Par Chander Kant et Dmitri Joukovski

In the last few years there have been many headlines about high-profile incidents of lost or stolen backup tapes. Despite increasing attention to security, backup procedures are often neglected in overall security policies. The main reason for that discrepancy is that, historically, backup and security have had almost opposite goals. Security procedures often require strong access control to user's data. Backup software, however, is optimized to simplify recovery, sometimes to a different platform or different location and often by someone other than the original owner of the data.

Using the example of the most popular logiciel de sauvegarde et de restauration open source, Amanda, we will review best practices for ensuring security of backup data. Specifically, we will review the following aspects of backup security:

 

Vos systèmes contactent-ils vraiment le bon serveur de sauvegarde?

Most data centers rely on network-based backup. In order to do this securely, there must be a trust relationship established between the backup client (the machine being backed up) and the backup server (the machine doing the backup). Without a verifiable way to establish this trust relationship various "man-in-the-middle" attacks can occur.

Une vulnérabilité possible est le cas où le logiciel de sauvegarde permet au client de sauvegarde de spécifier que tout serveur de sauvegarde peut lancer une sauvegarde. Contrairement à Amanda, certains outils de sauvegarde à source fermée populaires sont livrés avec ce paramètre par défaut. À moins que vous ne soyez conscient de cette vulnérabilité et que vous ne modifiez le paramètre par défaut, toute personne disposant d'un ordinateur portable ou de bureau peut installer la version d'essai du package de sauvegarde et lancer la sauvegarde de tout client de sauvegarde de votre organisation. Ces sauvegardes pourraient alors facilement être dirigées vers le disque d'un serveur de sauvegarde non autorisé.

Une préoccupation similaire existe dans la direction opposée. Votre serveur de sauvegarde fournit-il des données à restaurer sur le système approprié? Ou est-ce que quelqu'un force un système à se faire passer pour un client de sauvegarde?

Une approche bien meilleure exige que le logiciel de sauvegarde utilise une authentification forte à la fois du client de sauvegarde et du serveur de sauvegarde. Bien entendu, la méthode d'authentification doit également être soumise à un examen minutieux. Un bon choix serait un mécanisme basé sur des clés, similaire à celui proposé par l'outil open source openssh (http://www.openssh.com).

Can your backup data be compromised when it travels the network or if your backup tape "falls off the truck"?

Cela ne sert à rien si votre client et votre serveur s'authentifient l'un l'autre, seulement pour découvrir que quelqu'un a intercepté les données de sauvegarde. Ceci est particulièrement important si vos données de sauvegarde transitent sur un réseau non sécurisé, par exemple sur Internet d'un bureau régional au siège.

Au cours des dernières années, il y a eu des événements très médiatisés où les entreprises perdent la trace de leurs bandes de sauvegarde. Ces derniers impliquent souvent la perte d'informations financières sensibles. Lors d'un de ces incidents en 2005, une société bien connue à temps partagé a perdu des bandes de sauvegarde contenant des informations financières sensibles pour 260 000 de ses clients. De toute évidence, les dommages potentiels pour les clients étaient énormes, ainsi que les dommages causés à la société à temps partagé et à sa réputation.

Votre logiciel de sauvegarde doit offrir une flexibilité pour crypter les données en transit avant qu'elles ne soient envoyées sur un câble, ou au repos lorsque les données sont écrites sur le support de sauvegarde. Il doit utiliser des méthodes de cryptage librement disponibles et vérifiables. Vous devriez également avoir la possibilité d'utiliser différentes méthodes de cryptage et de profiter des nouveaux développements et algorithmes de cryptage.

There are hardware-based solutions. Both Network Appliance's Decru division, and Neoscale offer hardware appliances that intercept writes to backup media (tape) and encrypt it on the fly. This has the advantage of speed, but comes at a high infrastructure cost.

Amanda a la capacité de crypter les données soit sur le client, avant la transmission au serveur de sauvegarde, soit sur le serveur de sauvegarde lui-même. Le chiffrement côté client et côté serveur peut utiliser n'importe quel programme de chiffrement qui lit à partir de l'entrée standard et écrit sur la sortie standard. Cela inclut la commande aespipe, qui prend en charge une variété de routines de chiffrement AES. Un autre outil couramment utilisé avec le programme de cryptage Amanda est gpg.

Bien entendu, sans une bonne gestion des clés, les données ne peuvent pas être récupérées. Amanda ne fournit pas de solution de gestion des clés en soi, mais fonctionne plutôt avec toute solution de gestion de clés mandatée par votre politique informatique.

L'ouverture et la flexibilité des options de chiffrement permettent à Amanda de s'intégrer parfaitement aux politiques et processus de sécurité de la plupart des environnements informatiques, y compris les organisations ayant des exigences de sécurité strictes.

Qui contrôle vos sauvegardes et restaurations?

De nos jours, de nombreuses personnes doivent participer à la configuration et à l'utilisation des logiciels de sauvegarde et de restauration. Dans les grandes entreprises, il n'est pas rare que le personnel du service d'assistance s'adresse à des dizaines de personnes. Souvent, ces personnels doivent avoir une certaine autorité sur les opérations de récupération de données.

It is wise to choose a backup program that lets you delegate authority to individuals, as long as it provides a fine level of granularity. If your backup and recovery system does not have a fine level of granularity then you are exposed to the possibility of recovery abuses. Most backup and recovery packages have the concept of administrators. These administrators often have global privileges and can recover anyone's data. This might include highly sensitive data, such as payroll or financial records.

Entreprise Amanda takes a better approach. It lets you create roles for each operator, limiting what data they have access to. This lets you segregate sensitive data to ensure that only those with an absolute need to recover the data have the ability to do so.

Pouvez-vous sauvegarder via un pare-feu?

Today's data center environments often include the use of firewalls even internally to protect corporate computers from attack. Your backup server will almost invariably be behind your corporate firewall. The question arises - how do you backup those computers on the other side of a firewall?

Une solution consiste à déployer un deuxième serveur de sauvegarde sur le côté approprié du pare-feu. Cependant, ce n'est pas toujours faisable ou souhaitable. Cela augmente les problèmes de sécurité, plutôt que de les réduire. Une meilleure solution est que votre client de sauvegarde et votre logiciel serveur utilisent des ports bien définis (mais modifiables) pour communiquer. Vous pouvez ensuite configurer votre pare-feu pour autoriser le trafic provenant d'adresses IP connues à travers le pare-feu pour permettre la sauvegarde et la restauration du trafic.

Une considération à propos de cette approche est le nombre de ports requis par le logiciel de sauvegarde. Votre logiciel de sauvegarde ne doit pas utiliser trop de ports, car il est déjà assez difficile d'ouvrir un ou deux ports dans votre pare-feu. Certains produits de sauvegarde à source fermée disponibles dans le commerce utilisent des dizaines de ports par serveur de sauvegarde.

Amanda a la possibilité d'utiliser quelques ports définis par l'administrateur avec lesquels le serveur de sauvegarde et le client peuvent communiquer. Cette capacité le rend bien adapté à la sauvegarde via un pare-feu.

Prise en charge des systèmes d'exploitation améliorés de sécurité tels que SE Linux

Security-Enhanced Linux (SELinux) est une variante Linux qui implémente une variété de politiques de sécurité, y compris des contrôles d'accès obligatoires de style US Department of Defense, via l'utilisation de modules de sécurité Linux (LSM) dans le noyau Linux. Depuis que Red Hat a introduit SELinux avec ses offres Enterprise, SELinux est maintenant largement utilisé dans les environnements gouvernementaux, militaires et souvent commerciaux. Aujourd'hui, il n'existe aucun fournisseur de sauvegarde à source fermée prenant en charge SELinux. Amanda, cependant, fonctionne très bien avec les politiques SELinux.

Votre logiciel de sauvegarde est-il conçu dans un souci de sécurité?

Le logiciel de sauvegarde contient des fichiers de configuration qui stockent les mots de passe et les droits de contrôle d'accès non seulement pour les serveurs de fichiers, mais également pour les serveurs d'applications et de bases de données. Assurez-vous que ces fichiers de configuration ne sont lisibles que par les utilisateurs autorisés.

Everyone who uses a closed-source software product can only guess what is inside of it. Since the vendor does not make the code available for inspection it is very difficult to tell if the software is totally secure, or if there are "back doors" coded into the software such as infamous back door discovered in Microsoft IIS servers in 2000.

The United States Computer Emergency Readiness Team (US-CERT) issues the vulnerability alerts for commercial backup software all the time. For example, the Vulnerability Note VU#744137 alerts that in Symantec Veritas NetBackup software the catalog daemon contains a stack-based buffer overflow that could allow a remote attacker to execute arbitrary code on a NetBackup master server.

L'open source, en revanche, est presque insensible à ce genre de problème. Il existe un mécanisme intégré d'examen par les pairs du code qui garantit virtuellement que rien de ce qui est inutile n'est inclus. Aucun développeur Open Source qui se respecte ne risquerait sa réputation et sa carrière en mettant une porte dérobée à un produit Open Source. Même si une telle porte dérobée était incluse, elle serait probablement rapidement retrouvée et supprimée.

En outre, les logiciels open source peuvent être facilement inspectés pour la qualité et la sécurité. Il existe des outils open source commerciaux et disponibles gratuitement pour analyser le code logiciel des vulnérabilités de sécurité. Certains d'entre eux sont:

Ces outils sont disponibles gratuitement et capables de scanner une variété de langages de programmation. Bogosec (http://bogosec.sourceforge.net/index.html) est un wrapper autour de ces outils, et peut prédire les problèmes de sécurité dans les logiciels. Cependant, sans code source disponible pour le logiciel de sauvegarde, ces outils sont inutiles.

When it comes to information security these are very real concerns for any backup package. When selecting a backup package you have to make sure there are no known security flaws in the software. Amanda, the leading open source backup package, has been tested with a variety of tools and by several organizations. For example, Coverity (http://scan.coverity.com), a collaborative effort between Stanford University and the open source community, tested Amanda code quality. When bugs were discovered the Amanda community quickly corrected them and reduced the count to zero. This compares to an average defect rate of 20 to 30 bugs per 1000 lines of code for commercial software, according to Carnegie Mellon University's CyLab Sustainable Computing Consortium.

Liste de contrôle de la sécurité de sauvegarde

Existe-t-il une authentification forte du serveur de sauvegarde et des clients de sauvegarde?
Existe-t-il un cryptage sur un client pour sécuriser les données en transit?
Existe-t-il un cryptage sur un serveur de sauvegarde pour sécuriser les données sur un support de sauvegarde, par exemple une bande?
Pouvez-vous choisir entre différentes méthodes de cryptage et tirer parti des nouveaux algorithmes de cryptage?
Existe-t-il un contrôle d'accès basé sur les rôles pour l'administration, la sauvegarde et la restauration?
Pouvez-vous ouvrir seulement quelques ports (idéalement un seul port) pour la sauvegarde via un pare-feu?
Existe-t-il un support pour SELinux?
Avez-vous vérifié la sécurité des fichiers de configuration du logiciel de sauvegarde qui stockent les mots de passe pour les serveurs de fichiers, de bases de données et d'applications?
Avez-vous vérifié que US-CERT n'a pas d'alertes concernant votre logiciel de sauvegarde?
Existe-t-il des rapports indépendants sur la qualité et la sécurité du code pour votre logiciel de sauvegarde?

Conclusion

Étant donné que votre sauvegarde est une copie de vos actifs numériques les plus précieux, la sécurité de la sauvegarde est une considération essentielle. La mise en œuvre de politiques de sauvegarde vraiment sécurisées mais financièrement viables nécessite une compréhension approfondie des compromis associés. Cependant, toute entreprise peut trouver un compromis raisonnable pour établir des politiques de sauvegarde sécurisées qu'elle peut se permettre. La chose importante à retenir est que la sécurité de sauvegarde n'est pas un projet, mais un processus qui nécessite une surveillance et une amélioration constantes.

logo_crn_emerging_vendors
byte-switch-top-10-stockage
bossie_for-www-home
sécurité certifié
gold_mysql
logo-amazon-partenaire