Di Chander Kant e Dmitri Joukovski

In the last few years there have been many headlines about high-profile incidents of lost or stolen backup tapes. Despite increasing attention to security, backup procedures are often neglected in overall security policies. The main reason for that discrepancy is that, historically, backup and security have had almost opposite goals. Security procedures often require strong access control to user's data. Backup software, however, is optimized to simplify recovery, sometimes to a different platform or different location and often by someone other than the original owner of the data.

Using the example of the most popular software di backup e ripristino open source, Amanda, we will review best practices for ensuring security of backup data. Specifically, we will review the following aspects of backup security:

 

I tuoi sistemi stanno davvero contattando il server di backup corretto?

Most data centers rely on network-based backup. In order to do this securely, there must be a trust relationship established between the backup client (the machine being backed up) and the backup server (the machine doing the backup). Without a verifiable way to establish this trust relationship various "man-in-the-middle" attacks can occur.

Una possibile vulnerabilità è il caso in cui il software di backup consente al client di backup di specificare che qualsiasi server di backup può avviare un backup. A differenza di Amanda, alcuni popolari strumenti di backup closed-source vengono forniti con questa impostazione come impostazione predefinita. A meno che non si sia a conoscenza di questa vulnerabilità e si modifichi l'impostazione predefinita, chiunque abbia un laptop o un computer desktop può installare la versione di prova del pacchetto di backup e avviare il backup di qualsiasi client di backup nella propria organizzazione. Questi backup potrebbero quindi essere facilmente indirizzati al disco di un server di backup non autorizzato.

Una preoccupazione simile esiste nella direzione opposta. Il server di backup fornisce i dati per il ripristino al sistema appropriato? O qualcuno sta forzando un sistema a mascherarsi come client di backup?

Un approccio molto migliore richiede che il software di backup utilizzi un'autenticazione forte sia del client di backup che del server di backup. Ovviamente anche il metodo di autenticazione dovrebbe essere oggetto di esame. Una buona scelta sarebbe un meccanismo basato su chiavi, simile a quello offerto dallo strumento open source openssh (http://www.openssh.com).

Can your backup data be compromised when it travels the network or if your backup tape "falls off the truck"?

Non va bene se il client e il server si autenticano a vicenda, solo per scoprire che qualcuno ha intercettato i dati di backup. Ciò è particolarmente importante se i dati di backup viaggiano su una rete non protetta, ad esempio su Internet da un ufficio regionale alla sede centrale.

Negli ultimi anni si sono verificati eventi ben pubblicizzati in cui le aziende hanno perso traccia dei propri nastri di backup. Spesso questi comportano la perdita di informazioni finanziarie sensibili. In uno di questi incidenti nel 2005, una nota società di multiproprietà ha perso nastri di backup con informazioni finanziarie sensibili per 260.000 dei suoi clienti. Ovviamente il danno potenziale per i clienti era enorme, così come il danno alla multiproprietà e alla sua reputazione.

Il software di backup dovrebbe fornire flessibilità per crittografare i dati in transito prima che vengano inviati via cavo o a riposo quando i dati vengono scritti sul supporto di backup. Dovrebbe utilizzare metodi di crittografia verificabili e disponibili gratuitamente. Dovresti anche avere la possibilità di utilizzare diversi metodi di crittografia e sfruttare i nuovi sviluppi e gli algoritmi di crittografia.

There are hardware-based solutions. Both Network Appliance's Decru division, and Neoscale offer hardware appliances that intercept writes to backup media (tape) and encrypt it on the fly. This has the advantage of speed, but comes at a high infrastructure cost.

Amanda ha la capacità di crittografare i dati sul client, prima della trasmissione al server di backup, o sul server di backup stesso. Sia la crittografia lato client che quella lato server possono utilizzare qualsiasi programma di crittografia che legge dallo standard input e scrive sullo standard output. Ciò include il comando aespipe, che supporta una varietà di routine di crittografia AES. Un altro strumento comunemente usato con il programma di crittografia Amanda è gpg.

Ovviamente, senza una buona gestione delle chiavi, i dati non possono essere recuperati. Amanda non fornisce una soluzione di gestione delle chiavi da sola, ma piuttosto lavora con qualsiasi soluzione di gestione delle chiavi richiesta dalla tua politica IT.

L'apertura e la flessibilità delle opzioni di crittografia consente ad Amanda di adattarsi bene alle politiche e ai processi di sicurezza della maggior parte degli ambienti IT, comprese le organizzazioni con requisiti di sicurezza rigorosi.

Chi ha il controllo sui tuoi backup e ripristini?

Oggigiorno ci sono molte persone che devono partecipare alla configurazione e all'utilizzo del software di backup e ripristino. Nelle aziende più grandi non è insolito che il personale dell'help desk si rivolga a dozzine di persone. Spesso è necessario dare a questo personale una certa autorità sulle operazioni di ripristino dei dati.

It is wise to choose a backup program that lets you delegate authority to individuals, as long as it provides a fine level of granularity. If your backup and recovery system does not have a fine level of granularity then you are exposed to the possibility of recovery abuses. Most backup and recovery packages have the concept of administrators. These administrators often have global privileges and can recover anyone's data. This might include highly sensitive data, such as payroll or financial records.

Amanda Enterprise takes a better approach. It lets you create roles for each operator, limiting what data they have access to. This lets you segregate sensitive data to ensure that only those with an absolute need to recover the data have the ability to do so.

Puoi eseguire il backup attraverso un firewall?

Today's data center environments often include the use of firewalls even internally to protect corporate computers from attack. Your backup server will almost invariably be behind your corporate firewall. The question arises - how do you backup those computers on the other side of a firewall?

Una soluzione è distribuire un secondo server di backup sul lato appropriato del firewall. Tuttavia, questo non è sempre fattibile o desiderabile. Ciò aumenta i problemi di sicurezza, piuttosto che ridurli. Una soluzione migliore è che il client di backup e il software del server utilizzino porte ben definite (ma modificabili) per comunicare. È quindi possibile configurare il firewall per consentire il traffico da indirizzi IP noti attraverso il firewall per consentire il backup e il ripristino del traffico.

Una considerazione su questo approccio è il numero di porte richieste dal software di backup. Il software di backup non dovrebbe utilizzare troppe porte, poiché è già abbastanza difficile aprire una o due porte nel firewall. Alcuni prodotti di backup closed source disponibili in commercio utilizzano dozzine di porte per server di backup.

Amanda ha la capacità di utilizzare alcune porte definite dall'amministratore per il server e il client di backup con cui comunicare. Questa capacità lo rende adatto per il backup attraverso un firewall.

Supporto per sistemi operativi con protezione avanzata come SE Linux

Security-Enhanced Linux (SELinux) è una variante di Linux che implementa una varietà di policy di sicurezza, inclusi i controlli di accesso obbligatori in stile Dipartimento della Difesa degli Stati Uniti, attraverso l'uso di Linux Security Modules (LSM) nel kernel Linux. Da quando Red Hat ha introdotto SELinux con le sue offerte Enterprise, SELinux è ora ampiamente utilizzato in ambienti governativi, militari e spesso commerciali. Oggi non esiste un fornitore di backup closed source che supporti SELinux. Amanda, tuttavia, lavora molto bene con le politiche di SELinux.

Il tuo software di backup è stato scritto pensando alla sicurezza?

Il software di backup dispone di file di configurazione che memorizzano le password e i diritti di controllo dell'accesso non solo per i file server ma anche per i server di applicazioni e database. Assicurati che questi file di configurazione siano leggibili solo dagli utenti autorizzati.

Everyone who uses a closed-source software product can only guess what is inside of it. Since the vendor does not make the code available for inspection it is very difficult to tell if the software is totally secure, or if there are "back doors" coded into the software such as infamous back door discovered in Microsoft IIS servers in 2000.

The United States Computer Emergency Readiness Team (US-CERT) issues the vulnerability alerts for commercial backup software all the time. For example, the Vulnerability Note VU#744137 alerts that in Symantec Veritas NetBackup software the catalog daemon contains a stack-based buffer overflow that could allow a remote attacker to execute arbitrary code on a NetBackup master server.

L'open source, d'altra parte, è quasi impermeabile a questo tipo di problema. Esiste un meccanismo integrato di revisione tra pari del codice che assicura virtualmente che non venga incluso nulla di non necessario. Nessuno sviluppatore Open Source che si rispetti rischierebbe la sua reputazione e la sua carriera mettendo una backdoor in un prodotto open source. Anche se tale porta sul retro fosse inclusa, molto probabilmente sarebbe stata trovata e rimossa rapidamente.

Inoltre, il software open source può essere facilmente ispezionato sia per la qualità che per la sicurezza. Esistono strumenti open source commerciali e disponibili gratuitamente per analizzare il codice del software per le vulnerabilità della sicurezza. Alcuni di questi sono:

Questi strumenti sono disponibili gratuitamente e in grado di eseguire la scansione di una varietà di linguaggi di programmazione. Bogosec (http://bogosec.sourceforge.net/index.html) è un wrapper di questi strumenti e può prevedere i problemi di sicurezza nel software. Tuttavia, senza il codice sorgente disponibile per il software di backup, questi strumenti sono inutili.

When it comes to information security these are very real concerns for any backup package. When selecting a backup package you have to make sure there are no known security flaws in the software. Amanda, the leading open source backup package, has been tested with a variety of tools and by several organizations. For example, Coverity (http://scan.coverity.com), a collaborative effort between Stanford University and the open source community, tested Amanda code quality. When bugs were discovered the Amanda community quickly corrected them and reduced the count to zero. This compares to an average defect rate of 20 to 30 bugs per 1000 lines of code for commercial software, according to Carnegie Mellon University's CyLab Sustainable Computing Consortium.

Elenco di controllo per la sicurezza del backup

Esiste una forte autenticazione del server di backup e dei client di backup?
Esiste la crittografia su un client per proteggere i dati in transito?
Esiste la crittografia su un server di backup per proteggere i dati su un supporto di backup, ad esempio un nastro?
Puoi scegliere tra diversi metodi di crittografia e sfruttare i nuovi algoritmi di crittografia?
Esiste un controllo degli accessi basato sui ruoli per l'amministrazione, il backup e il ripristino?
Riesci ad aprire solo poche porte (idealmente solo una porta) per il backup attraverso un firewall?
C'è il supporto per SELinux?
È stata verificata la sicurezza dei file di configurazione del software di backup che memorizzano le password per i server di file, database e applicazioni?
Hai verificato che US-CERT non abbia avvisi sul tuo software di backup?
Esistono rapporti indipendenti sulla qualità e la sicurezza del codice per il software di backup?

Conclusione

Poiché il backup è una copia delle risorse digitali più preziose, la sicurezza del backup è una considerazione fondamentale. L'implementazione di policy di backup veramente sicure ma economicamente valide richiede una conoscenza approfondita dei compromessi associati. Tuttavia, qualsiasi organizzazione può trovare un compromesso ragionevole per stabilire criteri di backup sicuri che può permettersi. La cosa importante da ricordare è che la sicurezza del backup non è un progetto, ma un processo che richiede monitoraggio e miglioramento costanti.

logo_crn_emerging_vendors
byte-switch-top-10-storage
bossie_for-www-home
certificato di sicurezza
gold_mysql
logo-amazon-partner