Von Chander Kant und Dmitri Joukovski

In the last few years there have been many headlines about high-profile incidents of lost or stolen backup tapes. Despite increasing attention to security, backup procedures are often neglected in overall security policies. The main reason for that discrepancy is that, historically, backup and security have had almost opposite goals. Security procedures often require strong access control to user's data. Backup software, however, is optimized to simplify recovery, sometimes to a different platform or different location and often by someone other than the original owner of the data.

Using the example of the most popular Open Source Backup- und Wiederherstellungssoftware, Amanda, we will review best practices for ensuring security of backup data. Specifically, we will review the following aspects of backup security:

 

Wenden sich Ihre Systeme wirklich an den richtigen Sicherungsserver?

Most data centers rely on network-based backup. In order to do this securely, there must be a trust relationship established between the backup client (the machine being backed up) and the backup server (the machine doing the backup). Without a verifiable way to establish this trust relationship various "man-in-the-middle" attacks can occur.

Eine mögliche Sicherheitsanfälligkeit ist der Fall, in dem der Sicherungsclient mit der Sicherungssoftware angeben kann, dass jeder Sicherungsserver eine Sicherung initiieren darf. Im Gegensatz zu Amanda werden einige beliebte Closed-Source-Backup-Tools standardmäßig mit dieser Einstellung ausgeliefert. Sofern Sie sich dieser Sicherheitsanfälligkeit nicht bewusst sind und die Standardeinstellung ändern, kann jeder mit einem Laptop oder Desktop-Computer die Testversion des Sicherungspakets installieren und die Sicherung eines beliebigen Sicherungsclients in Ihrer Organisation initiieren. Diese Sicherungen könnten dann leicht auf die Festplatte eines nicht autorisierten Sicherungsservers geleitet werden.

Ein ähnliches Problem besteht in der entgegengesetzten Richtung. Stellt Ihr Sicherungsserver Daten für die Wiederherstellung auf dem entsprechenden System bereit? Oder zwingt jemand ein System, sich als Backup-Client auszugeben?

Ein viel besserer Ansatz besteht darin, dass die Sicherungssoftware eine starke Authentifizierung sowohl des Sicherungsclients als auch des Sicherungsservers verwendet. Natürlich sollte auch die Authentifizierungsmethode überprüft werden können. Eine gute Wahl wäre ein schlüsselbasierter Mechanismus, ähnlich dem des Open-Source-Tools openssh (http://www.openssh.com).

Can your backup data be compromised when it travels the network or if your backup tape "falls off the truck"?

Es nützt nichts, wenn sich Client und Server gegenseitig authentifizieren, nur um herauszufinden, dass jemand die Sicherungsdaten abgefangen hat. Dies ist besonders wichtig, wenn Ihre Sicherungsdaten über ein ungesichertes Netzwerk übertragen werden, z. B. über das Internet von einem Regionalbüro zum Hauptsitz.

In den letzten Jahren gab es bekannt gewordene Ereignisse, bei denen Unternehmen den Überblick über ihre Sicherungsbänder verlieren. Oft geht dies mit dem Verlust sensibler Finanzinformationen einher. Bei einem solchen Vorfall im Jahr 2005 verlor ein bekanntes Time-Share-Unternehmen Sicherungsbänder mit vertraulichen Finanzinformationen für 260.000 seiner Kunden. Offensichtlich war der potenzielle Schaden für die Kunden enorm, ebenso wie der Schaden für das Time-Share-Unternehmen und seinen Ruf.

Ihre Sicherungssoftware sollte Flexibilität bieten, um Daten während der Übertragung zu verschlüsseln, bevor sie auf einem Kabel gesendet werden, oder in Ruhe, wenn Daten auf das Sicherungsmedium geschrieben werden. Es sollten frei verfügbare, überprüfbare Verschlüsselungsmethoden verwendet werden. Sie sollten auch die Möglichkeit haben, verschiedene Verschlüsselungsmethoden zu verwenden und neue Entwicklungen und Verschlüsselungsalgorithmen zu nutzen.

There are hardware-based solutions. Both Network Appliance's Decru division, and Neoscale offer hardware appliances that intercept writes to backup media (tape) and encrypt it on the fly. This has the advantage of speed, but comes at a high infrastructure cost.

Amanda kann die Daten entweder auf dem Client vor der Übertragung an den Sicherungsserver oder auf dem Sicherungsserver selbst verschlüsseln. Sowohl die clientseitige als auch die serverseitige Verschlüsselung kann jedes Verschlüsselungsprogramm verwenden, das von der Standardeingabe liest und in die Standardausgabe schreibt. Dies schließt den Befehl aespipe ein, der eine Vielzahl von AES-Verschlüsselungsroutinen unterstützt. Ein weiteres häufig verwendetes Tool mit Amanda-Verschlüsselungsprogramm ist gpg.

Ohne eine gute Schlüsselverwaltung können die Daten natürlich nicht wiederhergestellt werden. Amanda bietet keine eigenständige Schlüsselverwaltungslösung an, sondern arbeitet mit jeder von Ihrer IT-Richtlinie vorgeschriebenen Schlüsselverwaltungslösung.

Die Offenheit und Flexibilität der Verschlüsselungsoptionen ermöglicht es Amanda, sich gut in Sicherheitsrichtlinien und -prozesse der meisten IT-Umgebungen einzufügen, einschließlich Organisationen mit strengen Sicherheitsanforderungen.

Wer hat die Kontrolle über Ihre Backups und Wiederherstellungen?

Heutzutage gibt es eine Vielzahl von Personen, die an der Konfiguration und Verwendung von Sicherungs- und Wiederherstellungssoftware teilnehmen müssen. In größeren Unternehmen ist es nicht ungewöhnlich, dass Helpdesk-Mitarbeiter Dutzende von Personen ansprechen. Oft müssen diese Mitarbeiter eine gewisse Autorität über Datenwiederherstellungsvorgänge erhalten.

It is wise to choose a backup program that lets you delegate authority to individuals, as long as it provides a fine level of granularity. If your backup and recovery system does not have a fine level of granularity then you are exposed to the possibility of recovery abuses. Most backup and recovery packages have the concept of administrators. These administrators often have global privileges and can recover anyone's data. This might include highly sensitive data, such as payroll or financial records.

Amanda Enterprise takes a better approach. It lets you create roles for each operator, limiting what data they have access to. This lets you segregate sensitive data to ensure that only those with an absolute need to recover the data have the ability to do so.

Können Sie über eine Firewall sichern?

Today's data center environments often include the use of firewalls even internally to protect corporate computers from attack. Your backup server will almost invariably be behind your corporate firewall. The question arises - how do you backup those computers on the other side of a firewall?

Eine Lösung besteht darin, einen zweiten Sicherungsserver auf der entsprechenden Seite der Firewall bereitzustellen. Dies ist jedoch nicht immer machbar oder wünschenswert. Dies erhöht die Sicherheitsbedenken, anstatt sie zu verringern. Eine bessere Lösung besteht darin, dass Ihre Backup-Client- und -Serversoftware genau definierte (aber veränderbare) Ports für die Kommunikation verwendet. Anschließend können Sie Ihre Firewall so konfigurieren, dass Datenverkehr von bekannten IP-Adressen durch die Firewall zugelassen wird, um den Datenverkehr zu sichern und wiederherzustellen.

Eine Überlegung zu diesem Ansatz ist die Anzahl der Ports, die die Sicherungssoftware benötigt. Ihre Sicherungssoftware sollte nicht zu viele Ports verwenden, da es schwierig genug ist, ein oder zwei Ports in Ihrer Firewall zu öffnen. Einige im Handel erhältliche Closed-Source-Backup-Produkte verwenden Dutzende von Ports pro Backup-Server.

Amanda kann einige vom Administrator definierte Ports verwenden, mit denen der Sicherungsserver und der Client kommunizieren können. Diese Fähigkeit macht es gut geeignet, um über eine Firewall zu sichern.

Unterstützung für sicherheitsverbesserte Betriebssysteme wie SE Linux

Security-Enhanced Linux (SELinux) ist eine Linux-Variante, die mithilfe von Linux Security Modules (LSM) im Linux-Kernel eine Vielzahl von Sicherheitsrichtlinien implementiert, einschließlich obligatorischer Zugriffskontrollen im Stil des US-Verteidigungsministeriums. Seit Red Hat SELinux mit seinen Enterprise-Angeboten eingeführt hat, ist SELinux heute in Regierungs-, Militär- und häufig kommerziellen Umgebungen weit verbreitet. Heute gibt es keinen Anbieter von Closed-Source-Backups, der SELinux unterstützt. Amanda arbeitet jedoch sehr gut mit SELinux-Richtlinien.

Ist Ihre Backup-Software aus Sicherheitsgründen geschrieben?

Die Sicherungssoftware verfügt über Konfigurationsdateien, in denen Kennwörter und Zugriffssteuerungsrechte nicht nur für Dateiserver, sondern auch für Anwendungs- und Datenbankserver gespeichert sind. Stellen Sie sicher, dass diese Konfigurationsdateien nur von autorisierten Benutzern gelesen werden können.

Everyone who uses a closed-source software product can only guess what is inside of it. Since the vendor does not make the code available for inspection it is very difficult to tell if the software is totally secure, or if there are "back doors" coded into the software such as infamous back door discovered in Microsoft IIS servers in 2000.

The United States Computer Emergency Readiness Team (US-CERT) issues the vulnerability alerts for commercial backup software all the time. For example, the Vulnerability Note VU#744137 alerts that in Symantec Veritas NetBackup software the catalog daemon contains a stack-based buffer overflow that could allow a remote attacker to execute arbitrary code on a NetBackup master server.

Open Source hingegen ist für diese Art von Problem fast undurchlässig. Es gibt einen integrierten Mechanismus zur Peer-Review des Codes, der praktisch sicherstellt, dass nichts Unnötiges enthalten ist. Kein Open-Source-Entwickler mit Selbstachtung würde seinen Ruf und seine Karriere gefährden, wenn er eine Hintertür in ein Open-Source-Produkt steckt. Selbst wenn eine solche Hintertür enthalten wäre, würde sie höchstwahrscheinlich schnell gefunden und entfernt werden.

Darüber hinaus kann Open Source-Software problemlos auf Qualität und Sicherheit überprüft werden. Es gibt sowohl kommerzielle als auch frei verfügbare Open Source-Tools zur Analyse von Softwarecode auf Sicherheitslücken. Einige davon sind:

Diese Tools sind frei verfügbar und können eine Vielzahl von Programmiersprachen scannen. Bogosec (http://bogosec.sourceforge.net/index.html) ist ein Wrapper um diese Tools und kann Sicherheitsbedenken in Software vorhersagen. Ohne verfügbaren Quellcode für Sicherungssoftware sind diese Tools jedoch unbrauchbar.

When it comes to information security these are very real concerns for any backup package. When selecting a backup package you have to make sure there are no known security flaws in the software. Amanda, the leading open source backup package, has been tested with a variety of tools and by several organizations. For example, Coverity (http://scan.coverity.com), a collaborative effort between Stanford University and the open source community, tested Amanda code quality. When bugs were discovered the Amanda community quickly corrected them and reduced the count to zero. This compares to an average defect rate of 20 to 30 bugs per 1000 lines of code for commercial software, according to Carnegie Mellon University's CyLab Sustainable Computing Consortium.

Checkliste für die Sicherungssicherheit

Gibt es eine starke Authentifizierung von Sicherungsservern und Sicherungsclients?
Gibt es auf einem Client eine Verschlüsselung zum Sichern von Daten während der Übertragung?
Gibt es auf einem Sicherungsserver eine Verschlüsselung zum Sichern von Daten auf einem Sicherungsmedium, z. B. Band?
Können Sie zwischen verschiedenen Verschlüsselungsmethoden wählen und neue Verschlüsselungsalgorithmen nutzen?
Gibt es eine rollenbasierte Zugriffskontrolle für Verwaltung, Sicherung und Wiederherstellung?
Können Sie nur wenige Ports (idealerweise nur einen Port) für die Sicherung über eine Firewall öffnen?
Gibt es Unterstützung für SELinux?
Haben Sie die Sicherheit von Konfigurationsdateien für Sicherungssoftware überprüft, in denen Kennwörter für Datei-, Datenbank- und Anwendungsserver gespeichert sind?
Haben Sie überprüft, dass US-CERT keine Warnungen zu Ihrer Sicherungssoftware enthält?
Gibt es unabhängige Berichte über die Qualität und Sicherheit von Code für Ihre Sicherungssoftware?

Fazit

Da Ihr Backup eine Kopie Ihrer wertvollsten digitalen Assets ist, spielt die Backup-Sicherheit eine wichtige Rolle. Die Implementierung wirklich sicherer und dennoch finanziell tragfähiger Sicherungsrichtlinien erfordert ein gründliches Verständnis der damit verbundenen Kompromisse. Jedes Unternehmen kann jedoch einen vernünftigen Kompromiss finden, um sichere Sicherungsrichtlinien zu erstellen, die es sich leisten kann. Wichtig ist, dass die Sicherungssicherheit kein Projekt ist, sondern ein Prozess, der ständig überwacht und verbessert werden muss.

logo_crn_emerging_vendors
Byte-Switch-Top-10-Speicher
Bossie_für-www-home
Sicherheitszertifiziert
gold_mysql
Logo-Amazon-Partner