Pencadangan dan Pemulihan Aman - Praktik Terbaik

Oleh Chander Kant dan Dmitri Joukovski

Dalam beberapa tahun terakhir ada banyak berita utama tentang insiden profil tinggi dari kaset cadangan yang hilang atau dicuri. Meskipun perhatian pada keamanan meningkat, prosedur pencadangan sering kali diabaikan dalam kebijakan keamanan secara keseluruhan. Alasan utama perbedaan tersebut adalah, secara historis, backup dan keamanan memiliki tujuan yang hampir berlawanan. Prosedur keamanan sering kali memerlukan kontrol akses yang kuat ke data pengguna. Namun, perangkat lunak cadangan dioptimalkan untuk menyederhanakan pemulihan, terkadang ke platform yang berbeda atau lokasi yang berbeda dan seringkali oleh orang lain selain pemilik asli data tersebut.

Menggunakan contoh yang paling populer perangkat lunak pencadangan dan pemulihan sumber terbuka, Amanda, kami akan meninjau praktik terbaik untuk memastikan keamanan data cadangan. Secara khusus, kami akan meninjau aspek keamanan cadangan berikut:

 

Apakah sistem Anda benar-benar menghubungi server cadangan yang benar?

Sebagian besar pusat data mengandalkan cadangan berbasis jaringan. Untuk melakukan ini dengan aman, harus ada hubungan kepercayaan yang dibuat antara klien cadangan (mesin yang dicadangkan) dan server cadangan (mesin yang melakukan pencadangan). Tanpa cara yang dapat diverifikasi untuk membangun hubungan kepercayaan ini berbagai serangan "man-in-the-middle" dapat terjadi.

Satu kemungkinan kerentanan adalah kasus di mana perangkat lunak pencadangan memungkinkan klien pencadangan menentukan bahwa server pencadangan apa pun dapat memulai pencadangan. Tidak seperti Amanda, beberapa alat cadangan sumber tertutup yang populer dikirimkan dengan pengaturan ini sebagai default. Kecuali Anda mengetahui kerentanan ini dan mengubah pengaturan default, siapa pun yang memiliki laptop atau komputer desktop dapat menginstal versi uji coba paket cadangan dan memulai pencadangan klien cadangan apa pun di organisasi Anda. Cadangan ini kemudian dapat dengan mudah diarahkan ke disk server cadangan penipu.

Kekhawatiran serupa terjadi di arah yang berlawanan. Apakah server cadangan Anda menyediakan data untuk pemulihan ke sistem yang sesuai? Atau seseorang memaksa sistem untuk menyamar sebagai klien cadangan?

Pendekatan yang jauh lebih baik adalah mengharuskan perangkat lunak cadangan menggunakan otentikasi yang kuat dari klien cadangan dan server cadangan. Tentu saja metode otentikasi juga harus terbuka untuk dicermati. Pilihan yang baik adalah mekanisme berbasis kunci, mirip dengan yang ditawarkan oleh alat open source openssh (http://www.openssh.com).

Dapatkah data cadangan Anda dikompromikan saat melewati jaringan atau jika pita cadangan Anda "jatuh dari truk"?

Tidak ada gunanya jika klien dan server Anda saling mengautentikasi, hanya untuk mengetahui bahwa seseorang telah mencegat data cadangan. Ini sangat penting jika data cadangan Anda dikirimkan melalui jaringan yang tidak aman, seperti melalui Internet dari kantor regional ke kantor pusat.

Selama beberapa tahun terakhir, ada peristiwa yang dipublikasikan dengan baik di mana perusahaan kehilangan jejak rekaman cadangan mereka. Seringkali ini melibatkan hilangnya informasi keuangan yang sensitif. Dalam satu kejadian di tahun 2005, sebuah perusahaan saham-waktu terkenal kehilangan rekaman cadangan dengan informasi keuangan sensitif untuk 260,000 pelanggannya. Jelas potensi kerusakan pada pelanggan sangat besar, begitu pula kerusakan pada perusahaan pembagian waktu dan reputasinya.

Perangkat lunak cadangan Anda harus memberikan fleksibilitas untuk mengenkripsi data saat transit sebelum dikirim melalui kabel, atau diam saat data ditulis ke media cadangan. Ini harus menggunakan metode enkripsi yang tersedia secara bebas dan dapat diverifikasi. Anda juga harus memiliki opsi untuk menggunakan metode enkripsi yang berbeda dan memanfaatkan perkembangan baru dan algoritma enkripsi.

Ada solusi berbasis perangkat keras. Kedua divisi Decru Network Appliance, dan Neoscale menawarkan peralatan perangkat keras yang mencegat penulisan ke media cadangan (tape) dan mengenkripsinya dengan cepat. Keunggulannya adalah kecepatan, tetapi biaya infrastrukturnya tinggi.

Amanda memiliki kemampuan untuk mengenkripsi data baik di klien, sebelum dikirim ke server cadangan, atau di server cadangan itu sendiri. Enkripsi sisi klien dan server dapat menggunakan program enkripsi apa pun yang membaca dari input standar dan menulis ke output standar. Ini termasuk perintah aespipe, yang mendukung berbagai rutinitas enkripsi AES. Alat lain yang umum digunakan dengan program enkripsi Amanda adalah gpg.

Tentu saja, tanpa manajemen kunci yang baik, data tidak dapat dipulihkan. Amanda tidak menyediakan solusi manajemen kunci sendiri, melainkan bekerja dengan solusi manajemen kunci yang diamanatkan oleh kebijakan TI Anda.

Keterbukaan dan fleksibilitas opsi enkripsi memungkinkan Amanda menyesuaikan diri dengan kebijakan dan proses keamanan di sebagian besar lingkungan TI termasuk organisasi dengan persyaratan keamanan yang ketat.

Siapa yang memiliki kendali atas pencadangan dan pemulihan Anda?

Saat ini ada banyak orang yang harus berpartisipasi dalam mengonfigurasi dan menggunakan perangkat lunak pencadangan dan pemulihan. Di perusahaan yang lebih besar, tidak jarang staf help desk mendekati lusinan individu. Seringkali personel ini perlu diberi wewenang atas operasi pemulihan data.

Sebaiknya pilih program cadangan yang memungkinkan Anda mendelegasikan wewenang kepada individu, selama program tersebut memberikan tingkat perincian yang bagus. Jika sistem pencadangan dan pemulihan Anda tidak memiliki tingkat perincian yang baik, maka Anda akan dihadapkan pada kemungkinan penyalahgunaan pemulihan. Sebagian besar paket pencadangan dan pemulihan memiliki konsep administrator. Administrator ini sering kali memiliki hak istimewa global dan dapat memulihkan data siapa pun. Ini mungkin termasuk data yang sangat sensitif, seperti penggajian atau catatan keuangan.

Perusahaan Amanda mengambil pendekatan yang lebih baik. Ini memungkinkan Anda membuat peran untuk setiap operator, membatasi data apa yang mereka miliki aksesnya. Ini memungkinkan Anda memisahkan data sensitif untuk memastikan bahwa hanya mereka yang memiliki kebutuhan mutlak untuk memulihkan data yang dapat melakukannya.

Bisakah Anda mencadangkan melalui firewall?

Lingkungan pusat data saat ini sering kali menyertakan penggunaan firewall bahkan secara internal untuk melindungi komputer perusahaan dari serangan. Server cadangan Anda hampir selalu berada di belakang firewall perusahaan Anda. Muncul pertanyaan - bagaimana Anda mem-backup komputer tersebut di sisi lain firewall?

Salah satu solusinya adalah menggunakan server cadangan kedua di sisi yang sesuai dari firewall. Namun, ini tidak selalu dapat dilakukan atau diinginkan. Ini meningkatkan masalah keamanan, bukan menguranginya. Solusi yang lebih baik adalah agar klien cadangan dan perangkat lunak server Anda menggunakan port yang ditentukan dengan baik (tetapi dapat diubah) untuk berkomunikasi. Anda kemudian dapat mengkonfigurasi firewall untuk mengizinkan lalu lintas dari alamat IP yang dikenal melalui firewall untuk memungkinkan pencadangan dan pemulihan lalu lintas.

Pertimbangan tentang pendekatan ini adalah jumlah port yang dibutuhkan perangkat lunak cadangan. Perangkat lunak cadangan Anda tidak boleh menggunakan terlalu banyak port, karena cukup sulit untuk membuka satu atau dua port di firewall Anda. Beberapa produk cadangan sumber tertutup yang tersedia secara komersial menggunakan lusinan port per server cadangan.

Amanda memiliki kemampuan untuk menggunakan beberapa port yang ditentukan administrator untuk server cadangan dan klien untuk berkomunikasi. Kemampuan ini membuatnya cocok untuk melakukan backup melalui firewall.

Dukungan untuk Sistem Operasi yang Ditingkatkan Keamanan seperti SE Linux

Linux yang Ditingkatkan Keamanan (SELinux) adalah varian Linux yang menerapkan berbagai kebijakan keamanan, termasuk kontrol akses wajib gaya Departemen Pertahanan AS, melalui penggunaan Modul Keamanan Linux (LSM) di kernel Linux. Sejak Red Hat memperkenalkan SELinux dengan penawaran Enterprise-nya, SELinux sekarang banyak digunakan di lingkungan pemerintahan, militer, dan seringkali komersial. Saat ini tidak ada vendor backup sumber tertutup yang mendukung SELinux. Amanda, bagaimanapun, bekerja dengan kebijakan SELinux dengan sangat baik.

Apakah perangkat lunak cadangan Anda dibuat dengan mempertimbangkan keamanan?

Perangkat lunak cadangan memiliki file konfigurasi yang menyimpan kata sandi dan hak kontrol akses tidak hanya untuk server file tetapi juga untuk aplikasi dan server basis data. Pastikan file konfigurasi ini hanya dapat dibaca oleh pengguna yang berwenang.

Setiap orang yang menggunakan produk perangkat lunak sumber tertutup hanya dapat menebak apa yang ada di dalamnya. Karena vendor tidak menyediakan kode untuk pemeriksaan, sangat sulit untuk mengetahui apakah perangkat lunak benar-benar aman, atau jika ada "pintu belakang" yang dikodekan ke dalam perangkat lunak seperti pintu belakang terkenal yang ditemukan di server Microsoft IIS pada tahun 2000.

Tim Kesiapan Darurat Komputer Amerika Serikat (US-CERT) selalu mengeluarkan peringatan kerentanan untuk perangkat lunak pencadangan komersial. Misalnya, Catatan Kerentanan VU # 744137 memberi tahu bahwa di Symantec Veritas Cadangan Bersih perangkat lunak daemon katalog berisi buffer overflow berbasis tumpukan yang dapat memungkinkan penyerang jarak jauh untuk mengeksekusi kode arbitrer pada server master NetBackup.

Open source, di sisi lain, hampir kebal terhadap masalah seperti ini. Ada mekanisme peer review kode bawaan yang secara virtual memastikan bahwa tidak ada yang tidak perlu disertakan. Tidak ada pengembang Open Source yang menghargai diri sendiri yang akan mempertaruhkan reputasi dan kariernya dengan menutup pintu belakang produk open source. Bahkan jika pintu belakang seperti itu dimasukkan, kemungkinan besar akan segera ditemukan dan dilepas.

Selain itu, perangkat lunak sumber terbuka dapat dengan mudah diperiksa kualitas dan keamanannya. Ada alat sumber terbuka komersial dan yang tersedia secara gratis untuk menganalisis kode perangkat lunak untuk mengetahui kerentanan keamanan. Beberapa di antaranya adalah:

Alat-alat ini tersedia secara gratis, dan dapat memindai berbagai bahasa pemrograman. Bogosec (http://bogosec.sourceforge.net/index.html) adalah pembungkus alat-alat ini, dan dapat memprediksi masalah keamanan dalam perangkat lunak. Namun, tanpa kode sumber yang tersedia untuk perangkat lunak cadangan, alat ini tidak berguna.

Dalam hal keamanan informasi, ini adalah masalah yang sangat nyata untuk paket cadangan apa pun. Saat memilih paket cadangan, Anda harus memastikan tidak ada kelemahan keamanan yang diketahui dalam perangkat lunak. Amanda, paket cadangan sumber terbuka terkemuka, telah diuji dengan berbagai alat dan oleh beberapa organisasi. Misalnya, Coverity (http://scan.coverity.com), upaya kolaboratif antara Universitas Stanford dan komunitas open source, menguji kualitas kode Amanda. Ketika bug ditemukan, komunitas Amanda segera memperbaikinya dan mengurangi jumlahnya menjadi nol. Ini sebanding dengan tingkat kerusakan rata-rata 20 hingga 30 bug per 1000 baris kode untuk perangkat lunak komersial, menurut CyLab Sustainable Computing Consortium dari Carnegie Mellon University.

Daftar Periksa Keamanan Cadangan

Apakah ada otentikasi yang kuat dari server cadangan dan klien cadangan?
Apakah ada enkripsi pada klien untuk mengamankan data saat transit?
Apakah ada enkripsi pada server cadangan untuk mengamankan data pada media cadangan, misalnya tape?
Dapatkah Anda memilih di antara metode enkripsi yang berbeda dan memanfaatkan algoritme enkripsi baru?
Apakah ada kontrol akses berbasis peran untuk administrasi, pencadangan, dan pemulihan?
Dapatkah Anda membuka hanya beberapa port (idealnya hanya satu port) untuk backup melalui firewall?
Apakah ada dukungan untuk SELinux?
Apakah Anda memverifikasi keamanan file konfigurasi perangkat lunak cadangan yang menyimpan kata sandi untuk file-, database- dan server aplikasi?
Apakah Anda memverifikasi bahwa US-CERT tidak memiliki peringatan tentang perangkat lunak cadangan Anda?
Apakah ada laporan independen tentang kualitas dan keamanan kode untuk perangkat lunak cadangan Anda?

Kesimpulan

Karena cadangan Anda adalah salinan dari aset digital Anda yang paling berharga, keamanan cadangan menjadi pertimbangan penting. Menerapkan kebijakan cadangan yang benar-benar aman namun layak secara finansial membutuhkan pemahaman menyeluruh tentang trade-off terkait. Namun, organisasi mana pun dapat menemukan kompromi yang wajar untuk menetapkan kebijakan cadangan aman yang mampu dilakukan. Hal penting yang harus diingat adalah keamanan backup bukanlah sebuah proyek, tetapi sebuah proses yang membutuhkan pemantauan dan peningkatan yang konstan.

logo_crn_emerging_vendor
byte-switch-10-penyimpanan teratas
bossie_untuk-www-rumah
bersertifikat keamanan
emas_mysql
logo-amazon-mitra