Por Chander Kant y Dmitri Joukovski

In the last few years there have been many headlines about high-profile incidents of lost or stolen backup tapes. Despite increasing attention to security, backup procedures are often neglected in overall security policies. The main reason for that discrepancy is that, historically, backup and security have had almost opposite goals. Security procedures often require strong access control to user's data. Backup software, however, is optimized to simplify recovery, sometimes to a different platform or different location and often by someone other than the original owner of the data.

Using the example of the most popular software de copia de seguridad y recuperación de código abierto, Amanda, we will review best practices for ensuring security of backup data. Specifically, we will review the following aspects of backup security:

 

¿Están sus sistemas realmente contactando con el servidor de respaldo correcto?

Most data centers rely on network-based backup. In order to do this securely, there must be a trust relationship established between the backup client (the machine being backed up) and the backup server (the machine doing the backup). Without a verifiable way to establish this trust relationship various "man-in-the-middle" attacks can occur.

Una posible vulnerabilidad es el caso en el que el software de respaldo permite al cliente de respaldo especificar que cualquier servidor de respaldo puede iniciar un respaldo. A diferencia de Amanda, algunas herramientas populares de copia de seguridad de código cerrado incluyen esta configuración de forma predeterminada. A menos que sea consciente de esta vulnerabilidad y cambie la configuración predeterminada, cualquier persona con una computadora portátil o de escritorio puede instalar la versión de prueba del paquete de respaldo e iniciar el respaldo de cualquier cliente de respaldo en su organización. Estas copias de seguridad podrían entonces dirigirse fácilmente al disco de un servidor de copia de seguridad no autorizado.

Existe una preocupación similar en la dirección opuesta. ¿Su servidor de respaldo proporciona datos para la recuperación en el sistema apropiado? ¿O alguien está obligando a un sistema a hacerse pasar por un cliente de respaldo?

Un enfoque mucho mejor es requerir que el software de respaldo utilice una autenticación sólida tanto del cliente de respaldo como del servidor de respaldo. Por supuesto, el método de autenticación también debería estar abierto a escrutinio. Una buena elección sería un mecanismo basado en claves, similar al que ofrece la herramienta de código abierto openssh (http://www.openssh.com).

Can your backup data be compromised when it travels the network or if your backup tape "falls off the truck"?

No sirve de nada si su cliente y servidor se autentican entre sí, solo para descubrir que alguien ha interceptado los datos de respaldo. Esto es especialmente importante si sus datos de respaldo viajan a través de una red no segura, como por Internet desde una oficina regional a la sede.

En los últimos años ha habido eventos muy publicitados en los que las empresas pierden el rastro de sus cintas de respaldo. A menudo, estos implican la pérdida de información financiera confidencial. En uno de estos incidentes en 2005, una conocida empresa de tiempo compartido perdió cintas de respaldo con información financiera confidencial para 260.000 de sus clientes. Obviamente, el daño potencial a los clientes fue enorme, así como el daño a la empresa de tiempo compartido y su reputación.

Su software de respaldo debe brindar flexibilidad para cifrar los datos en tránsito antes de que se envíen por cable, o en reposo cuando los datos se escriben en el medio de respaldo. Debería utilizar métodos de cifrado verificables y disponibles de forma gratuita. También debería tener la opción de utilizar diferentes métodos de cifrado y aprovechar los nuevos desarrollos y algoritmos de cifrado.

There are hardware-based solutions. Both Network Appliance's Decru division, and Neoscale offer hardware appliances that intercept writes to backup media (tape) and encrypt it on the fly. This has the advantage of speed, but comes at a high infrastructure cost.

Amanda tiene la capacidad de cifrar los datos ya sea en el cliente, antes de la transmisión al servidor de respaldo, o en el servidor de respaldo mismo. Tanto el cifrado del lado del cliente como del servidor puede utilizar cualquier programa de cifrado que lea desde la entrada estándar y escriba en la salida estándar. Esto incluye el comando aespipe, que admite una variedad de rutinas de cifrado AES. Otra herramienta de uso común con el programa de cifrado Amanda es gpg.

Por supuesto, sin una buena gestión de claves, los datos no se pueden recuperar. Amanda no proporciona una solución de gestión de claves por sí sola, sino que trabaja con cualquier solución de gestión de claves exigida por su política de TI.

La apertura y flexibilidad de las opciones de cifrado le permite a Amanda adaptarse bien a las políticas y procesos de seguridad de la mayoría de los entornos de TI, incluidas las organizaciones con estrictos requisitos de seguridad.

¿Quién tiene control sobre sus copias de seguridad y recuperaciones?

En estos días, hay una variedad de personas que deben participar en la configuración y el uso del software de respaldo y recuperación. En las empresas más grandes, no es raro que el personal de la mesa de ayuda se acerque a decenas de personas. A menudo, este personal debe tener cierta autoridad sobre las operaciones de recuperación de datos.

It is wise to choose a backup program that lets you delegate authority to individuals, as long as it provides a fine level of granularity. If your backup and recovery system does not have a fine level of granularity then you are exposed to the possibility of recovery abuses. Most backup and recovery packages have the concept of administrators. These administrators often have global privileges and can recover anyone's data. This might include highly sensitive data, such as payroll or financial records.

Amanda Enterprise takes a better approach. It lets you create roles for each operator, limiting what data they have access to. This lets you segregate sensitive data to ensure that only those with an absolute need to recover the data have the ability to do so.

¿Puede hacer una copia de seguridad a través de un firewall?

Today's data center environments often include the use of firewalls even internally to protect corporate computers from attack. Your backup server will almost invariably be behind your corporate firewall. The question arises - how do you backup those computers on the other side of a firewall?

Una solución es implementar un segundo servidor de respaldo en el lado apropiado del firewall. Sin embargo, esto no siempre es factible o deseable. Esto aumenta los problemas de seguridad, en lugar de reducirlos. Una mejor solución es que su cliente de respaldo y el software del servidor usen puertos bien definidos (pero cambiables) para comunicarse. Luego puede configurar su firewall para permitir el tráfico de direcciones IP conocidas a través del firewall para permitir la copia de seguridad y restaurar el tráfico.

Una consideración sobre este enfoque es la cantidad de puertos que requiere el software de respaldo. Su software de respaldo no debe usar demasiados puertos, ya que es bastante difícil abrir uno o dos puertos en su firewall. Algunos productos de respaldo de código cerrado disponibles comercialmente utilizan docenas de puertos por servidor de respaldo.

Amanda tiene la capacidad de usar algunos puertos definidos por el administrador para que el servidor de respaldo y el cliente se comuniquen. Esta capacidad lo hace adecuado para realizar copias de seguridad a través de un firewall.

Soporte para sistemas operativos de seguridad mejorada como SE Linux

Security-Enhanced Linux (SELinux) es una variante de Linux que implementa una variedad de políticas de seguridad, incluidos los controles de acceso obligatorios al estilo del Departamento de Defensa de EE. UU., Mediante el uso de módulos de seguridad de Linux (LSM) en el kernel de Linux. Desde que Red Hat introdujo SELinux con sus ofertas empresariales, SELinux ahora se usa ampliamente en entornos gubernamentales, militares y, a menudo, comerciales. Hoy en día, no existe un proveedor de respaldo de código cerrado que admita SELinux. Amanda, sin embargo, trabaja muy bien con las políticas de SELinux.

¿Su software de respaldo está escrito pensando en la seguridad?

El software de respaldo tiene archivos de configuración que almacenan contraseñas y derechos de control de acceso no solo para servidores de archivos, sino también para servidores de aplicaciones y bases de datos. Asegúrese de que estos archivos de configuración solo puedan leerlos los usuarios autorizados.

Everyone who uses a closed-source software product can only guess what is inside of it. Since the vendor does not make the code available for inspection it is very difficult to tell if the software is totally secure, or if there are "back doors" coded into the software such as infamous back door discovered in Microsoft IIS servers in 2000.

The United States Computer Emergency Readiness Team (US-CERT) issues the vulnerability alerts for commercial backup software all the time. For example, the Vulnerability Note VU#744137 alerts that in Symantec Veritas NetBackup software the catalog daemon contains a stack-based buffer overflow that could allow a remote attacker to execute arbitrary code on a NetBackup master server.

El código abierto, por otro lado, es casi impermeable a este tipo de problema. Hay un mecanismo integrado de revisión por pares del código que prácticamente asegura que no se incluya nada que sea innecesario. Ningún desarrollador de código abierto que se precie arriesgaría su reputación y carrera poniendo una puerta trasera en un producto de código abierto. Incluso si se incluyera una puerta trasera de este tipo, lo más probable es que se encuentre y se retire rápidamente.

Además, el software de código abierto se puede inspeccionar fácilmente tanto por calidad como por seguridad. Existen herramientas de código abierto comerciales y de libre acceso para analizar el código de software en busca de vulnerabilidades de seguridad. Algunos de estos son:

Estas herramientas están disponibles gratuitamente y pueden escanear una variedad de lenguajes de programación. Bogosec (http://bogosec.sourceforge.net/index.html) es un envoltorio de estas herramientas y puede predecir problemas de seguridad en el software. Sin embargo, sin el código fuente disponible para el software de respaldo, estas herramientas son inútiles.

When it comes to information security these are very real concerns for any backup package. When selecting a backup package you have to make sure there are no known security flaws in the software. Amanda, the leading open source backup package, has been tested with a variety of tools and by several organizations. For example, Coverity (http://scan.coverity.com), a collaborative effort between Stanford University and the open source community, tested Amanda code quality. When bugs were discovered the Amanda community quickly corrected them and reduced the count to zero. This compares to an average defect rate of 20 to 30 bugs per 1000 lines of code for commercial software, according to Carnegie Mellon University's CyLab Sustainable Computing Consortium.

Lista de verificación de seguridad de respaldo

¿Existe una autenticación sólida del servidor de respaldo y los clientes de respaldo?
¿Existe cifrado en un cliente para proteger los datos en tránsito?
¿Existe cifrado en un servidor de respaldo para proteger los datos en un medio de respaldo, por ejemplo, una cinta?
¿Puede elegir entre diferentes métodos de cifrado y aprovechar los nuevos algoritmos de cifrado?
¿Existe un control de acceso basado en roles para administración, respaldo y recuperación?
¿Puede abrir solo unos pocos puertos (idealmente solo un puerto) para realizar copias de seguridad a través de un firewall?
¿Existe soporte para SELinux?
¿Verificó la seguridad de los archivos de configuración del software de respaldo que almacenan contraseñas para servidores de archivos, bases de datos y aplicaciones?
¿Verificó que US-CERT no tiene alertas sobre su software de respaldo?
¿Existen informes independientes sobre la calidad y seguridad del código para su software de respaldo?

Conclusión

Dado que su respaldo es una copia de sus activos digitales más valiosos, la seguridad del respaldo es una consideración crítica. La implementación de políticas de respaldo verdaderamente seguras pero financieramente viables requiere una comprensión profunda de las compensaciones asociadas. Sin embargo, cualquier organización puede encontrar un compromiso razonable para establecer políticas de respaldo seguras que pueda pagar. Lo importante a recordar es que la seguridad de las copias de seguridad no es un proyecto, sino un proceso que requiere un seguimiento y una mejora constantes.

logo_crn_emerging_vendors
byte-switch-top-10-storage
bossie_for-www-hogar
seguridad certificada
gold_mysql
logo-socio-amazon