Oleh Chander Kant dan Dmitri Joukovski

In the last few years there have been many headlines about high-profile incidents of lost or stolen backup tapes. Despite increasing attention to security, backup procedures are often neglected in overall security policies. The main reason for that discrepancy is that, historically, backup and security have had almost opposite goals. Security procedures often require strong access control to user's data. Backup software, however, is optimized to simplify recovery, sometimes to a different platform or different location and often by someone other than the original owner of the data.

Using the example of the most popular perangkat lunak pencadangan dan pemulihan sumber terbuka, Amanda, we will review best practices for ensuring security of backup data. Specifically, we will review the following aspects of backup security:

 

Apakah sistem Anda benar-benar menghubungi server cadangan yang benar?

Most data centers rely on network-based backup. In order to do this securely, there must be a trust relationship established between the backup client (the machine being backed up) and the backup server (the machine doing the backup). Without a verifiable way to establish this trust relationship various "man-in-the-middle" attacks can occur.

Satu kemungkinan kerentanan adalah kasus di mana perangkat lunak pencadangan memungkinkan klien pencadangan menentukan bahwa server pencadangan apa pun dapat memulai pencadangan. Tidak seperti Amanda, beberapa alat cadangan sumber tertutup yang populer dikirimkan dengan pengaturan ini sebagai default. Kecuali jika Anda mengetahui kerentanan ini dan mengubah pengaturan default, siapa pun yang memiliki laptop atau komputer desktop dapat menginstal versi uji coba paket cadangan dan memulai pencadangan klien cadangan apa pun di organisasi Anda. Cadangan ini kemudian dapat dengan mudah diarahkan ke disk server cadangan penipu.

Kekhawatiran serupa terjadi di arah yang berlawanan. Apakah server cadangan Anda menyediakan data untuk pemulihan ke sistem yang sesuai? Atau seseorang memaksa sistem untuk menyamar sebagai klien cadangan?

Pendekatan yang jauh lebih baik adalah mensyaratkan perangkat lunak cadangan menggunakan otentikasi yang kuat dari klien cadangan dan server cadangan. Tentu saja metode otentikasi juga harus terbuka untuk dicermati. Pilihan yang baik adalah mekanisme berbasis kunci, mirip dengan yang ditawarkan oleh alat open source openssh (http://www.openssh.com).

Can your backup data be compromised when it travels the network or if your backup tape "falls off the truck"?

Tidak ada gunanya jika klien dan server Anda saling mengautentikasi, hanya untuk mengetahui bahwa seseorang telah mencegat data cadangan. Ini sangat penting jika data cadangan Anda dikirim melalui jaringan yang tidak aman, seperti melalui Internet dari kantor regional ke kantor pusat.

Selama beberapa tahun terakhir, ada peristiwa yang dipublikasikan dengan baik di mana perusahaan kehilangan jejak rekaman cadangan mereka. Seringkali ini melibatkan hilangnya informasi keuangan yang sensitif. Dalam satu insiden di tahun 2005, sebuah perusahaan saham-waktu terkenal kehilangan rekaman cadangan dengan informasi keuangan sensitif untuk 260.000 pelanggannya. Jelas potensi kerusakan pada pelanggan sangat besar, begitu pula kerusakan pada perusahaan pembagian waktu dan reputasinya.

Perangkat lunak cadangan Anda harus memberikan fleksibilitas untuk mengenkripsi data saat transit sebelum dikirim melalui kabel, atau diam saat data ditulis ke media cadangan. Ini harus menggunakan metode enkripsi yang tersedia secara bebas dan dapat diverifikasi. Anda juga harus memiliki opsi untuk menggunakan metode enkripsi yang berbeda dan memanfaatkan perkembangan baru dan algoritma enkripsi.

There are hardware-based solutions. Both Network Appliance's Decru division, and Neoscale offer hardware appliances that intercept writes to backup media (tape) and encrypt it on the fly. This has the advantage of speed, but comes at a high infrastructure cost.

Amanda memiliki kemampuan untuk mengenkripsi data baik di klien, sebelum dikirim ke server cadangan, atau di server cadangan itu sendiri. Enkripsi sisi klien dan server dapat menggunakan program enkripsi apa pun yang membaca dari input standar dan menulis ke output standar. Ini termasuk perintah aespipe, yang mendukung berbagai rutinitas enkripsi AES. Alat lain yang umum digunakan dengan program enkripsi Amanda adalah gpg.

Tentu saja, tanpa manajemen kunci yang baik, data tidak dapat dipulihkan. Amanda tidak menyediakan solusi manajemen kunci sendiri, melainkan bekerja dengan solusi manajemen kunci yang diamanatkan oleh kebijakan TI Anda.

Keterbukaan dan fleksibilitas opsi enkripsi memungkinkan Amanda menyesuaikan diri dengan kebijakan dan proses keamanan di sebagian besar lingkungan TI termasuk organisasi dengan persyaratan keamanan yang ketat.

Siapa yang memiliki kendali atas pencadangan dan pemulihan Anda?

Hari-hari ini ada berbagai orang yang harus berpartisipasi dalam mengonfigurasi dan menggunakan perangkat lunak pencadangan dan pemulihan. Di perusahaan yang lebih besar, tidak jarang staf help desk mendekati lusinan individu. Seringkali personel ini perlu diberi wewenang atas operasi pemulihan data.

It is wise to choose a backup program that lets you delegate authority to individuals, as long as it provides a fine level of granularity. If your backup and recovery system does not have a fine level of granularity then you are exposed to the possibility of recovery abuses. Most backup and recovery packages have the concept of administrators. These administrators often have global privileges and can recover anyone's data. This might include highly sensitive data, such as payroll or financial records.

Amanda Enterprise takes a better approach. It lets you create roles for each operator, limiting what data they have access to. This lets you segregate sensitive data to ensure that only those with an absolute need to recover the data have the ability to do so.

Bisakah Anda membuat cadangan melalui firewall?

Today's data center environments often include the use of firewalls even internally to protect corporate computers from attack. Your backup server will almost invariably be behind your corporate firewall. The question arises - how do you backup those computers on the other side of a firewall?

Salah satu solusinya adalah menggunakan server cadangan kedua di sisi yang sesuai dari firewall. Namun, ini tidak selalu layak atau diinginkan. Ini meningkatkan masalah keamanan, daripada menguranginya. Solusi yang lebih baik adalah klien cadangan dan perangkat lunak server Anda menggunakan port yang terdefinisi dengan baik (tetapi dapat diubah) untuk berkomunikasi. Anda kemudian dapat mengkonfigurasi firewall Anda untuk mengizinkan lalu lintas dari alamat IP yang dikenal melalui firewall untuk memungkinkan pencadangan dan pemulihan lalu lintas.

Pertimbangan tentang pendekatan ini adalah jumlah port yang dibutuhkan perangkat lunak cadangan. Perangkat lunak cadangan Anda tidak boleh menggunakan terlalu banyak port, karena cukup sulit untuk membuka satu atau dua port di firewall Anda. Beberapa produk cadangan sumber tertutup yang tersedia secara komersial menggunakan lusinan port per server cadangan.

Amanda memiliki kemampuan untuk menggunakan beberapa port yang ditentukan administrator untuk server cadangan dan klien untuk berkomunikasi. Kemampuan ini membuatnya cocok untuk melakukan backup melalui firewall.

Dukungan untuk Sistem Operasi yang Ditingkatkan Keamanan seperti SE Linux

Linux yang Ditingkatkan Keamanan (SELinux) adalah varian Linux yang menerapkan berbagai kebijakan keamanan, termasuk kontrol akses wajib gaya Departemen Pertahanan AS, melalui penggunaan Modul Keamanan Linux (LSM) di kernel Linux. Sejak Red Hat memperkenalkan SELinux dengan penawaran Enterprise-nya, SELinux sekarang banyak digunakan di lingkungan pemerintahan, militer, dan seringkali komersial. Saat ini tidak ada vendor backup sumber tertutup yang mendukung SELinux. Amanda, bagaimanapun, bekerja dengan kebijakan SELinux dengan sangat baik.

Apakah perangkat lunak cadangan Anda dibuat dengan mempertimbangkan keamanan?

Perangkat lunak cadangan memiliki file konfigurasi yang menyimpan kata sandi dan hak kontrol akses tidak hanya untuk server file tetapi juga untuk aplikasi dan server basis data. Pastikan file konfigurasi ini hanya dapat dibaca oleh pengguna yang berwenang.

Everyone who uses a closed-source software product can only guess what is inside of it. Since the vendor does not make the code available for inspection it is very difficult to tell if the software is totally secure, or if there are "back doors" coded into the software such as infamous back door discovered in Microsoft IIS servers in 2000.

The United States Computer Emergency Readiness Team (US-CERT) issues the vulnerability alerts for commercial backup software all the time. For example, the Vulnerability Note VU#744137 alerts that in Symantec Veritas NetBackup software the catalog daemon contains a stack-based buffer overflow that could allow a remote attacker to execute arbitrary code on a NetBackup master server.

Open source, di sisi lain, hampir kebal terhadap masalah seperti ini. Ada mekanisme peer review kode bawaan yang secara virtual memastikan bahwa tidak ada yang tidak perlu disertakan. Tidak ada pengembang Open Source yang menghargai diri sendiri yang akan mempertaruhkan reputasi dan kariernya dengan menutup pintu belakang produk open source. Bahkan jika pintu belakang seperti itu dimasukkan, kemungkinan besar akan segera ditemukan dan dilepas.

Selain itu, perangkat lunak sumber terbuka dapat dengan mudah diperiksa kualitas dan keamanannya. Ada alat sumber terbuka komersial dan yang tersedia secara gratis untuk menganalisis kode perangkat lunak untuk mengetahui kerentanan keamanan. Beberapa di antaranya adalah:

Alat-alat ini tersedia secara gratis, dan dapat memindai berbagai bahasa pemrograman. Bogosec (http://bogosec.sourceforge.net/index.html) adalah pembungkus alat-alat ini, dan dapat memprediksi masalah keamanan dalam perangkat lunak. Namun, tanpa kode sumber yang tersedia untuk perangkat lunak cadangan, alat ini tidak berguna.

When it comes to information security these are very real concerns for any backup package. When selecting a backup package you have to make sure there are no known security flaws in the software. Amanda, the leading open source backup package, has been tested with a variety of tools and by several organizations. For example, Coverity (http://scan.coverity.com), a collaborative effort between Stanford University and the open source community, tested Amanda code quality. When bugs were discovered the Amanda community quickly corrected them and reduced the count to zero. This compares to an average defect rate of 20 to 30 bugs per 1000 lines of code for commercial software, according to Carnegie Mellon University's CyLab Sustainable Computing Consortium.

Daftar Periksa Keamanan Cadangan

Apakah ada otentikasi yang kuat dari server cadangan dan klien cadangan?
Apakah ada enkripsi pada klien untuk mengamankan data saat transit?
Apakah ada enkripsi pada server cadangan untuk mengamankan data pada media cadangan, misalnya tape?
Dapatkah Anda memilih di antara metode enkripsi yang berbeda dan memanfaatkan algoritme enkripsi baru?
Apakah ada kontrol akses berbasis peran untuk administrasi, pencadangan, dan pemulihan?
Dapatkah Anda membuka hanya beberapa port (idealnya hanya satu port) untuk backup melalui firewall?
Apakah ada dukungan untuk SELinux?
Apakah Anda memverifikasi keamanan file konfigurasi perangkat lunak cadangan yang menyimpan kata sandi untuk file-, database- dan server aplikasi?
Apakah Anda memverifikasi bahwa US-CERT tidak memiliki peringatan tentang perangkat lunak cadangan Anda?
Apakah ada laporan independen tentang kualitas dan keamanan kode untuk perangkat lunak cadangan Anda?

Kesimpulan

Karena cadangan Anda adalah salinan dari aset digital Anda yang paling berharga, keamanan cadangan menjadi pertimbangan penting. Menerapkan kebijakan cadangan yang benar-benar aman namun layak secara finansial membutuhkan pemahaman menyeluruh tentang trade-off terkait. Namun, organisasi mana pun dapat menemukan kompromi yang wajar untuk menetapkan kebijakan cadangan aman yang dapat dilakukan. Hal penting yang harus diingat adalah keamanan backup bukanlah sebuah proyek, tetapi sebuah proses yang membutuhkan pemantauan dan peningkatan yang konstan.

logo_crn_emerging_vendors
byte-switch-top-10-storage
bossie_for-www-home
bersertifikat keamanan
gold_mysql
logo-amazon-partner