Chander Kant와 Dmitri Joukovski

In the last few years there have been many headlines about high-profile incidents of lost or stolen backup tapes. Despite increasing attention to security, backup procedures are often neglected in overall security policies. The main reason for that discrepancy is that, historically, backup and security have had almost opposite goals. Security procedures often require strong access control to user's data. Backup software, however, is optimized to simplify recovery, sometimes to a different platform or different location and often by someone other than the original owner of the data.

Using the example of the most popular 오픈 소스 백업 및 복구 소프트웨어, Amanda, we will review best practices for ensuring security of backup data. Specifically, we will review the following aspects of backup security:

 

시스템이 실제로 올바른 백업 서버에 연결하고 있습니까?

Most data centers rely on network-based backup. In order to do this securely, there must be a trust relationship established between the backup client (the machine being backed up) and the backup server (the machine doing the backup). Without a verifiable way to establish this trust relationship various "man-in-the-middle" attacks can occur.

한 가지 가능한 취약점은 백업 소프트웨어가 백업 클라이언트가 백업 서버가 백업을 시작할 수 있도록 지정할 수 있도록 허용하는 경우입니다. Amanda와 달리 일부 인기있는 비공개 소스 백업 도구에는이 설정이 기본값으로 제공됩니다. 이 취약점을 인식하고 기본 설정을 변경하지 않는 한 랩톱 또는 데스크톱 컴퓨터를 가진 사람은 누구나 백업 패키지의 평가판을 설치하고 조직의 모든 백업 클라이언트 백업을 시작할 수 있습니다. 이러한 백업은 악성 백업 서버의 디스크로 쉽게 이동할 수 있습니다.

비슷한 우려가 반대 방향으로 존재합니다. 백업 서버가 적절한 시스템으로 복구 할 데이터를 제공하고 있습니까? 아니면 누군가가 시스템을 백업 클라이언트로 가장하도록 강요하고 있습니까?

훨씬 더 나은 접근 방식은 백업 소프트웨어가 백업 클라이언트와 백업 서버 모두에 대해 강력한 인증을 사용하도록 요구하는 것입니다. 물론 인증 방법도 면밀히 조사 할 수 있어야합니다. 오픈 소스 도구 openssh (http://www.openssh.com)에서 제공하는 것과 유사한 키 기반 메커니즘을 선택하는 것이 좋습니다.

Can your backup data be compromised when it travels the network or if your backup tape "falls off the truck"?

클라이언트와 서버가 서로를 인증하면 누군가가 백업 데이터를 가로 챈다는 사실 만 알아내는 것은 좋지 않습니다. 이는 백업 데이터가 인터넷을 통해 지역 사무실에서 본사로 이동하는 것과 같이 보안되지 않은 네트워크를 통해 이동하는 경우 특히 중요합니다.

지난 몇 년 동안 기업이 백업 테이프를 추적하지 못하는 잘 알려진 이벤트가있었습니다. 종종 여기에는 민감한 재무 정보의 손실이 수반됩니다. 2005 년의 한 사건에서, 유명한 시분할 회사는 26 만 명의 고객에 대한 민감한 재무 정보가 담긴 백업 테이프를 분실했습니다. 분명히 고객에 대한 잠재적 인 피해는 물론 시분할 회사와 그 명성에 대한 피해도 엄청났습니다.

백업 소프트웨어는 전송중인 데이터를 유선으로 전송하기 전에 또는 데이터가 백업 미디어에 기록 될 때 유휴 상태로 암호화 할 수있는 유연성을 제공해야합니다. 자유롭게 사용할 수 있고 검증 가능한 암호화 방법을 사용해야합니다. 또한 다른 암호화 방법을 사용하고 새로운 개발 및 암호화 알고리즘을 활용할 수있는 옵션이 있어야합니다.

There are hardware-based solutions. Both Network Appliance's Decru division, and Neoscale offer hardware appliances that intercept writes to backup media (tape) and encrypt it on the fly. This has the advantage of speed, but comes at a high infrastructure cost.

Amanda는 백업 서버로 전송하기 전에 클라이언트에서 또는 백업 서버 자체에서 데이터를 암호화 할 수 있습니다. 클라이언트 측 및 서버 측 암호화는 모두 표준 입력에서 읽고 표준 출력에 쓰는 모든 암호화 프로그램을 사용할 수 있습니다. 여기에는 다양한 AES 암호화 루틴을 지원하는 aespipe 명령이 포함됩니다. Amanda 암호화 프로그램과 함께 일반적으로 사용되는 또 다른 도구는 gpg입니다.

물론 좋은 키 관리 없이는 데이터를 복구 할 수 없습니다. Amanda는 자체적으로 키 관리 솔루션을 제공하지 않고 IT 정책에서 요구하는 모든 키 관리 솔루션과 함께 작동합니다.

암호화 옵션의 개방성과 유연성 덕분에 Amanda는 엄격한 보안 요구 사항이있는 조직을 포함한 대부분의 IT 환경의 보안 정책과 프로세스에 잘 맞을 수 있습니다.

백업 및 복구를 누가 제어합니까?

요즘에는 백업 및 복구 소프트웨어를 구성하고 사용하는 데 참여해야하는 다양한 사람들이 있습니다. 대기업에서 헬프 데스크 직원이 수십 명의 개인에게 접근하는 것은 드문 일이 아닙니다. 종종 이러한 직원은 데이터 복구 작업에 대한 권한을 부여 받아야합니다.

It is wise to choose a backup program that lets you delegate authority to individuals, as long as it provides a fine level of granularity. If your backup and recovery system does not have a fine level of granularity then you are exposed to the possibility of recovery abuses. Most backup and recovery packages have the concept of administrators. These administrators often have global privileges and can recover anyone's data. This might include highly sensitive data, such as payroll or financial records.

아만다 엔터프라이즈 takes a better approach. It lets you create roles for each operator, limiting what data they have access to. This lets you segregate sensitive data to ensure that only those with an absolute need to recover the data have the ability to do so.

방화벽을 통해 백업 할 수 있습니까?

Today's data center environments often include the use of firewalls even internally to protect corporate computers from attack. Your backup server will almost invariably be behind your corporate firewall. The question arises - how do you backup those computers on the other side of a firewall?

한 가지 해결책은 방화벽의 적절한쪽에 두 번째 백업 서버를 배포하는 것입니다. 그러나 이것이 항상 가능하거나 바람직한 것은 아닙니다. 이는 보안 문제를 줄이는 것이 아니라 증가시킵니다. 더 나은 솔루션은 백업 클라이언트와 서버 소프트웨어가 잘 정의 된 (그러나 변경 가능한) 포트를 사용하여 통신하는 것입니다. 그런 다음 방화벽을 통해 알려진 IP 주소의 트래픽을 허용하도록 방화벽을 구성하여 트래픽을 백업 및 복원 할 수 있습니다.

이 접근 방식에 대한 고려 사항은 백업 소프트웨어에 필요한 포트 수입니다. 방화벽에서 하나 또는 두 개의 포트를 열기가 어렵 기 때문에 백업 소프트웨어는 너무 많은 포트를 사용하지 않아야합니다. 일부 상용 폐쇄 소스 백업 제품은 백업 서버 당 수십 개의 포트를 사용합니다.

Amanda는 백업 서버와 클라이언트가 통신 할 수 있도록 관리자가 정의한 몇 가지 포트를 사용할 수 있습니다. 이 기능은 방화벽을 통한 백업에 적합합니다.

SE Linux와 같은 보안 강화 운영 체제 지원

SELinux (Security-Enhanced Linux)는 Linux 커널에서 Linux 보안 모듈 (LSM)을 사용하여 미국 국방부 스타일의 필수 액세스 제어를 포함한 다양한 보안 정책을 구현하는 Linux 변형입니다. Red Hat이 엔터프라이즈 제품과 함께 SELinux를 도입 한 이후 SELinux는 이제 정부, 군사 및 상용 환경에서 널리 사용되고 있습니다. 오늘날 SELinux를 지원하는 비공개 소스 백업 공급 업체는 없습니다. 그러나 Amanda는 SELinux 정책과 매우 잘 작동합니다.

백업 소프트웨어는 보안을 염두에두고 작성 되었습니까?

백업 소프트웨어에는 파일 서버뿐만 아니라 응용 프로그램 및 데이터베이스 서버에 대한 암호 및 액세스 제어 권한을 저장하는 구성 파일이 있습니다. 이러한 구성 파일은 인증 된 사용자 만 읽을 수 있어야합니다.

Everyone who uses a closed-source software product can only guess what is inside of it. Since the vendor does not make the code available for inspection it is very difficult to tell if the software is totally secure, or if there are "back doors" coded into the software such as infamous back door discovered in Microsoft IIS servers in 2000.

The United States Computer Emergency Readiness Team (US-CERT) issues the vulnerability alerts for commercial backup software all the time. For example, the Vulnerability Note VU#744137 alerts that in Symantec Veritas NetBackup software the catalog daemon contains a stack-based buffer overflow that could allow a remote attacker to execute arbitrary code on a NetBackup master server.

반면에 오픈 소스는 이런 종류의 문제에 거의 영향을받지 않습니다. 불필요한 것은 포함되지 않도록 사실상 보장하는 코드의 피어 리뷰 메커니즘이 내장되어 있습니다. 자존심이 강한 오픈 소스 개발자는 오픈 소스 제품에 백도어를 넣어 자신의 명성과 경력을 위험에 빠뜨리지 않습니다. 그러한 뒷문이 포함되어 있더라도 대부분 빨리 찾아서 제거 할 수 있습니다.

또한 오픈 소스 소프트웨어의 품질과 보안을 쉽게 검사 할 수 있습니다. 보안 취약성에 대한 소프트웨어 코드를 분석하기위한 상용 및 무료 오픈 소스 도구가 있습니다. 이들 중 일부는 다음과 같습니다.

이러한 도구는 무료로 사용할 수 있으며 다양한 프로그래밍 언어를 스캔 할 수 있습니다. Bogosec (http://bogosec.sourceforge.net/index.html)은 이러한 도구를 둘러싼 래퍼이며 소프트웨어의 보안 문제를 예측할 수 있습니다. 그러나 백업 소프트웨어에 사용할 수있는 소스 코드가 없으면 이러한 도구는 쓸모가 없습니다.

When it comes to information security these are very real concerns for any backup package. When selecting a backup package you have to make sure there are no known security flaws in the software. Amanda, the leading open source backup package, has been tested with a variety of tools and by several organizations. For example, Coverity (http://scan.coverity.com), a collaborative effort between Stanford University and the open source community, tested Amanda code quality. When bugs were discovered the Amanda community quickly corrected them and reduced the count to zero. This compares to an average defect rate of 20 to 30 bugs per 1000 lines of code for commercial software, according to Carnegie Mellon University's CyLab Sustainable Computing Consortium.

백업 보안 체크리스트

백업 서버 및 백업 클라이언트에 대한 강력한 인증이 있습니까?
전송중인 데이터를 보호하기 위해 클라이언트에 암호화가 있습니까?
백업 미디어 (예 : 테이프)의 데이터를 보호하기 위해 백업 서버에 암호화가 있습니까?
다른 암호화 방법 중에서 선택하고 새로운 암호화 알고리즘을 활용할 수 있습니까?
관리, 백업 및 복구를위한 역할 기반 액세스 제어가 있습니까?
방화벽을 통한 백업을 위해 몇 개의 포트 (이상적으로는 하나의 포트만) 만 열 수 있습니까?
SELinux에 대한 지원이 있습니까?
파일, 데이터베이스 및 응용 프로그램 서버의 암호를 저장하는 백업 소프트웨어 구성 파일의 보안을 확인 했습니까?
US-CERT에 백업 소프트웨어에 대한 경고가 없는지 확인 했습니까?
백업 소프트웨어의 코드 품질 및 보안에 대한 독립적 인 보고서가 있습니까?

결론

백업은 가장 귀중한 디지털 자산의 복사본이므로 백업 보안은 중요한 고려 사항입니다. 진정으로 안전하지만 재정적으로 실행 가능한 백업 정책을 구현하려면 관련 장단점을 철저히 이해해야합니다. 그러나 모든 조직은 감당할 수있는 안전한 백업 정책을 수립하기 위해 합리적인 절충안을 찾을 수 있습니다. 기억해야 할 중요한 점은 백업 보안은 프로젝트가 아니라 지속적인 모니터링과 개선이 필요한 프로세스라는 것입니다.

logo_crn_emerging_vendors
바이트 스위치 상위 10 개 스토리지
bossie_for-www-home
보안 인증
gold_mysql
로고-아마존-파트너