Ewald Hüttner ist bei INNEO ein gefragter Experte in Sachen NetApp Storage – und das schon seit rund 20 Jahren. Im Interview berichtet er heute, warum es wichtig ist, proaktiv das interne Betriebssystem ONTAP von NetApp so sicher wie möglich zu machen. Dazu gibt er konkrete Tipps & Tricks und verweist auf weiterführende Informationen.
Eine Härtung (Hardening) des ONTAP Betriebssystems für NetApp – wozu?
Die aktuelle Bedrohung durch Cybercrime stellt Unternehmen vor große Herausforderungen, was den Schutz von Unternehmensdaten und Informationen betrifft. Die Bedrohungen werden dabei immer größer und raffinierter. Darüber kann man sich sehr gut im Lagebericht zur IT-Sicherheit in Deutschland vom BSI informieren. Zusätzlich haben sich auch die Verschleierungs- und Erkundungstechniken von Eindringlingen deutlich verbessert und oftmals wird hier über Monate kein Verdacht geschöpft. Daher ist es zwingend notwendig, dass IT-Systemmanager die Sicherheit von Daten und Informationen auf proaktive Weise angehen.
Welche Möglichkeiten gibt es dafür?
Die ONTAP-Härtung lässt sich grob in drei Bereiche einteilen. Aufgaben die einmal erledigt werden müssen, wiederkehrende Aufgaben und organisatorische / strukturelle Aufgaben.
Welche organisatorischen Rahmenbedingungen sind zu beachten?
Folgende vier Punkte kann ich jedem IT-Systemadministrator ans Herz legen, wenn es um grundsätzliche Rahmenbedingungen rund um ONTAP geht:
- Named Accounts anlegen: festlegen, wer den tatsächlichen Zugriff bekommt
- Service Prozessor sollte einen eigenen User verwenden
- Exports auf die aktiven Systeme reduzieren und nur freigeben, was nötig ist
- Protokolle abschalten, die nicht benötigt werden, wie z. B. telnet, rsh und weitere
Viele kleine, aber wichtige Einstellungen – wie am besten beginnen?
Am besten startet man danach mit folgenden Aufgaben, die nur einmal erledigt werden müssen:
- Default „admin“ disablen
- Login Banners anlegen
- http Zertifikate installieren
- Syslog einrichten, wenn ein Syslogserver vorhanden ist
- Storage encryption einrichten
- Cluster Peers verschlüsseln
- Timeserver einrichten
- NAS-Filesystem Audition aktivieren
- Cifs SMB signing und sealing aktivieren
- Active IQ gemeldete Risiken beheben
- Aktuelle Versionen einsetzen
Welche Routinen haben sich bewährt?
Wurden diese Basis-Tätigkeiten durchgeführt, geht es um die wiederkehrenden Aufgaben. Hierbei sind zwei Aufgaben besonders wichtig:
- Passwörter regelmäßig wechseln
- Rollen prüfen: Accounts den Anforderungen entsprechend anpassen
Es gibt also eine ganze Hülle und Fülle an Einstellungen und Workarounds, mit welchen sich das ONTAP-Betriebssystem von NetApp bestmöglich vor Angriffen aus dem Netz schützen lässt. Sehr gute Quellen für weiterführende Informationen gibt es auch direkt bei Herstellern – wie z.B. im Technical Report: Security hardening guide for NetApp ONTAP. Gerne unterstützen wir Sie bei allen Aufgaben rund um Ihren NetApp-Storage und zu weiteren Fragen wie IT-Sicherheit, Cloud, Unternehmensprozesse und vieles mehr.
Vielen Dank Ewald Hüttner. Das Interview führte Ingrid Göggerle, Presse & Öffentlichkeitsarbeit, INNEO Solutions GmbH.
E-Mail Anfrage an unser Storage-Team
