安全なバックアップとリカバリ–ベストプラクティス

チャンダー・カントとドミトリ・ジュコフスキー

過去数年間で、バックアップテープの紛失または盗難の注目を集める事件について多くの見出しがありました。 セキュリティへの関心が高まっているにもかかわらず、バックアップ手順は全体的なセキュリティポリシーで無視されることがよくあります。 その不一致の主な理由は、歴史的に、バックアップとセキュリティがほぼ反対の目標を持っていたということです。 多くの場合、セキュリティ手順では、ユーザーのデータへの強力なアクセス制御が必要です。 ただし、バックアップソフトウェアは、場合によっては別のプラットフォームまたは別の場所に、多くの場合はデータの元の所有者以外の誰かによって、リカバリを簡素化するように最適化されています。

最も人気のある例を使用して オープンソースのバックアップおよびリカバリソフトウェア、アマンダ、バックアップデータのセキュリティを確保するためのベストプラクティスを確認します。 具体的には、バックアップセキュリティの次の側面を確認します。

システムは本当に正しいバックアップサーバーに接続していますか？

ほとんどのデータセンターは、ネットワークベースのバックアップに依存しています。 これを安全に行うには、バックアップクライアント（バックアップ対象のマシン）とバックアップサーバー（バックアップを実行するマシン）の間に信頼関係が確立されている必要があります。 この信頼関係を確立するための検証可能な方法がないと、さまざまな「中間者」攻撃が発生する可能性があります。

考えられる脆弱性のXNUMXつは、バックアップソフトウェアにより、バックアップクライアントが任意のバックアップサーバーがバックアップを開始できることを指定できる場合です。 Amandaとは異なり、いくつかの人気のあるクローズドソースバックアップツールは、デフォルトとしてこの設定で出荷されます。 この脆弱性を認識してデフォルト設定を変更しない限り、ラップトップまたはデスクトップコンピューターを持っている人は誰でも、バックアップパッケージの試用版をインストールして、組織内の任意のバックアップクライアントのバックアップを開始できます。 これらのバックアップは、不正なバックアップサーバーのディスクに簡単に送信できます。

同様の懸念が反対方向にも存在します。 バックアップサーバーは、適切なシステムにリカバリするためのデータを提供していますか？ または、誰かがシステムにバックアップクライアントになりすますことを強制していますか？

より良いアプローチは、バックアップソフトウェアがバックアップクライアントとバックアップサーバーの両方の強力な認証を使用することを要求することです。 もちろん、認証の方法も精査されるべきです。 良い選択は、オープンソースツールopenssh（http://www.openssh.com）によって提供されるものと同様のキーベースのメカニズムです。

バックアップデータがネットワークを移動するとき、またはバックアップテープが「トラックから落ちる」場合、バックアップデータが危険にさらされる可能性がありますか？

クライアントとサーバーが相互に認証し、誰かがバックアップデータを傍受したことを確認するだけでは役に立ちません。 これは、バックアップデータが、インターネットを介して地域のオフィスから本社に移動するなど、セキュリティで保護されていないネットワークを介して移動する場合に特に重要です。

過去数年にわたって、企業がバックアップテープを見失うというよく知られたイベントがありました。 多くの場合、これらには機密性の高い財務情報の損失が伴います。 2005年のそのような事件の260,000つでは、有名なタイムシェア会社がXNUMX万人の顧客の機密財務情報を含むバックアップテープを紛失しました。 明らかに、顧客への潜在的な損害は、タイムシェア会社とその評判への損害と同様に、甚大でした。

バックアップソフトウェアは、データが有線で送信される前、またはデータがバックアップメディアに書き込まれるときに保存されているデータを、転送中に暗号化する柔軟性を提供する必要があります。 自由に利用できる検証可能な暗号化方法を使用する必要があります。 また、さまざまな暗号化方法を使用して、新しい開発と暗号化アルゴリズムを利用するオプションも必要です。

ハードウェアベースのソリューションがあります。 Network ApplianceのDecru部門とNeoscaleはどちらも、バックアップメディア（テープ）への書き込みを傍受してオンザフライで暗号化するハードウェアアプライアンスを提供しています。 これには速度の利点がありますが、インフラストラクチャのコストが高くなります。

Amandaには、バックアップサーバーに送信する前に、クライアント上で、またはバックアップサーバー自体でデータを暗号化する機能があります。 クライアント側とサーバー側の両方の暗号化では、標準入力から読み取り、標準出力に書き込む任意の暗号化プログラムを使用できます。 これには、さまざまなAES暗号化ルーチンをサポートするaespipeコマンドが含まれます。 Amanda暗号化プログラムで一般的に使用されるもうXNUMXつのツールはgpgです。

もちろん、適切な鍵管理がなければ、データを回復することはできません。 Amandaは、それ自体で鍵管理ソリューションを提供するのではなく、ITポリシーで義務付けられている鍵管理ソリューションと連携します。

暗号化オプションのオープン性と柔軟性により、Amandaは、厳格なセキュリティ要件を持つ組織を含むほとんどのIT環境のセキュリティポリシーとプロセスにうまく適合できます。

バックアップとリカバリを制御できるのは誰ですか？

最近では、バックアップおよびリカバリソフトウェアの構成と使用に参加しなければならないさまざまな人々がいます。 大企業では、ヘルプデスクのスタッフが数十人の個人にアプローチすることは珍しくありません。 多くの場合、これらの担当者には、データ回復操作に対する何らかの権限を与える必要があります。

細かいレベルの粒度を提供する限り、個人に権限を委任できるバックアッププログラムを選択することをお勧めします。 バックアップとリカバリのシステムに細かいレベルの粒度がない場合は、リカバリが悪用される可能性があります。 ほとんどのバックアップおよびリカバリパッケージには、管理者の概念があります。 これらの管理者は多くの場合、グローバル特権を持っており、誰のデータも回復できます。 これには、給与や財務記録などの機密性の高いデータが含まれる場合があります。

アマンダエンタープライズ より良いアプローチを取ります。 オペレーターごとにロールを作成して、アクセスできるデータを制限できます。 これにより、機密データを分離して、データを回復することが絶対に必要な人だけが回復できるようにすることができます。

ファイアウォールを介してバックアップできますか？

今日のデータセンター環境には、企業のコンピューターを攻撃から保護するために、内部でもファイアウォールを使用することがよくあります。 バックアップサーバーは、ほとんどの場合、企業のファイアウォールの背後にあります。 疑問が生じます-ファイアウォールの反対側にあるこれらのコンピュータをどのようにバックアップしますか？

XNUMXつの解決策は、ファイアウォールの適切な側にXNUMX番目のバックアップサーバーを展開することです。 ただし、これは常に実行可能または望ましいとは限りません。 これにより、セキュリティ上の懸念が軽減されるのではなく、増加します。 より良い解決策は、バックアップクライアントとサーバーソフトウェアが明確に定義された（ただし変更可能な）ポートを使用して通信することです。 次に、ファイアウォールを構成して、既知のIPアドレスからのトラフィックがファイアウォールを通過できるようにし、バックアップと復元のトラフィックが通過できるようにします。

このアプローチに関する考慮事項は、バックアップソフトウェアが必要とするポートの数です。 ファイアウォールでXNUMXつまたはXNUMXつのポートを開くのは難しいため、バックアップソフトウェアはあまり多くのポートを使用しないでください。 一部の市販のクローズドソースバックアップ製品は、バックアップサーバーごとに数十のポートを使用します。

Amandaには、バックアップサーバーとクライアントが通信するためにいくつかの管理者定義のポートを使用する機能があります。 この機能により、ファイアウォールを介したバックアップに最適です。

SELinuxなどのSecurityEnhancedオペレーティングシステムのサポート

Security-Enhanced Linux（SELinux）は、LinuxカーネルでLinux Security Modules（LSM）を使用することにより、米国国防総省スタイルの強制アクセス制御を含むさまざまなセキュリティポリシーを実装するLinuxバリアントです。 Red Hatがエンタープライズ製品でSELinuxを導入して以来、SELinuxは現在、政府、軍隊、そして多くの場合商用環境で広く使用されています。 現在、SELinuxをサポートするクローズドソースのバックアップベンダーはありません。 ただし、AmandaはSELinuxポリシーで非常にうまく機能します。

バックアップソフトウェアはセキュリティを念頭に置いて作成されていますか？

バックアップソフトウェアには、ファイルサーバーだけでなく、アプリケーションサーバーとデータベースサーバーのパスワードとアクセス制御権を格納する構成ファイルがあります。 これらの構成ファイルが許可されたユーザーのみが読み取れることを確認してください。

クローズドソースのソフトウェア製品を使用する人は誰でも、その中身を推測することしかできません。 ベンダーはコードを検査に利用できるようにしていないため、ソフトウェアが完全に安全であるかどうか、または2000年にMicrosoftIISサーバーで発見された悪名高いバックドアなどのソフトウェアにコード化された「バックドア」があるかどうかを判断するのは非常に困難です。

米国コンピュータ緊急対応チーム（US-CERT）は、商用バックアップソフトウェアの脆弱性アラートを常に発行しています。 たとえば、Vulnerability Note VU＃744137は、SymantecVeritasでそのことを警告しています。 NetBackup ソフトウェアカタログデーモンには、リモートの攻撃者がNetBackupマスターサーバー上で任意のコードを実行する可能性のあるスタックベースのバッファオーバーフローが含まれています。

一方、オープンソースは、この種の問題に対してほとんど影響を受けません。 コードのピアレビューの組み込みメカニズムがあり、不要なものが含まれていないことを事実上保証します。 自尊心のあるオープンソース開発者は、オープンソース製品にバックドアを置くことによって彼の評判とキャリアを危険にさらすことはありません。 そのようなバックドアが含まれていても、ほとんどの場合、すぐに見つけて削除されます。

さらに、オープンソースソフトウェアは、品質とセキュリティの両方を簡単に検査できます。 セキュリティの脆弱性についてソフトウェアコードを分析するための商用および無料で入手可能なオープンソースツールの両方があります。 これらのいくつかは次のとおりです。

これらのツールは無料で入手でき、さまざまなプログラミング言語をスキャンできます。 Bogosec（http://bogosec.sourceforge.net/index.html）は、これらのツールのラッパーであり、ソフトウェアのセキュリティ上の懸念を予測できます。 ただし、バックアップソフトウェアの利用可能なソースコードがないと、これらのツールは役に立ちません。

情報セキュリティに関して言えば、これらはバックアップパッケージにとって非常に現実的な懸念事項です。 バックアップパッケージを選択するときは、ソフトウェアに既知のセキュリティ上の欠陥がないことを確認する必要があります。 主要なオープンソースバックアップパッケージであるAmandaは、さまざまなツールといくつかの組織によってテストされています。 たとえば、スタンフォード大学とオープンソースコミュニティの共同作業であるCoverity（http://scan.coverity.com）は、Amandaコードの品質をテストしました。 バグが発見されたとき、Amandaコミュニティはすぐにそれらを修正し、カウントをゼロに減らしました。 これは、カーネギーメロン大学のCyLab Sustainable Computing Consortiumによると、商用ソフトウェアのコード20行あたり平均30〜1000個のバグの欠陥率と比較されます。