Sichere Sicherung und Wiederherstellung - Best Practices

Von Chander Kant und Dmitri Joukovski

In den letzten Jahren gab es viele Schlagzeilen über hochkarätige Vorfälle von verlorenen oder gestohlenen Sicherungsbändern. Trotz zunehmender Aufmerksamkeit für die Sicherheit werden Sicherungsverfahren in den allgemeinen Sicherheitsrichtlinien häufig vernachlässigt. Der Hauptgrund für diese Diskrepanz ist, dass Backup und Sicherheit in der Vergangenheit fast entgegengesetzte Ziele hatten. Sicherheitsverfahren erfordern häufig eine strenge Zugriffskontrolle auf Benutzerdaten. Die Sicherungssoftware ist jedoch optimiert, um die Wiederherstellung zu vereinfachen, manchmal auf einer anderen Plattform oder an einem anderen Ort und oft von einer anderen Person als dem ursprünglichen Eigentümer der Daten.

Am Beispiel der beliebtesten Open Source Backup- und WiederherstellungssoftwareAmanda, wir werden Best Practices zur Gewährleistung der Sicherheit von Sicherungsdaten überprüfen. Insbesondere werden wir die folgenden Aspekte der Sicherungssicherheit untersuchen:

 

Wenden sich Ihre Systeme wirklich an den richtigen Sicherungsserver?

Die meisten Rechenzentren sind auf netzwerkbasierte Sicherung angewiesen. Um dies sicher durchzuführen, muss eine Vertrauensbeziehung zwischen dem Sicherungsclient (dem zu sichernden Computer) und dem Sicherungsserver (dem Sicherungscomputer) hergestellt werden. Ohne einen überprüfbaren Weg, um diese Vertrauensbeziehung aufzubauen, können verschiedene "Man-in-the-Middle" -Angriffe auftreten.

Eine mögliche Sicherheitsanfälligkeit ist der Fall, in dem der Sicherungsclient durch die Sicherungssoftware angeben kann, dass jeder Sicherungsserver eine Sicherung initiieren darf. Im Gegensatz zu Amanda werden einige beliebte Closed-Source-Backup-Tools standardmäßig mit dieser Einstellung ausgeliefert. Sofern Sie sich dieser Sicherheitsanfälligkeit nicht bewusst sind und die Standardeinstellung ändern, kann jeder mit einem Laptop oder Desktop-Computer die Testversion des Sicherungspakets installieren und die Sicherung eines beliebigen Sicherungsclients in Ihrer Organisation initiieren. Diese Sicherungen könnten dann leicht auf die Festplatte eines nicht autorisierten Sicherungsservers geleitet werden.

Ein ähnliches Problem besteht in der entgegengesetzten Richtung. Stellt Ihr Sicherungsserver Daten für die Wiederherstellung auf dem entsprechenden System bereit? Oder zwingt jemand ein System, sich als Backup-Client auszugeben?

Ein viel besserer Ansatz besteht darin, dass die Sicherungssoftware eine starke Authentifizierung sowohl des Sicherungsclients als auch des Sicherungsservers verwendet. Natürlich sollte auch die Authentifizierungsmethode überprüft werden können. Eine gute Wahl wäre ein schlüsselbasierter Mechanismus, ähnlich dem des Open-Source-Tools openssh (http://www.openssh.com).

Können Ihre Sicherungsdaten kompromittiert werden, wenn sie über das Netzwerk übertragen werden oder wenn Ihr Sicherungsband "vom LKW fällt"?

Es nützt nichts, wenn sich Client und Server gegenseitig authentifizieren, nur um herauszufinden, dass jemand die Sicherungsdaten abgefangen hat. Dies ist besonders wichtig, wenn Ihre Sicherungsdaten über ein ungesichertes Netzwerk übertragen werden, z. B. über das Internet von einem Regionalbüro zum Hauptsitz.

In den letzten Jahren gab es bekannt gewordene Ereignisse, bei denen Unternehmen den Überblick über ihre Sicherungsbänder verlieren. Oft geht dies mit dem Verlust sensibler Finanzinformationen einher. Bei einem solchen Vorfall im Jahr 2005 verlor ein bekanntes Time-Share-Unternehmen Sicherungsbänder mit vertraulichen Finanzinformationen für 260,000 seiner Kunden. Offensichtlich war der potenzielle Schaden für die Kunden enorm, ebenso wie der Schaden für das Time-Share-Unternehmen und seinen Ruf.

Ihre Sicherungssoftware sollte Flexibilität bieten, um Daten während der Übertragung zu verschlüsseln, bevor sie auf einem Kabel gesendet werden, oder in Ruhe, wenn Daten auf das Sicherungsmedium geschrieben werden. Es sollten frei verfügbare, überprüfbare Verschlüsselungsmethoden verwendet werden. Sie sollten auch die Möglichkeit haben, verschiedene Verschlüsselungsmethoden zu verwenden und neue Entwicklungen und Verschlüsselungsalgorithmen zu nutzen.

Es gibt hardwarebasierte Lösungen. Sowohl die Decru-Abteilung von Network Appliance als auch Neoscale bieten Hardware-Appliances an, die Schreibvorgänge auf Sicherungsmedien (Band) abfangen und diese im laufenden Betrieb verschlüsseln. Dies hat den Vorteil der Geschwindigkeit, ist jedoch mit hohen Infrastrukturkosten verbunden.

Amanda kann die Daten entweder auf dem Client vor der Übertragung an den Sicherungsserver oder auf dem Sicherungsserver selbst verschlüsseln. Sowohl die clientseitige als auch die serverseitige Verschlüsselung kann jedes Verschlüsselungsprogramm verwenden, das von der Standardeingabe liest und in die Standardausgabe schreibt. Dies schließt den Befehl aespipe ein, der eine Vielzahl von AES-Verschlüsselungsroutinen unterstützt. Ein weiteres häufig verwendetes Tool mit Amanda-Verschlüsselungsprogramm ist gpg.

Ohne eine gute Schlüsselverwaltung können die Daten natürlich nicht wiederhergestellt werden. Amanda bietet keine eigenständige Schlüsselverwaltungslösung an, sondern arbeitet mit jeder von Ihrer IT-Richtlinie vorgeschriebenen Schlüsselverwaltungslösung.

Die Offenheit und Flexibilität der Verschlüsselungsoptionen ermöglicht es Amanda, sich gut in Sicherheitsrichtlinien und -prozesse der meisten IT-Umgebungen einzufügen, einschließlich Organisationen mit strengen Sicherheitsanforderungen.

Wer hat die Kontrolle über Ihre Backups und Wiederherstellungen?

Heutzutage gibt es eine Vielzahl von Personen, die an der Konfiguration und Verwendung von Sicherungs- und Wiederherstellungssoftware teilnehmen müssen. In größeren Unternehmen ist es nicht ungewöhnlich, dass Helpdesk-Mitarbeiter Dutzende von Personen ansprechen. Oft müssen diese Mitarbeiter eine gewisse Autorität über Datenwiederherstellungsvorgänge erhalten.

Es ist ratsam, ein Sicherungsprogramm zu wählen, mit dem Sie die Berechtigung an Einzelpersonen delegieren können, sofern es ein hohes Maß an Granularität bietet. Wenn Ihr Sicherungs- und Wiederherstellungssystem keine genaue Granularität aufweist, sind Sie der Möglichkeit von Wiederherstellungsmissbrauch ausgesetzt. Die meisten Sicherungs- und Wiederherstellungspakete haben das Konzept von Administratoren. Diese Administratoren verfügen häufig über globale Berechtigungen und können alle Daten wiederherstellen. Dies kann hochsensible Daten wie Gehaltsabrechnungen oder Finanzunterlagen umfassen.

Amanda Unternehmen geht besser vor. Sie können Rollen für jeden Bediener erstellen und so einschränken, auf welche Daten er Zugriff hat. Auf diese Weise können Sie vertrauliche Daten trennen, um sicherzustellen, dass nur diejenigen die Möglichkeit haben, die Daten unbedingt wiederherzustellen.

Können Sie über eine Firewall sichern?

In heutigen Rechenzentrumsumgebungen werden häufig auch intern Firewalls verwendet, um Unternehmenscomputer vor Angriffen zu schützen. Ihr Backup-Server befindet sich fast immer hinter Ihrer Unternehmens-Firewall. Es stellt sich die Frage, wie Sie diese Computer auf der anderen Seite einer Firewall sichern können.

Eine Lösung besteht darin, einen zweiten Sicherungsserver auf der entsprechenden Seite der Firewall bereitzustellen. Dies ist jedoch nicht immer machbar oder wünschenswert. Dies erhöht die Sicherheitsbedenken, anstatt sie zu verringern. Eine bessere Lösung besteht darin, dass Ihre Backup-Client- und -Serversoftware genau definierte (aber veränderbare) Ports für die Kommunikation verwendet. Anschließend können Sie Ihre Firewall so konfigurieren, dass Datenverkehr von bekannten IP-Adressen durch die Firewall zugelassen wird, um den Datenverkehr zu sichern und wiederherzustellen.

Eine Überlegung zu diesem Ansatz ist die Anzahl der Ports, die die Sicherungssoftware benötigt. Ihre Sicherungssoftware sollte nicht zu viele Ports verwenden, da es schwierig genug ist, ein oder zwei Ports in Ihrer Firewall zu öffnen. Einige im Handel erhältliche Closed-Source-Backup-Produkte verwenden Dutzende von Ports pro Backup-Server.

Amanda kann einige vom Administrator definierte Ports verwenden, mit denen der Sicherungsserver und der Client kommunizieren können. Diese Fähigkeit macht es gut geeignet, um über eine Firewall zu sichern.

Unterstützung für sicherheitsverbesserte Betriebssysteme wie SE Linux

Security-Enhanced Linux (SELinux) ist eine Linux-Variante, die mithilfe von Linux Security Modules (LSM) im Linux-Kernel eine Vielzahl von Sicherheitsrichtlinien implementiert, einschließlich obligatorischer Zugriffskontrollen im Stil des US-Verteidigungsministeriums. Seit Red Hat SELinux mit seinen Enterprise-Angeboten eingeführt hat, ist SELinux heute in Regierungs-, Militär- und häufig kommerziellen Umgebungen weit verbreitet. Heute gibt es keinen Anbieter von Closed-Source-Backups, der SELinux unterstützt. Amanda arbeitet jedoch sehr gut mit SELinux-Richtlinien.

Ist Ihre Backup-Software aus Sicherheitsgründen geschrieben?

Die Sicherungssoftware verfügt über Konfigurationsdateien, in denen Kennwörter und Zugriffssteuerungsrechte nicht nur für Dateiserver, sondern auch für Anwendungs- und Datenbankserver gespeichert sind. Stellen Sie sicher, dass diese Konfigurationsdateien nur von autorisierten Benutzern gelesen werden können.

Jeder, der ein Closed-Source-Softwareprodukt verwendet, kann nur raten, was darin enthalten ist. Da der Anbieter den Code nicht zur Überprüfung zur Verfügung stellt, ist es sehr schwierig festzustellen, ob die Software vollständig sicher ist oder ob in der Software "Hintertüren" codiert sind, z. B. die berüchtigte Hintertür, die im Jahr 2000 auf Microsoft IIS-Servern entdeckt wurde.

Das US-amerikanische Computer Emergency Readiness Team (US-CERT) gibt ständig die Sicherheitslückenwarnungen für kommerzielle Sicherungssoftware aus. Beispielsweise weist der Vulnerability Note VU # 744137 darauf hin, dass dies in Symantec Veritas der Fall ist NetBackup Software Der Katalogdämon enthält einen stapelbasierten Pufferüberlauf, der es einem Remoteangreifer ermöglichen kann, beliebigen Code auf einem NetBackup-Masterserver auszuführen.

Open Source hingegen ist für diese Art von Problem fast undurchlässig. Es gibt einen integrierten Mechanismus zur Begutachtung des Codes durch Fachkollegen, der praktisch sicherstellt, dass nichts Unnötiges enthalten ist. Kein Open-Source-Entwickler mit Selbstachtung würde seinen Ruf und seine Karriere gefährden, wenn er eine Hintertür in ein Open-Source-Produkt steckt. Selbst wenn eine solche Hintertür enthalten wäre, würde sie höchstwahrscheinlich schnell gefunden und entfernt werden.

Darüber hinaus kann Open Source-Software problemlos auf Qualität und Sicherheit überprüft werden. Es gibt sowohl kommerzielle als auch frei verfügbare Open Source-Tools zur Analyse von Softwarecode auf Sicherheitslücken. Einige davon sind:

Diese Tools sind frei verfügbar und können eine Vielzahl von Programmiersprachen scannen. Bogosec (http://bogosec.sourceforge.net/index.html) ist ein Wrapper um diese Tools und kann Sicherheitsbedenken in Software vorhersagen. Ohne verfügbaren Quellcode für Sicherungssoftware sind diese Tools jedoch unbrauchbar.

Wenn es um Informationssicherheit geht, sind dies sehr reale Bedenken für jedes Sicherungspaket. Bei der Auswahl eines Sicherungspakets müssen Sie sicherstellen, dass die Software keine bekannten Sicherheitslücken aufweist. Amanda, das führende Open-Source-Backup-Paket, wurde mit einer Vielzahl von Tools und von mehreren Organisationen getestet. Zum Beispiel hat Coverity (http://scan.coverity.com), eine Zusammenarbeit zwischen der Stanford University und der Open Source-Community, die Amanda-Codequalität getestet. Als Fehler entdeckt wurden, korrigierte die Amanda-Community sie schnell und reduzierte die Anzahl auf Null. Dies entspricht einer durchschnittlichen Fehlerrate von 20 bis 30 Fehlern pro 1000 Codezeilen für kommerzielle Software, so das CyLab Sustainable Computing Consortium der Carnegie Mellon University.

Checkliste für die Sicherungssicherheit

Gibt es eine starke Authentifizierung von Sicherungsservern und Sicherungsclients?
Gibt es auf einem Client eine Verschlüsselung zum Sichern von Daten während der Übertragung?
Gibt es auf einem Sicherungsserver eine Verschlüsselung zum Sichern von Daten auf einem Sicherungsmedium, z. B. einem Band?
Können Sie zwischen verschiedenen Verschlüsselungsmethoden wählen und neue Verschlüsselungsalgorithmen nutzen?
Gibt es eine rollenbasierte Zugriffskontrolle für Verwaltung, Sicherung und Wiederherstellung?
Können Sie nur wenige Ports (idealerweise nur einen Port) für die Sicherung über eine Firewall öffnen?
Gibt es Unterstützung für SELinux?
Haben Sie die Sicherheit von Konfigurationsdateien für Sicherungssoftware überprüft, in denen Kennwörter für Datei-, Datenbank- und Anwendungsserver gespeichert sind?
Haben Sie überprüft, dass US-CERT keine Warnungen zu Ihrer Sicherungssoftware enthält?
Gibt es unabhängige Berichte über die Qualität und Sicherheit von Code für Ihre Sicherungssoftware?

Zusammenfassung

Da Ihr Backup eine Kopie Ihrer wertvollsten digitalen Assets ist, spielt die Backup-Sicherheit eine wichtige Rolle. Die Implementierung wirklich sicherer und dennoch finanziell tragfähiger Sicherungsrichtlinien erfordert ein gründliches Verständnis der damit verbundenen Kompromisse. Jedes Unternehmen kann jedoch einen vernünftigen Kompromiss finden, um sichere Sicherungsrichtlinien zu erstellen, die es sich leisten kann. Wichtig ist, dass die Sicherungssicherheit kein Projekt ist, sondern ein Prozess, der ständig überwacht und verbessert werden muss.

logo_crn_emerging_vendors
Byte-Switch-Top-10-Speicher
Bossie_für-www-home
Sicherheitszertifiziert
gold_mysql
Logo-Amazon-Partner