четверг, 26 ноября 2020 г.

США: Национальный институт стандартов и технологий опубликовал специальную публикацию NIST SP 800-209 «Рекомендации по безопасности для инфраструктуры хранения»

Данная новость была опубликована на сайте и в новостной рассылке американского Национального института стандартов и технологий (National Institute of Standards and Technology, NIST) в октябре 2020 года.

Американский Национальный институт стандартов и технологий (National Institute of Standards and Technology, NIST) в октябре 2020 года опубликовал новую специальную публикацию NIST SP 800-209 «Рекомендации по безопасности для инфраструктуры хранения» (Security Guidelines for Storage Infrastructure) объёмом 79 страниц, см. https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-209.pdf

В аннотации на документ отмечается:

«Инфраструктура хранения, наряду с вычислительной (включая ОС и аппаратное обеспечение сервера) и сетевой инфраструктурами, является одним из трех основных столпов информационных технологий (ИТ). Однако, по сравнению с двумя другими инфраструктурами, ей уделяется сравнительно ограниченное внимание, когда дело касается вопросов безопасности, несмотря на то, что компрометация данных может иметь такие же негативные последствия для организации, как и нарушения безопасности в вычислительной и сетевой инфраструктурах.

Чтобы восполнить этот пробел, NIST выпускает специальную публикацию SP 800-209 «Рекомендации по безопасности для инфраструктуры хранения», в которой содержатся всесторонние рекомендации по безопасности для инфраструктур хранения. В число рассматриваемых в этом документе основные вопросов безопасности входят не только те, что являются общими для ИТ-инфраструктуры в целом – такие, как физическая безопасность, аутентификация и авторизация, управление изменениями, контроль конфигурации, реагирование на инциденты и восстановление после них, - но также и те, что являются специфическими для инфраструктуры хранения, в том числе защита данных, изоляция данных, обеспечение уверенности в возможности восстановления и шифрование данных.

Технологии хранения, как и вычислительные и сетевые технологии, эволюционировали от традиционных типов услуг хранения, таких как хранение блоков, файлов и объектов. В частности, эволюция шла в двух направлениях: в первом случае, по пути увеличения ёмкости носителей информации (таких, как ленты, жесткие диски, твердотельные накопители (SSD)), а во втором – в плане развития архитектур, от непосредственно подключаемых систем хранения (direct-attached storage, DAS) к размещения ресурсов хранения в сетях, доступ к которым осуществляется через различные интерфейсы и протоколы, - и далее к облачным ресурсам хранения, обеспечивающим абстрагирование от программного обеспечения для всех форм используемых «за кадром» технологий хранения.

Эволюция архитектуры сопровождается увеличением сложности управления, вследствие чего увеличивается вероятность ошибок конфигурации и усиливаются связанные с ними угрозы безопасности.

В настоящем документе дан обзор эволюции ландшафта технологий хранения, текущих угроз безопасности и связанных с ними рисков.

Настоящий документ нацелен на то, чтобы предложить всесторонний набор рекомендаций по безопасности, направленных на устранение этих угроз.»

Содержание документа следующее:

Резюме для руководства
1. Введение
2. Технологии хранения данных: Базовые сведения
3. Угрозы, риски и поверхности атаки (attack surfaces)
4. Руководство по безопасности для развертываемых решений для хранения данных
5. Итоги и выводы
Литература
Приложение A: Сокращения

Источник: сайт NIST
https://csrc.nist.gov/publications/detail/sp/800-209/final
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-209.pdf

Комментариев нет:

Отправка комментария