Chander KantおよびDmitri Joukovski著

In the last few years there have been many headlines about high-profile incidents of lost or stolen backup tapes. Despite increasing attention to security, backup procedures are often neglected in overall security policies. The main reason for that discrepancy is that, historically, backup and security have had almost opposite goals. Security procedures often require strong access control to user's data. Backup software, however, is optimized to simplify recovery, sometimes to a different platform or different location and often by someone other than the original owner of the data.

Using the example of the most popular オープンソースのバックアップおよびリカバリソフトウェア, Amanda, we will review best practices for ensuring security of backup data. Specifically, we will review the following aspects of backup security:

 

システムは本当に正しいバックアップサーバーに接続していますか?

Most data centers rely on network-based backup. In order to do this securely, there must be a trust relationship established between the backup client (the machine being backed up) and the backup server (the machine doing the backup). Without a verifiable way to establish this trust relationship various "man-in-the-middle" attacks can occur.

考えられる脆弱性の1つは、バックアップソフトウェアが、バックアップクライアントが任意のバックアップサーバーがバックアップを開始できることを指定できる場合です。 Amandaとは異なり、一部の一般的なクローズドソースバックアップツールには、この設定がデフォルトで付属しています。この脆弱性を認識してデフォルト設定を変更しない限り、ラップトップまたはデスクトップコンピューターを持っている人は誰でもバックアップパッケージの試用版をインストールして、組織内のバックアップクライアントのバックアップを開始できます。これらのバックアップは、簡単に不正なバックアップサーバーのディスクに送られる可能性があります。

同様の懸念が反対方向にも存在します。バックアップサーバーは、適切なシステムにリカバリするためのデータを提供していますか?または、誰かにシステムをバックアップクライアントに見せかけることを強制していますか?

より優れたアプローチは、バックアップソフトウェアがバックアップクライアントとバックアップサーバーの両方の強力な認証を使用することを要求することです。もちろん、認証方法も精査する必要があります。オープンソースツールopenssh(http://www.openssh.com)が提供するものと同様の、鍵ベースのメカニズムが適切です。

Can your backup data be compromised when it travels the network or if your backup tape "falls off the truck"?

クライアントとサーバーが相互に認証する場合は、誰かがバックアップデータを傍受したことを確認するだけでよいのではありません。これは、バックアップデータがインターネットなどの安全でないネットワークを経由して支社から本社に移動する場合に特に重要です。

過去数年にわたって、企業がバックアップテープを見失う行方がよく知られているイベントがありました。多くの場合、これらには機密の財務情報の損失が含まれます。 2005年に起こったそのような事件の1つでは、有名なタイムシェア企業が、26万人の顧客の機密財務情報が含まれたバックアップテープを紛失しました。明らかに、顧客への潜在的な損害は非常に大きく、タイムシェアリング会社とその評判への損害も大きかった。

バックアップソフトウェアは、転送中のデータを暗号化してネットワークに送信する前、またはデータがバックアップメディアに書き込まれるときの静止時に、柔軟性を提供する必要があります。自由に利用できる検証可能な暗号化方法を使用する必要があります。また、異なる暗号化方法を使用し、新しい開発と暗号化アルゴリズムを利用するオプションも必要です。

There are hardware-based solutions. Both Network Appliance's Decru division, and Neoscale offer hardware appliances that intercept writes to backup media (tape) and encrypt it on the fly. This has the advantage of speed, but comes at a high infrastructure cost.

アマンダには、バックアップサーバーに送信する前にクライアント上で、またはバックアップサーバー自体でデータを暗号化する機能があります。クライアント側とサーバー側のどちらの暗号化でも、標準入力から読み取り、標準出力に書き込む任意の暗号化プログラムを使用できます。これには、さまざまなAES暗号化ルーチンをサポートするaespipeコマンドが含まれます。 Amanda暗号化プログラムで一般的に使用されるもう1つのツールはgpgです。

もちろん、適切なキー管理がなければ、データを回復することはできません。 Amandaはそれ自体でキー管理ソリューションを提供するのではなく、ITポリシーで義務付けられているキー管理ソリューションと連携します。

暗号化オプションの開放性と柔軟性により、Amandaは、厳しいセキュリティ要件を持つ組織を含むほとんどのIT環境のセキュリティポリシーとプロセスにうまく適合できます。

バックアップとリカバリを管理するのは誰ですか?

最近では、バックアップおよびリカバリソフトウェアの構成と使用に参加する必要があるさまざまな人々がいます。大企業では、ヘルプデスクのスタッフが数十人にアプローチすることも珍しくありません。多くの場合、これらの担当者には、データ回復操作に対する何らかの権限を与える必要があります。

It is wise to choose a backup program that lets you delegate authority to individuals, as long as it provides a fine level of granularity. If your backup and recovery system does not have a fine level of granularity then you are exposed to the possibility of recovery abuses. Most backup and recovery packages have the concept of administrators. These administrators often have global privileges and can recover anyone's data. This might include highly sensitive data, such as payroll or financial records.

アマンダエンタープライズ takes a better approach. It lets you create roles for each operator, limiting what data they have access to. This lets you segregate sensitive data to ensure that only those with an absolute need to recover the data have the ability to do so.

ファイアウォールを介してバックアップできますか?

Today's data center environments often include the use of firewalls even internally to protect corporate computers from attack. Your backup server will almost invariably be behind your corporate firewall. The question arises - how do you backup those computers on the other side of a firewall?

1つの解決策は、ファイアウォールの適切な側に2番目のバックアップサーバーを配置することです。ただし、これは常に実現可能または望ましいとは限りません。これにより、セキュリティ上の懸念が軽減されるのではなく、増大します。より良いソリューションは、バックアップクライアントとサーバーソフトウェアが明確に定義された(ただし変更可能な)ポートを使用して通信することです。次に、ファイアウォールを設定して、既知のIPアドレスからのトラフィックがファイアウォールを通過できるようにして、バックアップと復元のトラフィックが通過できるようにします。

このアプローチに関する考慮事項は、バックアップソフトウェアが必要とするポートの数です。ファイアウォールで1つまたは2つのポートを開くことは困難であるため、バックアップソフトウェアはあまり多くのポートを使用しないでください。一部の市販のクローズドソースバックアップ製品は、バックアップサーバーごとに数十のポートを使用します。

Amandaには、バックアップサーバーとクライアントが通信するためにいくつかの管理者定義のポートを使用する機能があります。この機能により、ファイアウォールを介したバックアップに最適です。

SE Linuxなどのセキュリティが強化されたオペレーティングシステムのサポート

Security-Enhanced Linux(SELinux)はLinuxバリアントであり、LinuxカーネルでLinux Security Modules(LSM)を使用して、米国国防総省スタイルの必須アクセス制御を含むさまざまなセキュリティポリシーを実装しています。 Red Hatがエンタープライズ製品とともにSELinuxを導入して以来、SELinuxは現在、政府、軍事、そしてしばしば商業環境で広く使用されています。現在、SELinuxをサポートするクローズドソースバックアップベンダーはありません。ただし、AmandaはSELinuxポリシーで非常にうまく機能します。

バックアップソフトウェアはセキュリティを考慮して作成されていますか?

バックアップソフトウェアには、ファイルサーバーだけでなくアプリケーションサーバーやデータベースサーバーのパスワードとアクセス制御権を格納する構成ファイルがあります。これらの構成ファイルは、許可されたユーザーのみが読み取り可能であることを確認してください。

Everyone who uses a closed-source software product can only guess what is inside of it. Since the vendor does not make the code available for inspection it is very difficult to tell if the software is totally secure, or if there are "back doors" coded into the software such as infamous back door discovered in Microsoft IIS servers in 2000.

The United States Computer Emergency Readiness Team (US-CERT) issues the vulnerability alerts for commercial backup software all the time. For example, the Vulnerability Note VU#744137 alerts that in Symantec Veritas NetBackup software the catalog daemon contains a stack-based buffer overflow that could allow a remote attacker to execute arbitrary code on a NetBackup master server.

一方、オープンソースは、この種の問題にほとんど影響されません。不要なものが何も含まれていないことを事実上保証する、コードのピアレビューの組み込みメカニズムがあります。自尊心のあるオープンソース開発者は、オープンソース製品に裏口を開くことで彼の評判とキャリアを危険にさらすことはありません。このようなバックドアが含まれていたとしても、ほとんどの場合、すぐに発見されて削除されます。

さらに、オープンソースソフトウェアは、品質とセキュリティの両方について簡単に検査できます。ソフトウェアコードを分析してセキュリティの脆弱性を分析するための、オープンソースツールと商用ツールの両方が無料で入手できます。これらのいくつかは:

これらのツールは無料で利用でき、さまざまなプログラミング言語をスキャンできます。 Bogosec(http://bogosec.sourceforge.net/index.html)は、これらのツールのラッパーであり、ソフトウェアのセキュリティ問題を予測できます。ただし、バックアップソフトウェアのソースコードがないと、これらのツールは役に立ちません。

When it comes to information security these are very real concerns for any backup package. When selecting a backup package you have to make sure there are no known security flaws in the software. Amanda, the leading open source backup package, has been tested with a variety of tools and by several organizations. For example, Coverity (http://scan.coverity.com), a collaborative effort between Stanford University and the open source community, tested Amanda code quality. When bugs were discovered the Amanda community quickly corrected them and reduced the count to zero. This compares to an average defect rate of 20 to 30 bugs per 1000 lines of code for commercial software, according to Carnegie Mellon University's CyLab Sustainable Computing Consortium.

バックアップセキュリティチェックリスト

バックアップサーバーとバックアップクライアントの強力な認証はありますか?
転送中のデータを保護するためにクライアントに暗号化はありますか?
テープなどのバックアップメディア上のデータを保護するために、バックアップサーバーに暗号化がありますか?
異なる暗号化方法から選択して、新しい暗号化アルゴリズムを利用できますか?
管理、バックアップ、リカバリのための役割ベースのアクセス制御はありますか?
ファイアウォール経由でバックアップするためにいくつかのポート(理想的には1つのポートのみ)を開くことができますか?
SELinuxのサポートはありますか?
ファイルサーバー、データベースサーバー、およびアプリケーションサーバーのパスワードを格納するバックアップソフトウェア構成ファイルのセキュリティを確認しましたか?
US-CERTにバックアップソフトウェアに関するアラートがないことを確認しましたか?
バックアップソフトウェアのコードの品質とセキュリティに関する独立したレポートはありますか?

結論

バックアップは最も価値のあるデジタル資産のコピーであるため、バックアップのセキュリティは重要な考慮事項です。真に安全でありながら経済的に実行可能なバックアップポリシーを実装するには、関連するトレードオフを完全に理解する必要があります。ただし、どの組織でも、妥当な妥協点を見つけて、余裕のある安全なバックアップポリシーを確立できます。覚えておくべき重要なことは、バックアップのセキュリティはプロジェクトではなく、継続的な監視と改善を必要とするプロセスであることです。

logo_crn_emerging_vendors
バイトスイッチトップ10ストレージ
bossie_for-www-home
セキュリティ認定
gold_mysql
ロゴアマゾンパートナー