Copia de seguridad y recuperación seguras: prácticas recomendadas

Por Chander Kant y Dmitri Joukovski

En los últimos años ha habido muchos titulares sobre incidentes de alto perfil de cintas de respaldo perdidas o robadas. A pesar de la creciente atención a la seguridad, los procedimientos de respaldo a menudo se descuidan en las políticas de seguridad generales. La principal razón de esa discrepancia es que, históricamente, el respaldo y la seguridad han tenido objetivos casi opuestos. Los procedimientos de seguridad a menudo requieren un fuerte control de acceso a los datos del usuario. El software de respaldo, sin embargo, está optimizado para simplificar la recuperación, a veces a una plataforma diferente o ubicación diferente y, a menudo, por otra persona que no sea el propietario original de los datos.

Usando el ejemplo de los más populares software de copia de seguridad y recuperación de código abierto, Amanda, revisaremos las mejores prácticas para garantizar la seguridad de los datos de respaldo. Específicamente, revisaremos los siguientes aspectos de la seguridad de las copias de seguridad:

¿Están sus sistemas realmente contactando con el servidor de respaldo correcto?

La mayoría de los centros de datos dependen de la copia de seguridad basada en la red. Para hacer esto de forma segura, debe haber una relación de confianza establecida entre el cliente de respaldo (la máquina que se está respaldando) y el servidor de respaldo (la máquina que realiza la copia de seguridad). Sin una forma verificable de establecer esta relación de confianza, pueden ocurrir varios ataques de "intermediario".

Una posible vulnerabilidad es el caso en el que el software de respaldo permite al cliente de respaldo especificar que cualquier servidor de respaldo puede iniciar un respaldo. A diferencia de Amanda, algunas herramientas populares de copia de seguridad de código cerrado se envían con esta configuración predeterminada. A menos que sea consciente de esta vulnerabilidad y cambie la configuración predeterminada, cualquier persona con una computadora portátil o de escritorio puede instalar la versión de prueba del paquete de respaldo e iniciar el respaldo de cualquier cliente de respaldo en su organización. Estas copias de seguridad podrían luego dirigirse fácilmente al disco de un servidor de copia de seguridad no autorizado.

Existe una preocupación similar en la dirección opuesta. ¿Su servidor de respaldo proporciona datos para su recuperación en el sistema apropiado? ¿O alguien está obligando a un sistema a hacerse pasar por un cliente de respaldo?

Un enfoque mucho mejor es requerir que el software de respaldo utilice una autenticación sólida tanto del cliente de respaldo como del servidor de respaldo. Por supuesto, el método de autenticación también debería estar abierto a escrutinio. Una buena opción sería un mecanismo basado en claves, similar al que ofrece la herramienta de código abierto openssh (http://www.openssh.com).

¿Pueden sus datos de respaldo verse comprometidos cuando viajan por la red o si su cinta de respaldo "se cae del camión"?

No sirve de nada si su cliente y servidor se autentican entre sí, solo para descubrir que alguien ha interceptado los datos de la copia de seguridad. Esto es especialmente importante si sus datos de respaldo viajan a través de una red no segura, como por Internet desde una oficina regional a la sede.

En los últimos años ha habido eventos muy publicitados en los que las empresas pierden el rastro de sus cintas de respaldo. A menudo, estos implican la pérdida de información financiera confidencial. En uno de esos incidentes en 2005, una conocida empresa de tiempo compartido perdió cintas de respaldo con información financiera confidencial para 260,000 de sus clientes. Obviamente, el daño potencial a los clientes fue enorme, así como el daño a la empresa de tiempo compartido y su reputación.

Su software de respaldo debe brindar flexibilidad para cifrar los datos en tránsito antes de que se envíen por cable, o en reposo cuando los datos se escriben en el medio de respaldo. Debería utilizar métodos de cifrado verificables y disponibles de forma gratuita. También debería tener la opción de utilizar diferentes métodos de cifrado y aprovechar los nuevos desarrollos y algoritmos de cifrado.

Existen soluciones basadas en hardware. Tanto la división Decru de Network Appliance como Neoscale ofrecen dispositivos de hardware que interceptan las escrituras en los medios de respaldo (cinta) y las cifran sobre la marcha. Esto tiene la ventaja de la velocidad, pero tiene un alto costo de infraestructura.

Amanda tiene la capacidad de cifrar los datos en el cliente, antes de la transmisión al servidor de respaldo, o en el servidor de respaldo mismo. Tanto el cifrado del lado del cliente como del servidor puede utilizar cualquier programa de cifrado que lea desde la entrada estándar y escriba en la salida estándar. Esto incluye el comando aespipe, que admite una variedad de rutinas de cifrado AES. Otra herramienta de uso común con el programa de cifrado Amanda es gpg.

Por supuesto, sin una buena gestión de claves, los datos no se pueden recuperar. Amanda no proporciona una solución de gestión de claves por sí sola, sino que trabaja con cualquier solución de gestión de claves exigida por su política de TI.

La apertura y flexibilidad de las opciones de cifrado le permite a Amanda adaptarse bien a las políticas y procesos de seguridad de la mayoría de los entornos de TI, incluidas las organizaciones con estrictos requisitos de seguridad.

¿Quién tiene control sobre sus copias de seguridad y recuperaciones?

En estos días, hay una variedad de personas que deben participar en la configuración y el uso del software de respaldo y recuperación. En empresas más grandes, no es inusual que el personal de la mesa de ayuda se acerque a decenas de personas. A menudo, este personal debe tener cierta autoridad sobre las operaciones de recuperación de datos.

Es aconsejable elegir un programa de respaldo que le permita delegar autoridad a individuos, siempre y cuando proporcione un buen nivel de granularidad. Si su sistema de copia de seguridad y recuperación no tiene un buen nivel de granularidad, está expuesto a la posibilidad de abusos en la recuperación. La mayoría de los paquetes de respaldo y recuperación tienen el concepto de administradores. Estos administradores a menudo tienen privilegios globales y pueden recuperar los datos de cualquier persona. Esto puede incluir datos muy sensibles, como nóminas o registros financieros.

empresa amanda tiene un mejor enfoque. Le permite crear roles para cada operador, limitando a qué datos tienen acceso. Esto le permite segregar datos confidenciales para garantizar que solo aquellos con una necesidad absoluta de recuperar los datos tengan la capacidad de hacerlo.

¿Puede hacer una copia de seguridad a través de un firewall?

Los entornos de los centros de datos actuales a menudo incluyen el uso de cortafuegos, incluso internamente, para proteger las computadoras corporativas de los ataques. Su servidor de respaldo estará casi invariablemente detrás de su firewall corporativo. Surge la pregunta: ¿cómo se hace una copia de seguridad de esas computadoras al otro lado de un firewall?

Una solución es implementar un segundo servidor de respaldo en el lado apropiado del firewall. Sin embargo, esto no siempre es factible o deseable. Esto aumenta los problemas de seguridad, en lugar de reducirlos. Una mejor solución es que su cliente de respaldo y el software del servidor usen puertos bien definidos (pero modificables) para comunicarse. Luego, puede configurar su firewall para permitir el tráfico de direcciones IP conocidas a través del firewall para permitir la copia de seguridad y restaurar el tráfico.

Una consideración sobre este enfoque es la cantidad de puertos que requiere el software de respaldo. Su software de respaldo no debe usar demasiados puertos, ya que es bastante difícil abrir uno o dos puertos en su firewall. Algunos productos de respaldo de código cerrado disponibles comercialmente utilizan docenas de puertos por servidor de respaldo.

Amanda tiene la capacidad de usar algunos puertos definidos por el administrador para que el servidor de respaldo y el cliente se comuniquen. Esta capacidad lo hace adecuado para realizar copias de seguridad a través de un firewall.

Soporte para sistemas operativos de seguridad mejorada como SE Linux

Security-Enhanced Linux (SELinux) es una variante de Linux que implementa una variedad de políticas de seguridad, incluidos los controles de acceso obligatorios al estilo del Departamento de Defensa de EE. UU., Mediante el uso de módulos de seguridad de Linux (LSM) en el kernel de Linux. Desde que Red Hat introdujo SELinux con sus ofertas empresariales, SELinux ahora se usa ampliamente en entornos gubernamentales, militares y, a menudo, comerciales. Hoy en día, no existe un proveedor de respaldo de código cerrado que admita SELinux. Amanda, sin embargo, trabaja muy bien con las políticas de SELinux.

¿Su software de respaldo está escrito pensando en la seguridad?

El software de respaldo tiene archivos de configuración que almacenan contraseñas y derechos de control de acceso no solo para servidores de archivos, sino también para servidores de aplicaciones y bases de datos. Asegúrese de que estos archivos de configuración sean legibles solo por usuarios autorizados.

Todos los que usan un producto de software de código cerrado solo pueden adivinar qué contiene. Dado que el proveedor no hace que el código esté disponible para inspección, es muy difícil saber si el software es totalmente seguro o si hay "puertas traseras" codificadas en el software, como la infame puerta trasera descubierta en los servidores IIS de Microsoft en 2000.

El equipo de preparación para emergencias informáticas de los Estados Unidos (US-CERT) emite alertas de vulnerabilidad para el software de respaldo comercial todo el tiempo. Por ejemplo, la nota de vulnerabilidad VU # 744137 alerta que en Symantec Veritas NetBackup software el demonio de catálogo contiene un desbordamiento de búfer basado en pila que podría permitir que un atacante remoto ejecute código arbitrario en un servidor maestro de NetBackup.

El código abierto, por otro lado, es casi impermeable a este tipo de problema. Hay un mecanismo integrado de revisión por pares del código que prácticamente asegura que no se incluya nada que sea innecesario. Ningún desarrollador de código abierto que se precie arriesgaría su reputación y carrera poniendo una puerta trasera en un producto de código abierto. Incluso si se incluyera una puerta trasera de este tipo, lo más probable es que se encuentre y se retire rápidamente.

Además, el software de código abierto se puede inspeccionar fácilmente tanto por calidad como por seguridad. Existen herramientas de código abierto tanto comerciales como disponibles gratuitamente para analizar el código de software en busca de vulnerabilidades de seguridad. Algunos de estos son:

Estas herramientas están disponibles gratuitamente y pueden escanear una variedad de lenguajes de programación. Bogosec (http://bogosec.sourceforge.net/index.html) es un envoltorio de estas herramientas y puede predecir problemas de seguridad en el software. Sin embargo, sin el código fuente disponible para el software de respaldo, estas herramientas son inútiles.

Cuando se trata de seguridad de la información, estas son preocupaciones muy reales para cualquier paquete de respaldo. Al seleccionar un paquete de respaldo, debe asegurarse de que no haya fallas de seguridad conocidas en el software. Amanda, el paquete de respaldo de código abierto líder, ha sido probado con una variedad de herramientas y por varias organizaciones. Por ejemplo, Coverity (http://scan.coverity.com), un esfuerzo de colaboración entre la Universidad de Stanford y la comunidad de código abierto, probó la calidad del código de Amanda. Cuando se descubrieron errores, la comunidad de Amanda los corrigió rápidamente y redujo el recuento a cero. Esto se compara con una tasa de defectos promedio de 20 a 30 errores por 1000 líneas de código para software comercial, según el Consorcio de Computación Sostenible CyLab de la Universidad Carnegie Mellon.