業務連續性計劃中存在哪些保護措施。
- 上次備份復原測試是什麼時候,是否滿足復原點和復原時間目標?
- 有沒有人證明冷備份不在線並且容易受到攻擊,例如通過紅隊演習?
- 您上次遇到勒索軟體問題是什麼時候?
答案2
撇開在沒有叢集檔案系統但有多個啟動器的情況下使用 iSCSI 漏洞的問題不談,我幾乎找不到任何明確的理由來解釋為什麼檔案共用協定在勒索軟體方面比 iSCSI 更安全。您可以使用 CHAP 來加強身份驗證,使用 IPSec 來保護網路上的資料傳輸。以下是對 iSCSI 原因的全面解讀:https://www.starwindsoftware.com/blog/complete-an-infrastruct-project-for-your-organization-with-iscsi-san
否則,這更多的是備份伺服器整體安全性的問題,例如將其與主生產環境分離、在網域之外並使用單獨的帳戶(不是網域管理員)等。無論如何,如果您設法將勒索軟體傳送到備份伺服器,那麼如果您使用 SMB 共用作為備份儲存庫(例如https://helpcenter.veeam.com/docs/backup/vsphere/smb_share.html?ver=100)或 iSCSI 儲存。
答案3
是的,任何檔案級網路資料存取協定都比區塊(iSCSI、FC、FCoE 等)協定更安全,因為無法使用「網路重定向器」損壞卷,而對於配置不正確的叢集來說,這是非常容易做到的或任何本機檔案系統(EXT3/4、ReFS、XFS 等)。整個故事在這裡得到了很好的闡述:
https://forums.starwindsoftware.com/viewtopic.php?f=5&t=1392