Sandaran dan Pemulihan yang Selamat - Amalan Terbaik

Oleh Chander Kant dan Dmitri Joukovski

Dalam beberapa tahun kebelakangan ini terdapat banyak tajuk utama mengenai insiden berprofil tinggi kehilangan atau mencuri pita sandaran. Walaupun memberi perhatian kepada keselamatan, prosedur sandaran sering diabaikan dalam keseluruhan dasar keselamatan. Sebab utama perbezaan tersebut adalah, dari segi sejarah, sandaran dan keselamatan mempunyai tujuan yang hampir bertentangan. Prosedur keselamatan sering memerlukan kawalan akses yang kuat ke data pengguna. Perisian sandaran, bagaimanapun, dioptimumkan untuk mempermudah pemulihan, kadang-kadang ke platform yang berbeza atau lokasi yang berbeza dan sering oleh orang lain selain pemilik data asal.

Menggunakan contoh yang paling popular perisian sandaran dan pemulihan sumber terbuka, Amanda, kami akan mengkaji amalan terbaik untuk memastikan keselamatan data sandaran. Secara khusus, kami akan mengkaji aspek keselamatan sandaran berikut:

Adakah sistem anda benar-benar menghubungi pelayan sandaran yang betul?

Sebilangan besar pusat data bergantung pada sandaran berasaskan rangkaian. Untuk melakukan ini dengan selamat, mesti ada hubungan kepercayaan antara klien sandaran (mesin disandarkan) dan pelayan sandaran (mesin yang melakukan sandaran). Tanpa kaedah yang dapat disahkan untuk menjalin hubungan kepercayaan ini, pelbagai serangan "man-in-the-middle" dapat terjadi.

Satu kelemahan yang mungkin berlaku adalah apabila perisian sandaran membenarkan klien sandaran untuk menentukan bahawa mana-mana pelayan sandaran boleh memulakan sandaran. Tidak seperti Amanda, beberapa alat sandaran sumber tertutup yang popular dihantar dengan tetapan ini sebagai lalai. Kecuali anda menyedari kerentanan ini dan mengubah pengaturan lalai, siapa pun yang mempunyai komputer riba atau komputer desktop dapat memasang versi percubaan pakej sandaran dan memulakan cadangan klien sandaran di organisasi anda. Sandaran ini kemudian dapat dengan mudah diarahkan ke cakera pelayan sandaran nakal.

Kebimbangan yang serupa wujud pada arah yang bertentangan. Adakah pelayan sandaran anda menyediakan data untuk pemulihan ke sistem yang sesuai? Atau adakah seseorang memaksa sistem untuk menyamar sebagai pelanggan sandaran?

Pendekatan yang lebih baik adalah memerlukan perisian sandaran menggunakan pengesahan yang kuat dari kedua-dua klien sandaran dan pelayan sandaran. Sudah tentu kaedah pengesahan harus terbuka untuk diteliti. Pilihan yang baik adalah mekanisme berasaskan kunci, mirip dengan yang ditawarkan oleh alat sumber terbuka (http://www.openssh.com).

Bolehkah data sandaran anda terganggu ketika melakukan perjalanan ke rangkaian atau jika pita sandaran anda "jatuh dari trak"?

Tidak ada gunanya jika pelanggan dan pelayan anda mengesahkan satu sama lain, hanya untuk mengetahui bahawa seseorang telah memintas data sandaran. Ini sangat penting jika data sandaran anda bergerak melalui rangkaian yang tidak selamat, seperti melalui Internet dari pejabat wilayah ke ibu pejabat.

Sejak beberapa tahun kebelakangan ini, terdapat banyak acara yang diiklankan dengan baik di mana syarikat kehilangan jejak cadangan mereka. Selalunya ini melibatkan kehilangan maklumat kewangan yang sensitif. Dalam satu kejadian seperti itu pada tahun 2005, sebuah syarikat perkongsian masa yang terkenal kehilangan pita sandaran dengan maklumat kewangan sensitif untuk 260,000 pelanggannya. Tentunya potensi kerosakan pada pelanggan sangat besar, begitu juga dengan kerosakan pada syarikat pembahagian masa dan reputasinya.

Perisian sandaran anda harus memberikan fleksibiliti untuk mengenkripsi data dalam perjalanan sebelum dikirimkan melalui wayar, atau dalam keadaan rehat ketika data ditulis ke media sandaran. Ia harus menggunakan kaedah penyulitan yang tersedia dan boleh disahkan. Anda juga harus mempunyai pilihan untuk menggunakan kaedah penyulitan yang berbeza dan memanfaatkan perkembangan baru dan algoritma penyulitan.

Terdapat penyelesaian berasaskan perkakasan. Kedua-dua bahagian Network Appliance's Network, dan Neoscale menawarkan perkakasan perkakasan yang memintas menulis ke media sandaran (tape) dan menyulitkannya dengan cepat. Ini mempunyai kelebihan kepantasan, tetapi dengan kos infrastruktur yang tinggi.

Amanda mempunyai kemampuan untuk mengenkripsi data pada klien, sebelum dihantar ke pelayan sandaran, atau di pelayan sandaran itu sendiri. Enkripsi sisi pelanggan dan pelayan boleh menggunakan program enkripsi yang membaca dari input standard dan menulis ke output standard. Ini termasuk perintah aespipe, yang menyokong pelbagai rutin penyulitan AES. Alat lain yang biasa digunakan dengan program penyulitan Amanda adalah gpg.

Sudah tentu, tanpa pengurusan kunci yang baik data tidak dapat dipulihkan. Amanda tidak menyediakan penyelesaian pengurusan utama dengan sendirinya, melainkan berfungsi dengan penyelesaian pengurusan utama yang dimandatkan oleh polisi IT anda.

Keterbukaan dan fleksibiliti pilihan penyulitan membolehkan Amanda menyesuaikan diri dengan dasar keselamatan dan proses kebanyakan persekitaran IT termasuk organisasi dengan syarat keselamatan yang ketat.

Siapa yang mempunyai kawalan ke atas sandaran dan pemulihan anda?

Hari ini ada banyak orang yang mesti mengambil bahagian dalam mengkonfigurasi dan menggunakan perisian sandaran dan pemulihan. Di perusahaan yang lebih besar, tidak biasa bagi kakitangan meja bantuan untuk mendekati puluhan individu. Selalunya kakitangan ini perlu diberi kuasa atas operasi pemulihan data.

Adalah bijak untuk memilih program sandaran yang membolehkan anda menyerahkan kewibawaan kepada individu, asalkan memberikan tahap butiran yang baik. Sekiranya sistem sandaran dan pemulihan anda tidak mempunyai tahap butiran yang baik maka anda terdedah kepada kemungkinan penyalahgunaan pemulihan. Sebilangan besar pakej sandaran dan pemulihan mempunyai konsep pentadbir. Pentadbir ini sering mempunyai hak istimewa global dan dapat memulihkan data sesiapa sahaja. Ini mungkin termasuk data yang sangat sensitif, seperti gaji atau rekod kewangan.

Amanda Enterprise mengambil pendekatan yang lebih baik. Ini membolehkan anda membuat peranan untuk setiap pengendali, membatasi data yang dapat mereka akses. Ini membolehkan anda memisahkan data sensitif untuk memastikan bahawa hanya mereka yang mempunyai keperluan mutlak untuk memulihkan data yang memiliki kemampuan untuk melakukannya.

Bolehkah anda membuat sandaran melalui firewall?

Persekitaran pusat data masa kini sering merangkumi penggunaan firewall bahkan secara dalaman untuk melindungi komputer syarikat dari serangan. Pelayan sandaran anda hampir selalu berada di belakang firewall korporat anda. Persoalannya timbul - bagaimana anda membuat sandaran komputer di seberang firewall?

Salah satu penyelesaiannya ialah menggunakan pelayan sandaran kedua di sebelah sisi firewall yang sesuai. Walau bagaimanapun, ini tidak selalu dapat dilaksanakan atau diinginkan. Ini meningkatkan kebimbangan keselamatan, dan bukannya mengurangkannya. Penyelesaian yang lebih baik adalah untuk perisian sandaran klien dan pelayan anda menggunakan port yang ditentukan (tetapi boleh diubah) dengan baik untuk berkomunikasi. Anda kemudian boleh mengkonfigurasi firewall anda untuk membolehkan lalu lintas dari alamat IP yang diketahui melalui firewall untuk membolehkan sandaran dan memulihkan lalu lintas melalui.

Pertimbangan mengenai pendekatan ini adalah jumlah port yang diperlukan perisian sandaran. Perisian sandaran anda tidak boleh menggunakan terlalu banyak port, kerana cukup sukar untuk membuka satu atau dua port di firewall anda. Beberapa produk sandaran sumber tertutup yang tersedia secara komersial menggunakan berpuluh-puluh port per pelayan sandaran.

Amanda mempunyai kemampuan untuk menggunakan beberapa port yang ditentukan oleh pentadbir untuk berkomunikasi dengan pelayan sandaran dan pelanggan. Keupayaan ini menjadikannya sangat sesuai untuk membuat sandaran melalui firewall.

Sokongan untuk Sistem Operasi yang Dipertingkatkan Keselamatan seperti SE Linux

Security-Enhanced Linux (SELinux) adalah varian Linux yang menerapkan pelbagai kebijakan keselamatan, termasuk kawalan akses mandatori gaya Jabatan Pertahanan AS, melalui penggunaan Linux Security Modules (LSM) di kernel Linux. Sejak Red Hat memperkenalkan SELinux dengan penawaran Enterprisenya, SELinux kini banyak digunakan dalam lingkungan pemerintahan, ketenteraan dan sering komersial. Hari ini tidak ada vendor sandaran sumber tertutup yang menyokong SELinux. Amanda, bagaimanapun, bekerja dengan dasar SELinux dengan sangat baik.

Adakah perisian sandaran anda ditulis dengan mempertimbangkan keselamatan?

Perisian sandaran mempunyai fail konfigurasi yang menyimpan kata laluan dan hak kawalan akses bukan hanya untuk pelayan fail tetapi juga untuk pelayan aplikasi dan pangkalan data. Pastikan fail konfigurasi ini hanya dapat dibaca oleh pengguna yang dibenarkan.

Setiap orang yang menggunakan produk perisian sumber tertutup hanya dapat meneka apa yang ada di dalamnya. Oleh kerana vendor tidak menyediakan kod untuk diperiksa, sangat sukar untuk mengetahui apakah perisian tersebut benar-benar selamat, atau jika ada "pintu belakang" yang dikodkan ke dalam perisian seperti pintu belakang terkenal yang ditemui di pelayan Microsoft IIS pada tahun 2000.

Pasukan Kesediaan Kecemasan Komputer Amerika Syarikat (US-CERT) mengeluarkan amaran kerentanan untuk perisian sandaran komersial sepanjang masa. Sebagai contoh, Nota Kerentanan VU # 744137 memberi amaran bahawa di Symantec Veritas Sandaran Bersih perisian katalog daemon mengandungi buffer overflow berasaskan tumpukan yang membolehkan penyerang jarak jauh melaksanakan kod sewenang-wenang pada pelayan induk NetBackup.

Sumber terbuka, sebaliknya, hampir tidak tahan dengan masalah seperti ini. Terdapat mekanisme built-in peer review terhadap kod yang hampir menjamin bahawa tidak ada yang tidak diperlukan disertakan. Tidak ada pemaju Sumber Terbuka yang menghargai diri sendiri yang akan mempertaruhkan reputasi dan kariernya dengan memasukkan pintu belakang ke dalam produk sumber terbuka. Walaupun pintu belakang seperti itu disertakan, pintu itu kemungkinan akan cepat dijumpai dan dikeluarkan.

Selain itu, perisian sumber terbuka dapat diperiksa dengan mudah untuk kualiti dan keselamatan. Terdapat alat sumber terbuka yang tersedia secara komersial dan bebas untuk menganalisis kod perisian untuk kelemahan keselamatan. Sebilangannya adalah:

Alat-alat ini tersedia secara bebas, dan dapat mengimbas pelbagai bahasa pengaturcaraan. Bogosec (http://bogosec.sourceforge.net/index.html) adalah pembungkus alat ini, dan dapat meramalkan masalah keselamatan dalam perisian. Walau bagaimanapun, tanpa kod sumber yang tersedia untuk perisian sandaran, alat ini tidak berguna.

Dalam soal keselamatan maklumat, ini adalah masalah yang sangat nyata untuk pakej sandaran. Semasa memilih pakej sandaran, anda harus memastikan tidak ada kekurangan keselamatan yang diketahui dalam perisian. Amanda, pakej sandaran sumber terbuka yang terkemuka, telah diuji dengan pelbagai alat dan oleh beberapa organisasi. Sebagai contoh, Coverity (http://scan.coverity.com), usaha kolaborasi antara Universiti Stanford dan komuniti sumber terbuka, menguji kualiti kod Amanda. Apabila pepijat ditemui, masyarakat Amanda dengan cepat membetulkannya dan mengurangkan jumlahnya menjadi sifar. Ini dibandingkan dengan kadar kecacatan rata-rata 20 hingga 30 bug per 1000 baris kod untuk perisian komersial, menurut Carnegie Mellon University CyLab Sustainable Computing Consortium.