Iscsi
SMB 連接 NAS 是否比 iSCSI 更安全?
最近,我們的一位客戶接受了另一家(第三方)IT 審計公司的 IT 網路審計。結果總體不錯,儘管他們指出我們在 Windows Server 上使用 iSCSI 客戶端作為連接 NAS 的一種方式,而不是在 NAS 上創建 SMB 共享。他們認為這是一個壞主意:
“有$$ also $$iSCSI 和勒索軟體攻擊帶來的安全風險,可以對 iSCSI 磁碟進行非法加密,導致數據無法讀取。從安全形度來看,建議停用這種數據共享方法並採用共享方法。”
他們這是什麼意思?它是否指的是 iSCSI 在比 SMB (應用程序)更低的 OSI 層(會話)上執行,並且 iSCSI 磁碟以與本地連接磁碟相同的方式呈現給應用程序層,因此更容易妥協?
如果是這樣,正確嗎?
我不是安全取證專家,儘管我們的工作通常是取證性質的。我的理解是,勒索軟體攻擊給定 Win 機器可訪問的 SMB 共享上的數據的可能性與攻擊 iSCSI 磁碟的可能性一樣。
我的理解是正確的,還是我錯過了什麼?
問題的附加背景
- CHAP 密碼是在 iSCSI 伺服器上設置的,所以我認為他們提出的觀點與安裝了 iSCSI 客戶端的 Win 伺服器的妥協有關。
- 只連接了一個 iSCSI 客戶端,並且採用了非常強大的“網路衛生”來確保此密碼在任何時候都不會輸入到網路上或網路外的任何其他伺服器或機器中。
- 通常,我們傾向於堅持使用 iSCSI 來使 NAS 磁碟可用於 Windows Server 我們發現,當 Windows 處理文件系統時,DACL 中的高級訪問控制條目 (ACE) 沒有任何問題。例如,QNAP 的實施過去在 ACE 排序方面存在問題,這可能是有問題的。我們還發現了在子對像上設置 CONTAINER_INHERIT_ACE 的錯誤(已傳達給 QNAP,但至今仍未解決)。這一點與這個問題並不嚴格相關,但為我們為什麼更喜歡 iSCSI 提供了一些背景資訊。
- 與我的上述觀點相反,在這個特定客戶的情況下,有問題的 iSCSI 附加磁碟使用 ReFS 進行格式化,因為它用作 Veeam 備份儲存。儘管技術上沒有要求,但出於性能原因,Veeam 建議使用 ReFS 而不是 NTFS,因此我們傾向於使用此選項。(這是一篇很好的文章,解釋了用於備份的 ReFS 與 NTFS。)這些收益只有在我們使用 iSCSI 時才有可能,而不是在我們將 NAS 移動到 SMB 時。
- 我已經閱讀了一些關於這個主題的內容,並且找不到任何支持證據表明 iSCSI 比通過網路共享連接更容易受到勒索軟體的影響,但我仍然持開放態度。
任何線上可寫磁碟都可能被惡意軟體或使用者損壞。通過假設他們找不到文件共享來低估他們是錯誤的。
重要數據的最後一道防線始終經過測試,冷離線備份。在這種情況下,重要數據可能包括備份本身!考慮使備份存檔無法更改的可能方法。可移動媒體(磁帶)、具有僅用於備份的憑據的不可變雲儲存、將 NAS 專用於備份且不連接其他任何東西、防火牆除備份軟體埠之外的所有內容、禁用文件共享。
另一個控制是允許列出軟體,顯著限制執行未知的東西。
您提供的上下文表明您已經考慮過這一點,說明您對協議的使用很好。考慮比這個問題更高的層次,並在回復中包括業務連續性計劃中存在哪些保護措施。
- 上次備份還原測試是什麼時候,是否滿足恢復點和恢復時間目標?
- 有沒有人證明冷備份不線上且易受攻擊,例如通過紅隊演習?
- 您上一次遇到勒索軟體問題是什麼時候,為改進技術或流程控製做了哪些工作?