Datenschutz: Verwenden der präventiven Kontrollen von Qumulo gegen Malware ist die zweite einer vierteiligen Serie, die im April veröffentlicht wurde und Ihnen dabei helfen soll, die Sicherheitskontrollen und Datenschutzfunktionen der Dateidatenplattform von Qumulo zu nutzen.
Die Qumulo File Data Platform wurde entwickelt, um die Risikooberfläche eines Angriffs effizient zu minimieren. Im erster Eintrag dieser Serie, stellte ich die Sicherheitsarchitektur vor. Jetzt konzentrieren wir uns auf die wichtigsten präventiven Kontrollen, um Ransomware erkennen und helfen Sie, andere Malware von Ihrem Dateispeicher fernzuhalten.
Gesperrte Linux-Version
Qumulo ist ein Software-definierte Dateidatenplattform, die für die Ausführung auf einer aktuellen Version von Ubuntu Linux entwickelt wurde. Das zugrunde liegende Linux-Betriebssystem ist gesperrt, um nur Operationen zuzulassen, die zum Ausführen der Aufgaben des Dateisystems erforderlich sind. Viele andere Standard-Linux-Dienste werden deaktiviert, um die Risikooberfläche für einen Angriff zu verringern.
Userspace-Anwendung
Die File Data Platform von Qumulo ist vollständig als User-Space-Anwendung konzipiert. Dies hat viele Vorteile, die sich auf präventive Kontrollen gegen Malware beziehen, sind wie folgt:
- Kein direkter Datenzugriff auf Qumulo-Knoten. Selbst wenn ein Angreifer lokale Root-Benutzerrechte und Zugriffsrechte erlangt hat, gibt es keine Möglichkeit, direkt auf Ihre Daten auf den Knoten zuzugreifen. Dies unterscheidet sich von den Implementierungen anderer Speicheranbieter, bei denen ein Administrator auf den Knoten auf alle Daten lokal zugreifen und diese bearbeiten kann. Der Zugriff auf Daten über SMB oder NFS erfordert die Installation zusätzlicher Software auf dem Knoten. (Der API-Datenzugriff ist möglicherweise weiterhin möglich, erfordert jedoch ein Zugriffstoken für den API-Datenzugriff für Nicht-Root-Benutzer, genau wie für den Fernzugriff auf die Daten über die API).
- Vollständig entwickelter nativer Protokollstack. Es werden keine Drittanbieter- oder Open-Source-Komponenten (wie Ganesha, Samba oder dergleichen) verwendet, um die Datenzugriffsprotokolle zu implementieren. Qumulo entwickelt und kontrolliert jede einzelne Codezeile für alle Datenzugriffsprotokolle. Risiken, die aufgrund bekannter Schwachstellen in Komponenten von Drittanbietern auftreten können, sind gering oder gleich null, da Qumulo den gesamten Code kontrolliert.
- Grad der Trennung vom Betriebssystem. Keine Möglichkeit, Benutzer oder Berechtigungen mit dem zugrunde liegenden Betriebssystem zu teilen. Benutzer des zugrunde liegenden Linux-Betriebssystems sind Qumulo „unbekannt“. Die Benutzer von Qumulo werden normalerweise in Active Directory oder einer lokalen Datenbank verwaltet, aber nicht mit dem zugrunde liegenden Betriebssystem geteilt.
- Sichere Codierungspraktiken. Die Qumulo-Software wird nach bewährten Verfahren zur sicheren Codierung entwickelt, wodurch die Oberflächenangriffe und das Risiko ausnutzbarer Schwachstellen weiter reduziert werden. Selbst wenn eine Sicherheitslücke im Betriebssystem gefunden und ausgenutzt wird, erhält der Angreifer zwar Benutzerrechte, kann aber nicht auf die Daten zugreifen.
Zweiwöchentliche Updates
Der Upgrade-Prozess von Qumulo ist sehr einfach und ermöglicht es uns daher, alle zwei Wochen neuen Code auszuliefern. Das ermöglicht nicht nur schnelle Innovationen, sondern auch mehr Sicherheit. Sicherheitsfixes für Qumulo sowie das zugrunde liegende Betriebssystem werden bei Bedarf automatisch mit der zweiwöchentlichen neuen Version ausgeliefert. Wenn ein reaktiver Patch erforderlich ist, kann dieser mit der beschleunigten Veröffentlichung von Qumulo zur präventiven Kontrolle gegen Malware noch schneller bereitgestellt werden.
Unsere Releases werden regelmäßig mit dem Qualys Vulnerability Manager getestet, der von der Sicherheits-Community als eines der besten Tools zur Schwachstellenbewertung anerkannt wird.
Rollenbasierte Zugriffssteuerung
Die rollenbasierte Zugriffskontrolle (RBAC) ermöglicht es Administratoren, regulären Benutzern oder Gruppen detaillierte Berechtigungen zuzuweisen und ihre Berechtigungen bei Bedarf zu verringern, während sie so gering wie möglich gehalten werden. Dies ermöglicht das sichere Delegieren von Aufgaben abseits des Administrators. Zusammen mit der Qumulo Auditing-Funktion ermöglicht es uns, ein sehr kontrolliertes und sicheres Management-Framework bereitzustellen, um unbefugten Zugriff zu verhindern.
Derzeit gibt es drei vordefinierte Rollen:
- Administratoren: Qumulo-Administratoren haben vollen Zugriff und volle Kontrolle über den Cluster.
- Daten-Administratoren: tDie Rolle des Datenadministrators ist ideal für API/CLI-Benutzer. Mit dieser Rolle hat ein Benutzer oder eine Gruppe keinen Zugriff auf die Web-Benutzeroberfläche, hat jedoch die gleichen Dateiberechtigungen wie die Administratorrolle zusammen mit einigen anderen
- Beobachter: wit der Beobachterrolle hat ein Benutzer oder eine Gruppe die Berechtigung zum Zugriff auf die Web-Benutzeroberfläche und schreibgeschützte APIs mit wenigen Ausnahmen (Debug-APIs und Authentifizierungseinstellungen).
Ausführlichere Informationen zur RBAC-Funktionalität von Qumulo finden Sie unter Rollenbasierte Zugriffskontrolle (RBAC) mit Qumulo Core.
Quoten
Qumulo unterstützt Intelligente Quoten wodurch sichergestellt wird, dass jedes Kontingent eine Richtlinie ist, die eine Reihe von Echtzeitabfragen ausführt. Intelligente Kontingente können sofort durchgesetzt werden, im Gegensatz zu herkömmlichen Systemen, die ein Treewalking der gesamten Verzeichnisstruktur erfordern und deren Abschluss Tage dauern kann. Zu den Vorteilen dieses Ansatzes gehören die Echtzeitdiagnose und Durchsetzung von nicht autorisierten Anwendungen und Benutzern sowie die Echtzeit-Transparenz, die zeigt, wie der Speicher zu einem bestimmten Zeitpunkt zugewiesen wird.
Aus Sicherheitssicht reduzieren Intelligent Quotas die Auswirkungen potenzieller Malware durch das Schreiben unbegrenzter Daten in das Dateisystem. Wenn verdächtiges Verhalten erkannt wird, werden durch Festlegen des Kontingents auf 0 alle Schreibvorgänge in ein Verzeichnis sofort gestoppt.
Verstecken von SMB-Freigaben vor nicht autorisierten Benutzern
Qumulo erlaubt SMB-Freigaben verstecken von nicht autorisierten Benutzern. Das Mounten der Freigabe erfordert eine explizite Kenntnis des Freigabepfads, um potenzielle Eindringlinge am Durchsuchen von Freigaben zu hindern. Zudem hat auch Frau zugriffsbasierte Aufzählung kann für jede Freigabe aktiviert werden. Dadurch werden diesem Benutzer nur die Dateien und Ordner angezeigt, auf die ein Benutzer Zugriff hat. Wenn ein Benutzer keine Leseberechtigung oder entsprechende Berechtigungen für einen Ordner hat, wird der Ordner aus der Benutzeransicht ausgeblendet.
Einschränkungen für Gastgeber
Hostbeschränkungen nach Client-IP-Adressbereich bieten eine gute Möglichkeit, die Risikooberfläche zu reduzieren, indem der Freigabe-/Exportzugriff auf bestimmte Hosts unabhängig von den Benutzer-/Gruppenberechtigungen dieser Freigabe eingeschränkt wird. Dieses Steuerelement ist derzeit sowohl für SMBv3 als auch für NFSv3 verfügbar.
Abhängig von den Anforderungen Ihrer Bereitstellung können unterschiedliche Adressbereiche vollständiger, schreibgeschützter oder kein Zugriff gewährt werden. Hostberechtigungen interagieren mit Benutzer-/Gruppenfreigabeberechtigungen und Dateiberechtigungen auf „geringster Berechtigungsbasis“, d. h. damit eine Berechtigung für eine bestimmte Datei erteilt werden kann, müssen die Dateiberechtigungen, Benutzerfreigabeberechtigungen und Hostfreigabeberechtigungen alle sein es zulassen.
Einschränkungen für SMB-Hosts nach Client-IP-Adressbereich sind nicht Teil des SMB-Protokolls. Durch die Implementierung dieser Funktionalität bietet Qumulo eine zusätzliche Ebene der SMB-Sicherheit.
SMB3-Verschlüsselung mit Qumulo Core
Mit Qumulo-Unterstützung für SMB3-Verschlüsselung, kann eine clusterweite Verschlüsselung oder eine Verschlüsselung pro Share aktiviert werden. Abhängig von Ihrer Umgebung und Ihrem Workflow können Sie die Verschlüsselung auf Freigabeebene anstelle der clusterweiten Einstellung konfigurieren, sodass ein Client die Verschlüsselung für eine einzelne Freigabe verwenden kann, die dies erfordert, und eine Verbindung zu einer Freigabe herstellen kann, die dies nicht in derselben Sitzung tut.
Datenverschlüsselung im Ruhezustand
Qumulo Cores softwarebasierte Verschlüsselung bietet vollständige Verschlüsselung von Dateidaten durch Sicherung von ruhenden Daten für alle lokalen Cluster, die mit Qumulo Core 3.1.5 und höher erstellt wurden. Schlüssel werden zum Verschlüsseln von Daten sowie zum Verschlüsseln von Datenschlüsseln selbst verwendet. Für eine zusätzliche Sicherheitsebene wird ein Hauptschlüssel verwendet und auf jedem Bootlaufwerk im Cluster in einer Datei gespeichert, auf die nur Root zugreifen kann, um einen Datenschlüssel zu verschlüsseln, der die Daten selbst entschlüsselt. Auf diese Weise sind Ihre Daten vor potenziellen Bedrohungen wie gestohlenen Datenträgern oder böswilligen Akteuren in der Lieferkette, die stillgelegte Datenträger beschaffen, geschützt.
Dies sind die präventiven Sicherheitskontrollen von Qumulo gegen Malware. Im Rest der unten verlinkten Serie erfahren Sie mehr über Detektiv- und Korrekturkontrollen.
Erfahren Sie mehr
- Qumulo Sicherheitsarchitektur und Best Practices zur Abwehr von Malware
- Einführung in die Qumulo-Sicherheitsarchitektur und Best Practices
- So verwenden Sie die Detektivkontrollen von Qumulo gegen Datenschutzverletzungen
- So verwenden Sie die korrigierenden Kontrollen von Qumulo, um den Datenverlust zu minimieren
Kontakt
Machen Sie eine Probefahrt. Demon Sie einen Qumulo-Cluster oder verschieben Sie Ihre Daten in unseren interaktiven praxisorientierten Labs auf Amazon S3.
Abonnieren Sie den Qumulo-Blog für Kundengeschichten, technische Einblicke, Branchentrends und Produktneuigkeiten.
