안전한 백업 및 복구 – 모범 사례

Chander Kant와 Dmitri Joukovski

지난 몇 년 동안 백업 테이프의 분실 또는 도난 사건에 대한 많은 헤드 라인이있었습니다. 보안에 대한 관심이 증가 함에도 불구하고 백업 절차는 전체 보안 정책에서 종종 무시됩니다. 이러한 불일치의 주된 이유는 역사적으로 백업과 보안의 목표가 거의 반대이기 때문입니다. 보안 절차에는 종종 사용자 데이터에 대한 강력한 액세스 제어가 필요합니다. 그러나 백업 소프트웨어는 경우에 따라 다른 플랫폼이나 다른 위치로, 종종 데이터의 원래 소유자가 아닌 다른 사람이 복구를 단순화하도록 최적화되어 있습니다.

가장 인기있는 예를 사용하여 오픈 소스 백업 및 복구 소프트웨어, Amanda, 백업 데이터의 보안을 보장하기위한 모범 사례를 검토 할 것입니다. 특히 백업 보안의 다음 측면을 검토합니다.

시스템이 실제로 올바른 백업 서버에 연결하고 있습니까?

대부분의 데이터 센터는 네트워크 기반 백업에 의존합니다. 이를 안전하게 수행하려면 백업 클라이언트 (백업중인 머신)와 백업 서버 (백업을 수행하는 머신)간에 신뢰 관계가 설정되어 있어야합니다. 이 신뢰 관계를 설정하는 검증 가능한 방법 없이는 다양한 "중간자"공격이 발생할 수 있습니다.

한 가지 가능한 취약점은 백업 소프트웨어가 백업 클라이언트가 백업 서버가 백업을 시작할 수 있도록 지정할 수 있도록 허용하는 경우입니다. Amanda와 달리 일부 인기있는 비공개 소스 백업 도구에는이 설정이 기본값으로 제공됩니다. 이 취약점을 인식하고 기본 설정을 변경하지 않는 한 랩톱 또는 데스크톱 컴퓨터를 가진 사람은 누구나 백업 패키지의 평가판을 설치하고 조직의 모든 백업 클라이언트 백업을 시작할 수 있습니다. 이러한 백업은 악성 백업 서버의 디스크로 쉽게 이동할 수 있습니다.

비슷한 우려가 반대 방향으로 존재합니다. 백업 서버가 적절한 시스템으로 복구 할 데이터를 제공합니까? 아니면 누군가가 시스템을 백업 클라이언트로 가장하도록 강요하고 있습니까?

훨씬 더 나은 접근 방식은 백업 소프트웨어가 백업 클라이언트와 백업 서버 모두에 대해 강력한 인증을 사용하도록 요구하는 것입니다. 물론 인증 방법도 면밀히 조사 할 수 있어야합니다. 오픈 소스 도구 openssh (http://www.openssh.com)에서 제공하는 것과 유사한 키 기반 메커니즘을 선택하는 것이 좋습니다.

백업 데이터가 네트워크를 이동할 때 또는 백업 테이프가 "트럭에서 떨어지면"손상 될 수 있습니까?

클라이언트와 서버가 서로를 인증하면 누군가가 백업 데이터를 가로 챈다는 사실 만 알아내는 것은 좋지 않습니다. 이는 백업 데이터가 인터넷을 통해 지역 사무소에서 본사로 이동하는 것과 같이 안전하지 않은 네트워크를 통해 이동하는 경우 특히 중요합니다.

지난 몇 년 동안 기업이 백업 테이프를 추적하지 못하는 잘 알려진 이벤트가있었습니다. 종종 여기에는 민감한 재무 정보의 손실이 수반됩니다. 2005 년의 한 사건에서, 유명한 시간 공유 회사는 260,000 만 명의 고객에 대한 민감한 재무 정보가 담긴 백업 테이프를 분실했습니다. 분명히 고객에 대한 잠재적 인 피해는 물론 시분할 회사와 그 명성에 대한 피해도 엄청났습니다.

백업 소프트웨어는 전송중인 데이터를 유선으로 전송하기 전에 또는 데이터가 백업 미디어에 기록 될 때 유휴 상태에서 암호화 할 수있는 유연성을 제공해야합니다. 자유롭게 사용할 수 있고 검증 가능한 암호화 방법을 사용해야합니다. 또한 다른 암호화 방법을 사용하고 새로운 개발 및 암호화 알고리즘을 활용할 수있는 옵션이 있어야합니다.

하드웨어 기반 솔루션이 있습니다. Network Appliance의 Decru 사업부와 Neoscale은 백업 미디어 (테이프)에 대한 쓰기를 가로 채서 즉시 암호화하는 하드웨어 어플라이언스를 제공합니다. 이것은 속도의 이점이 있지만 높은 인프라 비용이 발생합니다.

Amanda는 백업 서버로 전송하기 전에 클라이언트에서 또는 백업 서버 자체에서 데이터를 암호화 할 수 있습니다. 클라이언트 측 및 서버 측 암호화는 모두 표준 입력에서 읽고 표준 출력에 쓰는 모든 암호화 프로그램을 사용할 수 있습니다. 여기에는 다양한 AES 암호화 루틴을 지원하는 aespipe 명령이 포함됩니다. Amanda 암호화 프로그램과 함께 일반적으로 사용되는 또 다른 도구는 gpg입니다.

물론 좋은 키 관리 없이는 데이터를 복구 할 수 없습니다. Amanda는 자체적으로 키 관리 솔루션을 제공하지 않고 IT 정책에서 요구하는 모든 키 관리 솔루션과 함께 작동합니다.

암호화 옵션의 개방성과 유연성 덕분에 Amanda는 엄격한 보안 요구 사항이있는 조직을 포함한 대부분의 IT 환경의 보안 정책 및 프로세스에 잘 맞을 수 있습니다.

백업 및 복구를 누가 제어합니까?

요즘에는 백업 및 복구 소프트웨어를 구성하고 사용하는 데 참여해야하는 다양한 사람들이 있습니다. 대기업에서 헬프 데스크 직원이 수십 명의 개인에게 접근하는 것은 드문 일이 아닙니다. 종종 이러한 직원은 데이터 복구 작업에 대한 권한을 부여 받아야합니다.

세부적인 수준을 제공하는 한 개인에게 권한을 위임 할 수있는 백업 프로그램을 선택하는 것이 좋습니다. 백업 및 복구 시스템이 세분화되지 않은 경우 복구 남용 가능성에 노출됩니다. 대부분의 백업 및 복구 패키지에는 관리자 개념이 있습니다. 이러한 관리자는 종종 전역 권한을 가지며 모든 사람의 데이터를 복구 할 수 있습니다. 여기에는 급여 또는 재무 기록과 같은 매우 민감한 데이터가 포함될 수 있습니다.

아만다 엔터프라이즈 더 나은 접근 방식을 취합니다. 이를 통해 각 운영자에 대한 역할을 생성하여 액세스 할 수있는 데이터를 제한 할 수 있습니다. 이를 통해 중요한 데이터를 분리하여 데이터 복구가 절대적으로 필요한 사람 만 데이터를 복구 할 수 있습니다.

방화벽을 통해 백업 할 수 있습니까?

오늘날의 데이터 센터 환경에는 기업 컴퓨터를 공격으로부터 보호하기 위해 내부적으로도 방화벽을 사용하는 경우가 많습니다. 백업 서버는 거의 변함없이 회사 방화벽 뒤에 있습니다. 문제는 방화벽의 반대편에있는 컴퓨터를 어떻게 백업합니까?

한 가지 해결책은 방화벽의 적절한쪽에 두 번째 백업 서버를 배포하는 것입니다. 그러나 이것이 항상 가능하거나 바람직한 것은 아닙니다. 이는 보안 문제를 줄이는 것이 아니라 증가시킵니다. 더 나은 솔루션은 백업 클라이언트와 서버 소프트웨어가 잘 정의 된 (그러나 변경 가능한) 포트를 사용하여 통신하는 것입니다. 그런 다음 방화벽을 통해 알려진 IP 주소의 트래픽을 허용하도록 방화벽을 구성하여 트래픽을 백업 및 복원 할 수 있습니다.

이 접근 방식에 대한 고려 사항은 백업 소프트웨어에 필요한 포트 수입니다. 방화벽에서 하나 또는 두 개의 포트를 열기가 어렵 기 때문에 백업 소프트웨어는 너무 많은 포트를 사용하지 않아야합니다. 일부 상용 폐쇄 소스 백업 제품은 백업 서버 당 수십 개의 포트를 사용합니다.

Amanda는 백업 서버와 클라이언트가 통신 할 수 있도록 관리자가 정의한 몇 가지 포트를 사용할 수 있습니다. 이 기능은 방화벽을 통한 백업에 적합합니다.

SE Linux와 같은 보안 강화 운영 체제 지원

SELinux (Security-Enhanced Linux)는 Linux 커널에서 Linux 보안 모듈 (LSM)을 사용하여 미국 국방부 스타일의 필수 액세스 제어를 포함하여 다양한 보안 정책을 구현하는 Linux 변형입니다. Red Hat이 엔터프라이즈 제품과 함께 SELinux를 도입 한 이후 SELinux는 이제 정부, 군사 및 상용 환경에서 널리 사용되고 있습니다. 오늘날 SELinux를 지원하는 비공개 소스 백업 공급 업체는 없습니다. 그러나 Amanda는 SELinux 정책과 매우 잘 작동합니다.

백업 소프트웨어가 보안을 염두에두고 작성 되었습니까?

백업 소프트웨어에는 파일 서버뿐만 아니라 응용 프로그램 및 데이터베이스 서버에 대한 암호 및 액세스 제어 권한을 저장하는 구성 파일이 있습니다. 이러한 구성 파일은 권한이있는 사용자 만 읽을 수 있어야합니다.

비공개 소스 소프트웨어 제품을 사용하는 모든 사람은 그 안에 무엇이 있는지 추측 만 할 수 있습니다. 공급 업체가 코드를 검사 용으로 제공하지 않기 때문에 소프트웨어가 완전히 안전한지 또는 2000 년 Microsoft IIS 서버에서 발견 된 악명 높은 백도어와 같은 소프트웨어에 코딩 된 "백도어"가 있는지 확인하기가 매우 어렵습니다.

미국 컴퓨터 비상 준비 팀 (US-CERT)은 항상 상용 백업 소프트웨어에 대한 취약성 경고를 발행합니다. 예를 들어 Vulnerability Note VU # 744137은 Symantec Veritas에서 넷 백업 소프트웨어 카탈로그 데몬에는 원격 공격자가 NetBackup 마스터 서버에서 임의의 코드를 실행할 수있는 스택 기반 버퍼 오버플로가 포함되어 있습니다.

반면에 오픈 소스는 이런 종류의 문제에 거의 영향을받지 않습니다. 불필요한 것은 포함되지 않도록 사실상 보장하는 코드의 피어 리뷰 메커니즘이 내장되어 있습니다. 자존심이 강한 오픈 소스 개발자는 오픈 소스 제품에 백도어를 넣어 자신의 명성과 경력을 위험에 빠뜨리지 않을 것입니다. 그러한 뒷문이 포함되어 있더라도 대부분 빨리 찾아서 제거 할 수 있습니다.

또한 오픈 소스 소프트웨어의 품질과 보안을 쉽게 검사 할 수 있습니다. 보안 취약점에 대한 소프트웨어 코드를 분석하기위한 상용 및 무료 오픈 소스 도구가 있습니다. 이들 중 일부는 다음과 같습니다.

이러한 도구는 무료로 사용할 수 있으며 다양한 프로그래밍 언어를 스캔 할 수 있습니다. Bogosec (http://bogosec.sourceforge.net/index.html)은 이러한 도구를 둘러싼 래퍼이며 소프트웨어의 보안 문제를 예측할 수 있습니다. 그러나 백업 소프트웨어에 사용할 수있는 소스 코드가 없으면 이러한 도구는 쓸모가 없습니다.

정보 보안과 관련하여 이는 모든 백업 패키지에서 매우 중요한 문제입니다. 백업 패키지를 선택할 때 소프트웨어에 알려진 보안 결함이 없는지 확인해야합니다. 선도적 인 오픈 소스 백업 패키지 인 Amanda는 다양한 도구와 여러 조직에서 테스트되었습니다. 예를 들어, Stanford University와 오픈 소스 커뮤니티 간의 공동 작업 인 Coverity (http://scan.coverity.com)는 Amanda 코드 품질을 테스트했습니다. 버그가 발견되었을 때 Amanda 커뮤니티는 신속하게 버그를 수정하고 수를 20으로 줄였습니다. Carnegie Mellon University의 CyLab Sustainable Computing Consortium에 따르면 이는 상용 소프트웨어 코드 30 줄당 1000 ~ XNUMX 개의 버그의 평균 결함률과 비교됩니다.