Backup e ripristino sicuri: best practice
Di Chander Kant e Dmitri Joukovski
Negli ultimi anni ci sono stati molti titoli su episodi di alto profilo di nastri di backup persi o rubati. Nonostante la crescente attenzione alla sicurezza, le procedure di backup sono spesso trascurate nelle politiche di sicurezza generali. La ragione principale di questa discrepanza è che, storicamente, backup e sicurezza hanno avuto obiettivi quasi opposti. Le procedure di sicurezza spesso richiedono un forte controllo dell'accesso ai dati dell'utente. Il software di backup, tuttavia, è ottimizzato per semplificare il ripristino, a volte su una piattaforma diversa o su una posizione diversa e spesso da qualcuno diverso dal proprietario originale dei dati.
Utilizzando l'esempio del più popolare software di backup e ripristino open source, Amanda, esamineremo le migliori pratiche per garantire la sicurezza dei dati di backup. Nello specifico, esamineremo i seguenti aspetti della sicurezza del backup:
- Autenticazione degli utenti e dei client di backup sul server di backup.
- Elenchi di controllo degli accessi basati sui ruoli per tutte le operazioni di backup e ripristino.
- Opzioni di crittografia dei dati sia per la trasmissione che per l'archiviazione.
- Flessibilità nella scelta degli algoritmi di crittografia e autenticazione, ad esempio aespipe o gpg.
- Backup dei client remoti in una posizione centralizzata dietro i firewall.
- Backup e ripristino di client che eseguono Security-Enhanced Linux (SELinux).
- Utilizzo delle migliori pratiche per scrivere software sicuro
I tuoi sistemi stanno davvero contattando il server di backup corretto?
La maggior parte dei data center si basa sul backup basato sulla rete. Per fare ciò in modo sicuro, deve essere stabilita una relazione di fiducia tra il client di backup (la macchina di cui viene eseguito il backup) e il server di backup (la macchina che esegue il backup). Senza un modo verificabile per stabilire questa relazione di fiducia possono verificarsi vari attacchi "man-in-the-middle".
Una possibile vulnerabilità è il caso in cui il software di backup consente al client di backup di specificare che qualsiasi server di backup può avviare un backup. A differenza di Amanda, alcuni popolari strumenti di backup closed-source vengono forniti con questa impostazione come impostazione predefinita. A meno che non si sia a conoscenza di questa vulnerabilità e si modifichi l'impostazione predefinita, chiunque abbia un laptop o un computer desktop può installare la versione di prova del pacchetto di backup e avviare il backup di qualsiasi client di backup nella propria organizzazione. Questi backup potrebbero quindi essere facilmente indirizzati al disco di un server di backup non autorizzato.
Una preoccupazione simile esiste nella direzione opposta. Il tuo server di backup fornisce i dati per il ripristino al sistema appropriato? O qualcuno sta forzando un sistema a mascherarsi da client di backup?
Un approccio molto migliore richiede che il software di backup utilizzi una forte autenticazione sia del client di backup che del server di backup. Ovviamente anche il metodo di autenticazione dovrebbe essere esaminato. Una buona scelta sarebbe un meccanismo basato su chiavi, simile a quello offerto dallo strumento open source openssh (http://www.openssh.com).
I dati di backup possono essere compromessi quando viaggiano sulla rete o se il nastro di backup "cade dal camion"?
Non va bene se il client e il server si autenticano a vicenda, solo per scoprire che qualcuno ha intercettato i dati di backup. Ciò è particolarmente importante se i dati di backup viaggiano su una rete non protetta, ad esempio su Internet da un ufficio regionale alla sede centrale.
Negli ultimi anni ci sono stati eventi ben pubblicizzati in cui le aziende hanno perso traccia dei loro nastri di backup. Spesso questi comportano la perdita di informazioni finanziarie sensibili. In uno di questi incidenti nel 2005, una nota società di multiproprietà ha perso nastri di backup con informazioni finanziarie sensibili per 260,000 dei suoi clienti. Ovviamente il danno potenziale per i clienti era enorme, così come il danno alla multiproprietà e alla sua reputazione.
Il software di backup dovrebbe fornire flessibilità per crittografare i dati in transito prima che vengano inviati via cavo o inattivi quando i dati vengono scritti sul supporto di backup. Dovrebbe utilizzare metodi di crittografia verificabili e disponibili gratuitamente. Dovresti anche avere la possibilità di utilizzare diversi metodi di crittografia e sfruttare i nuovi sviluppi e algoritmi di crittografia.
Esistono soluzioni basate su hardware. Sia la divisione Decru di Network Appliance che Neoscale offrono dispositivi hardware che intercettano le scritture sui supporti di backup (nastro) e le crittografano al volo. Questo ha il vantaggio della velocità, ma ha un costo di infrastruttura elevato.
Amanda ha la capacità di crittografare i dati sul client, prima della trasmissione al server di backup, o sul server di backup stesso. Sia la crittografia lato client che quella lato server possono utilizzare qualsiasi programma di crittografia che legge dallo standard input e scrive sullo standard output. Ciò include il comando aespipe, che supporta una varietà di routine di crittografia AES. Un altro strumento comunemente usato con il programma di crittografia Amanda è gpg.
Ovviamente, senza una buona gestione delle chiavi, i dati non possono essere recuperati. Amanda non fornisce una soluzione di gestione delle chiavi da sola, ma piuttosto lavora con qualsiasi soluzione di gestione delle chiavi richiesta dalla tua politica IT.
L'apertura e la flessibilità delle opzioni di crittografia consente ad Amanda di adattarsi bene alle politiche e ai processi di sicurezza della maggior parte degli ambienti IT, comprese le organizzazioni con requisiti di sicurezza rigorosi.
Chi ha il controllo sui tuoi backup e ripristini?
Oggigiorno ci sono molte persone che devono partecipare alla configurazione e all'utilizzo del software di backup e ripristino. Nelle aziende più grandi non è insolito che il personale dell'help desk si rivolga a dozzine di individui. Spesso è necessario conferire a questo personale una certa autorità sulle operazioni di ripristino dei dati.
È saggio scegliere un programma di backup che consenta di delegare l'autorità alle persone, purché fornisca un livello elevato di granularità. Se il tuo sistema di backup e ripristino non ha un livello di granularità elevato, sei esposto alla possibilità di abusi di ripristino. La maggior parte dei pacchetti di backup e ripristino ha il concetto di amministratori. Questi amministratori hanno spesso privilegi globali e possono recuperare i dati di chiunque. Ciò potrebbe includere dati altamente sensibili, come le buste paga o i registri finanziari.
Amanda impresa ha un approccio migliore. Ti consente di creare ruoli per ogni operatore, limitando i dati a cui hanno accesso. Ciò consente di separare i dati sensibili per garantire che solo coloro che hanno una necessità assoluta di recuperare i dati abbiano la possibilità di farlo.
Puoi eseguire il backup attraverso un firewall?
Gli ambienti dei data center odierni spesso includono l'uso di firewall anche internamente per proteggere i computer aziendali dagli attacchi. Il tuo server di backup sarà quasi invariabilmente dietro il tuo firewall aziendale. La domanda sorge spontanea: come si esegue il backup di quei computer sull'altro lato di un firewall?
Una soluzione è distribuire un secondo server di backup sul lato appropriato del firewall. Tuttavia, questo non è sempre fattibile o desiderabile. Ciò aumenta i problemi di sicurezza, piuttosto che ridurli. Una soluzione migliore è che il client di backup e il software del server utilizzino porte ben definite (ma modificabili) per comunicare. È quindi possibile configurare il firewall per consentire il traffico da indirizzi IP noti attraverso il firewall per consentire il backup e il ripristino del traffico.
Una considerazione su questo approccio è il numero di porte richieste dal software di backup. Il software di backup non dovrebbe utilizzare troppe porte, poiché è abbastanza difficile aprire una o due porte nel firewall. Alcuni prodotti di backup closed source disponibili in commercio utilizzano dozzine di porte per server di backup.
Amanda ha la capacità di utilizzare alcune porte definite dall'amministratore per il server e il client di backup con cui comunicare. Questa capacità lo rende adatto per il backup attraverso un firewall.
Supporto per sistemi operativi con protezione avanzata come SE Linux
Security-Enhanced Linux (SELinux) è una variante di Linux che implementa una varietà di politiche di sicurezza, inclusi i controlli di accesso obbligatori in stile Dipartimento della Difesa degli Stati Uniti, attraverso l'uso di Linux Security Modules (LSM) nel kernel Linux. Da quando Red Hat ha introdotto SELinux con le sue offerte Enterprise, SELinux è ora ampiamente utilizzato in ambienti governativi, militari e spesso commerciali. Oggi non esiste un fornitore di backup closed source che supporti SELinux. Amanda, tuttavia, lavora molto bene con le politiche di SELinux.
Il tuo software di backup è stato scritto pensando alla sicurezza?
Il software di backup dispone di file di configurazione che memorizzano le password e i diritti di controllo dell'accesso non solo per i file server, ma anche per i server di applicazioni e database. Assicurati che questi file di configurazione siano leggibili solo dagli utenti autorizzati.
Chiunque utilizzi un prodotto software closed-source può solo indovinare cosa c'è al suo interno. Poiché il fornitore non rende il codice disponibile per l'ispezione, è molto difficile dire se il software è totalmente sicuro o se ci sono "backdoor" codificate nel software come la famigerata backdoor scoperta nei server Microsoft IIS nel 2000.
Il Computer Emergency Readiness Team (US-CERT) degli Stati Uniti emette continuamente avvisi di vulnerabilità per il software di backup commerciale. Ad esempio, la nota sulla vulnerabilità VU # 744137 avvisa che in Symantec Veritas NetBackup software il daemon del catalogo contiene un buffer overflow basato sullo stack che potrebbe consentire a un utente malintenzionato remoto di eseguire codice arbitrario su un server principale NetBackup.
L'open source, d'altra parte, è quasi impermeabile a questo tipo di problema. Esiste un meccanismo integrato di revisione tra pari del codice che assicura virtualmente che non venga incluso nulla di superfluo. Nessuno sviluppatore Open Source che si rispetti rischierebbe la sua reputazione e la sua carriera mettendo una backdoor in un prodotto open source. Anche se una tale porta sul retro fosse inclusa, molto probabilmente sarebbe stata trovata e rimossa rapidamente.
Inoltre, il software open source può essere facilmente ispezionato sia per la qualità che per la sicurezza. Esistono strumenti open source commerciali e disponibili gratuitamente per l'analisi del codice software per le vulnerabilità della sicurezza. Alcuni di questi sono:
Questi strumenti sono disponibili gratuitamente e in grado di eseguire la scansione di una varietà di linguaggi di programmazione. Bogosec (http://bogosec.sourceforge.net/index.html) è un wrapper di questi strumenti e può prevedere i problemi di sicurezza nel software. Tuttavia, senza il codice sorgente disponibile per il software di backup, questi strumenti sono inutili.
Quando si tratta di sicurezza delle informazioni, queste sono preoccupazioni molto reali per qualsiasi pacchetto di backup. Quando si seleziona un pacchetto di backup è necessario assicurarsi che non siano presenti falle di sicurezza note nel software. Amanda, il principale pacchetto di backup open source, è stato testato con una varietà di strumenti e da diverse organizzazioni. Ad esempio, Coverity (http://scan.coverity.com), uno sforzo di collaborazione tra la Stanford University e la comunità open source, ha testato la qualità del codice Amanda. Quando sono stati scoperti bug, la comunità di Amanda li ha corretti rapidamente e ha ridotto il conteggio a zero. Secondo il CyLab Sustainable Computing Consortium della Carnegie Mellon University, questo è paragonabile a un tasso medio di difetti compreso tra 20 e 30 bug per 1000 righe di codice per il software commerciale.
Elenco di controllo per la sicurezza del backup
| Esiste una forte autenticazione del server di backup e dei client di backup? | ||
| Esiste la crittografia su un client per proteggere i dati in transito? | ||
| Esiste la crittografia su un server di backup per proteggere i dati su un supporto di backup, ad esempio un nastro? | ||
| Puoi scegliere tra diversi metodi di crittografia e sfruttare i nuovi algoritmi di crittografia? | ||
| Esiste un controllo degli accessi basato sui ruoli per l'amministrazione, il backup e il ripristino? | ||
| Puoi aprire solo poche porte (idealmente solo una porta) per il backup attraverso un firewall? | ||
| Esiste il supporto per SELinux? | ||
| È stata verificata la sicurezza dei file di configurazione del software di backup che memorizzano le password per i server di file, database e applicazioni? | ||
| Hai verificato che US-CERT non abbia avvisi sul tuo software di backup? | ||
| Esistono rapporti indipendenti sulla qualità e la sicurezza del codice per il software di backup? |
Conclusione
Poiché il backup è una copia delle risorse digitali più preziose, la sicurezza del backup è una considerazione fondamentale. L'implementazione di policy di backup veramente sicure ma economicamente sostenibili richiede una conoscenza approfondita dei compromessi associati. Tuttavia, qualsiasi organizzazione può trovare un ragionevole compromesso per stabilire criteri di backup sicuri che può permettersi. La cosa importante da ricordare è che la sicurezza del backup non è un progetto, ma un processo che richiede monitoraggio e miglioramento costanti.
