Oleh Chander Kant dan Dmitri Joukovski

In the last few years there have been many headlines about high-profile incidents of lost or stolen backup tapes. Despite increasing attention to security, backup procedures are often neglected in overall security policies. The main reason for that discrepancy is that, historically, backup and security have had almost opposite goals. Security procedures often require strong access control to user's data. Backup software, however, is optimized to simplify recovery, sometimes to a different platform or different location and often by someone other than the original owner of the data.

Using the example of the most popular perisian sandaran dan pemulihan sumber terbuka, Amanda, we will review best practices for ensuring security of backup data. Specifically, we will review the following aspects of backup security:

 

Adakah sistem anda benar-benar menghubungi pelayan sandaran yang betul?

Most data centers rely on network-based backup. In order to do this securely, there must be a trust relationship established between the backup client (the machine being backed up) and the backup server (the machine doing the backup). Without a verifiable way to establish this trust relationship various "man-in-the-middle" attacks can occur.

Satu kelemahan yang mungkin berlaku adalah apabila perisian sandaran membenarkan klien sandaran untuk menentukan bahawa mana-mana pelayan sandaran boleh memulakan sandaran. Tidak seperti Amanda, beberapa alat sandaran sumber tertutup yang popular dihantar dengan tetapan ini sebagai lalai. Kecuali anda menyedari kerentanan ini dan mengubah pengaturan lalai, siapa pun yang mempunyai komputer riba atau komputer desktop dapat memasang versi percubaan pakej sandaran dan memulakan cadangan klien sandaran mana pun di organisasi anda. Sandaran ini kemudian dapat dengan mudah diarahkan ke cakera pelayan sandaran nakal.

Kebimbangan yang serupa wujud pada arah yang bertentangan. Adakah pelayan sandaran anda menyediakan data untuk pemulihan ke sistem yang sesuai? Atau adakah seseorang memaksa sistem untuk menyamar sebagai pelanggan sandaran?

Pendekatan yang lebih baik adalah memerlukan perisian sandaran menggunakan pengesahan yang kuat dari kedua-dua klien sandaran dan pelayan sandaran. Sudah tentu kaedah pengesahan harus terbuka untuk diteliti. Pilihan yang baik adalah mekanisme berasaskan kunci, mirip dengan yang ditawarkan oleh alat sumber terbuka (http://www.openssh.com).

Can your backup data be compromised when it travels the network or if your backup tape "falls off the truck"?

Tidak ada gunanya jika pelanggan dan pelayan anda mengesahkan satu sama lain, hanya untuk mengetahui bahawa seseorang telah memintas data sandaran. Ini sangat penting jika data sandaran anda bergerak melalui rangkaian yang tidak selamat, seperti melalui Internet dari pejabat wilayah ke ibu pejabat.

Sejak beberapa tahun kebelakangan ini, terdapat banyak acara yang diiklankan dengan baik di mana syarikat kehilangan jejak cadangan mereka. Selalunya ini melibatkan kehilangan maklumat kewangan yang sensitif. Dalam satu kejadian seperti itu pada tahun 2005, sebuah syarikat perkongsian masa yang terkenal kehilangan pita sandaran dengan maklumat kewangan sensitif untuk 260,000 pelanggannya. Tentunya potensi kerosakan pada pelanggan sangat besar, begitu juga dengan kerosakan pada syarikat pembahagian masa dan reputasinya.

Perisian sandaran anda harus memberikan fleksibiliti untuk mengenkripsi data dalam perjalanan sebelum dikirimkan melalui wayar, atau dalam keadaan rehat ketika data ditulis ke media sandaran. Ia harus menggunakan kaedah penyulitan yang tersedia dan boleh disahkan. Anda juga harus mempunyai pilihan untuk menggunakan kaedah penyulitan yang berbeza dan memanfaatkan perkembangan baru dan algoritma penyulitan.

There are hardware-based solutions. Both Network Appliance's Decru division, and Neoscale offer hardware appliances that intercept writes to backup media (tape) and encrypt it on the fly. This has the advantage of speed, but comes at a high infrastructure cost.

Amanda mempunyai kemampuan untuk mengenkripsi data baik pada klien, sebelum pengiriman ke pelayan sandaran, atau di pelayan sandaran itu sendiri. Enkripsi sisi pelanggan dan pelayan boleh menggunakan program enkripsi yang membaca dari input standard dan menulis ke output standard. Ini termasuk perintah aespipe, yang menyokong pelbagai rutin penyulitan AES. Alat lain yang biasa digunakan dengan program penyulitan Amanda adalah gpg.

Sudah tentu, tanpa pengurusan kunci yang baik data tidak dapat dipulihkan. Amanda tidak menyediakan penyelesaian pengurusan utama dengan sendirinya, melainkan berfungsi dengan penyelesaian pengurusan utama yang dimandatkan oleh polisi IT anda.

Keterbukaan dan fleksibiliti pilihan penyulitan membolehkan Amanda menyesuaikan diri dengan dasar keselamatan dan proses kebanyakan persekitaran IT termasuk organisasi dengan syarat keselamatan yang ketat.

Siapa yang mempunyai kawalan ke atas sandaran dan pemulihan anda?

Hari ini ada banyak orang yang mesti mengambil bahagian dalam mengkonfigurasi dan menggunakan perisian sandaran dan pemulihan. Di perusahaan yang lebih besar, tidak biasa bagi kakitangan meja bantuan untuk mendekati puluhan individu. Selalunya kakitangan ini perlu diberi kuasa atas operasi pemulihan data.

It is wise to choose a backup program that lets you delegate authority to individuals, as long as it provides a fine level of granularity. If your backup and recovery system does not have a fine level of granularity then you are exposed to the possibility of recovery abuses. Most backup and recovery packages have the concept of administrators. These administrators often have global privileges and can recover anyone's data. This might include highly sensitive data, such as payroll or financial records.

Amanda Enterprise takes a better approach. It lets you create roles for each operator, limiting what data they have access to. This lets you segregate sensitive data to ensure that only those with an absolute need to recover the data have the ability to do so.

Bolehkah anda membuat sandaran melalui firewall?

Today's data center environments often include the use of firewalls even internally to protect corporate computers from attack. Your backup server will almost invariably be behind your corporate firewall. The question arises - how do you backup those computers on the other side of a firewall?

Salah satu penyelesaiannya adalah dengan menggunakan pelayan sandaran kedua di sisi firewall yang sesuai. Walau bagaimanapun, ini tidak selalu dapat dilaksanakan atau diinginkan. Ini meningkatkan kebimbangan keselamatan, dan bukannya mengurangkannya. Penyelesaian yang lebih baik ialah perisian sandaran klien dan pelayan anda menggunakan port yang ditentukan (tetapi boleh diubah) dengan baik untuk berkomunikasi. Anda kemudian boleh mengkonfigurasi firewall anda untuk membolehkan lalu lintas dari alamat IP yang diketahui melalui firewall untuk membolehkan sandaran dan memulihkan lalu lintas melalui.

Pertimbangan mengenai pendekatan ini adalah jumlah port yang diperlukan perisian sandaran. Perisian sandaran anda tidak boleh menggunakan terlalu banyak port, kerana cukup sukar untuk membuka satu atau dua port di firewall anda. Beberapa produk sandaran sumber tertutup yang tersedia secara komersial menggunakan berpuluh-puluh port per pelayan sandaran.

Amanda mempunyai keupayaan untuk menggunakan beberapa port yang ditentukan oleh pentadbir untuk berkomunikasi dengan pelayan sandaran dan pelanggan. Keupayaan ini menjadikannya sangat sesuai untuk membuat sandaran melalui firewall.

Sokongan untuk Sistem Operasi yang Dipertingkatkan Keselamatan seperti SE Linux

Security-Enhanced Linux (SELinux) adalah varian Linux yang menerapkan pelbagai kebijakan keselamatan, termasuk kawalan akses wajib gaya Departemen Pertahanan AS, melalui penggunaan Linux Security Modules (LSM) di kernel Linux. Sejak Red Hat memperkenalkan SELinux dengan penawaran Perusahaannya, SELinux kini banyak digunakan dalam lingkungan pemerintahan, ketenteraan dan komersial. Hari ini tidak ada vendor sandaran sumber tertutup yang menyokong SELinux. Walau bagaimanapun, Amanda bekerja dengan baik dengan dasar SELinux.

Adakah perisian sandaran anda ditulis dengan mempertimbangkan keselamatan?

Perisian sandaran mempunyai fail konfigurasi yang menyimpan kata laluan dan hak kawalan akses bukan hanya untuk pelayan fail tetapi juga untuk pelayan aplikasi dan pangkalan data. Pastikan fail konfigurasi ini hanya dapat dibaca oleh pengguna yang dibenarkan.

Everyone who uses a closed-source software product can only guess what is inside of it. Since the vendor does not make the code available for inspection it is very difficult to tell if the software is totally secure, or if there are "back doors" coded into the software such as infamous back door discovered in Microsoft IIS servers in 2000.

The United States Computer Emergency Readiness Team (US-CERT) issues the vulnerability alerts for commercial backup software all the time. For example, the Vulnerability Note VU#744137 alerts that in Symantec Veritas NetBackup software the catalog daemon contains a stack-based buffer overflow that could allow a remote attacker to execute arbitrary code on a NetBackup master server.

Sumber terbuka, sebaliknya, hampir tidak tahan dengan masalah seperti ini. Terdapat mekanisme built-in peer review terhadap kod yang hampir memastikan bahawa tidak ada yang tidak perlu disertakan. Tidak ada pemaju Sumber Terbuka yang menghargai diri sendiri yang akan mempertaruhkan reputasi dan kariernya dengan memasukkan pintu belakang ke dalam produk sumber terbuka. Walaupun pintu belakang seperti itu disertakan, pintu itu kemungkinan akan segera dijumpai dan dikeluarkan.

Selain itu, perisian sumber terbuka dapat diperiksa dengan mudah untuk kualiti dan keselamatan. Terdapat alat sumber terbuka yang tersedia secara komersial dan bebas untuk menganalisis kod perisian untuk kelemahan keselamatan. Sebilangannya adalah:

Alat-alat ini tersedia secara bebas, dan dapat mengimbas pelbagai bahasa pengaturcaraan. Bogosec (http://bogosec.sourceforge.net/index.html) adalah pembungkus alat ini, dan dapat meramalkan masalah keselamatan dalam perisian. Walau bagaimanapun, tanpa kod sumber yang tersedia untuk perisian sandaran, alat ini tidak berguna.

When it comes to information security these are very real concerns for any backup package. When selecting a backup package you have to make sure there are no known security flaws in the software. Amanda, the leading open source backup package, has been tested with a variety of tools and by several organizations. For example, Coverity (http://scan.coverity.com), a collaborative effort between Stanford University and the open source community, tested Amanda code quality. When bugs were discovered the Amanda community quickly corrected them and reduced the count to zero. This compares to an average defect rate of 20 to 30 bugs per 1000 lines of code for commercial software, according to Carnegie Mellon University's CyLab Sustainable Computing Consortium.

Senarai Semak Keselamatan Sandaran

Adakah terdapat pengesahan pelayan sandaran dan klien sandaran yang kuat?
Adakah terdapat enkripsi pada pelanggan untuk mendapatkan data dalam perjalanan?
Adakah penyulitan pada pelayan sandaran untuk mengamankan data pada media sandaran, misalnya pita?
Bolehkah anda memilih antara kaedah penyulitan yang berbeza dan memanfaatkan algoritma penyulitan baru?
Adakah kawalan akses berdasarkan peranan untuk pentadbiran, sandaran dan pemulihan?
Bolehkah anda membuka hanya beberapa port (idealnya hanya satu port) untuk sandaran melalui firewall?
Adakah sokongan untuk SELinux?
Adakah anda mengesahkan keselamatan fail konfigurasi perisian sandaran yang menyimpan kata laluan untuk pelayan fail, pangkalan data dan aplikasi?
Adakah anda mengesahkan bahawa US-CERT tidak mempunyai amaran mengenai perisian sandaran anda?
Adakah terdapat laporan bebas mengenai kualiti dan keselamatan kod untuk perisian sandaran anda?

Kesimpulannya

Oleh kerana sandaran anda adalah salinan aset digital paling berharga anda, keselamatan sandaran adalah pertimbangan kritikal. Menerapkan polisi sandaran yang benar-benar selamat tetapi berdaya maju memerlukan pemahaman menyeluruh mengenai pertukaran yang berkaitan. Walau bagaimanapun, mana-mana organisasi boleh menemui kompromi yang munasabah untuk menetapkan dasar sandaran selamat yang mampu dimiliki. Perkara penting yang perlu diingat ialah keselamatan sandaran bukanlah projek, tetapi proses yang memerlukan pemantauan dan penambahbaikan berterusan.

logo_crn_emerging_vendors
byte-switch-top-10-penyimpanan
bossie_for-www-rumah
keselamatan diperakui
emas_mysql
logo-rakan-amazon