Veilige back-up en herstel - best practices

Door Chander Kant en Dmitri Joukovski

In de afgelopen jaren zijn er veel krantenkoppen geweest over spraakmakende incidenten van verloren of gestolen back-uptapes. Ondanks de toenemende aandacht voor beveiliging, worden back-upprocedures vaak verwaarloosd in het algemene beveiligingsbeleid. De belangrijkste reden voor die discrepantie is dat back-up en beveiliging historisch gezien bijna tegengestelde doelen hadden. Beveiligingsprocedures vereisen vaak een sterke toegangscontrole tot de gegevens van de gebruiker. Back-upsoftware is echter geoptimaliseerd om het herstel te vereenvoudigen, soms naar een ander platform of een andere locatie en vaak door iemand anders dan de oorspronkelijke eigenaar van de gegevens.

Met behulp van het voorbeeld van de meest populaire open source back-up- en herstelsoftware, Amanda, we zullen de best practices bekijken om de veiligheid van back-upgegevens te waarborgen. In het bijzonder zullen we de volgende aspecten van back-upbeveiliging bekijken:

Authenticatie van gebruikers en back-upclients naar de back-upserver.
Op rollen gebaseerde toegangscontrolelijsten voor alle back-up- en herstelbewerkingen.
Gegevenscoderingsopties voor zowel verzending als opslag.
Flexibiliteit bij het kiezen van encryptie- en authenticatie-algoritmen, bijvoorbeeld aespipe of gpg.
Back-up van externe clients naar een gecentraliseerde locatie achter firewalls.
Back-up en herstel van clients met Security-Enhanced Linux (SELinux).
Best practices gebruiken om veilige software te schrijven

Maken uw systemen echt contact met de juiste back-upserver?

De meeste datacenters vertrouwen op netwerkgebaseerde back-up. Om dit veilig te doen, moet er een vertrouwensrelatie tot stand zijn gebracht tussen de back-upclient (de machine waarvan een back-up wordt gemaakt) en de back-upserver (de machine die de back-up maakt). Zonder een verifieerbare manier om deze vertrouwensrelatie tot stand te brengen, kunnen verschillende "man-in-the-middle" -aanvallen plaatsvinden.

Een mogelijke kwetsbaarheid is het geval waarin back-upsoftware de back-upclient laat specificeren dat elke back-upserver een back-up mag starten. In tegenstelling tot Amanda worden sommige populaire closed-source back-uptools standaard met deze instelling geleverd. Tenzij u zich bewust bent van deze kwetsbaarheid en de standaardinstelling wijzigt, kan iedereen met een laptop of desktopcomputer de proefversie van het back-uppakket installeren en een back-up maken van elke back-upclient in uw organisatie. Deze back-ups kunnen vervolgens gemakkelijk naar de schijf van een malafide back-upserver worden gestuurd.

Een soortgelijke bezorgdheid bestaat in de tegenovergestelde richting. Levert uw back-upserver gegevens voor herstel naar het juiste systeem? Of dwingt iemand een systeem zich voor te doen als back-upclient?

Een veel betere benadering is dat back-upsoftware een sterke authenticatie van zowel de back-upclient als de back-upserver gebruikt. Uiteraard dient ook de authenticatiemethode te worden onderzocht. Een goede keuze zou een op sleutels gebaseerd mechanisme zijn, vergelijkbaar met het mechanisme dat wordt aangeboden door de open source-tool openssh (http://www.openssh.com).

Kunnen uw back-upgegevens worden aangetast wanneer deze over het netwerk worden vervoerd of als uw back-uptape "van de truck valt"?

Het heeft geen zin als uw client en server elkaar authenticeren, alleen om erachter te komen dat iemand de back-upgegevens heeft onderschept. Dit is vooral belangrijk als uw back-upgegevens via een onbeveiligd netwerk worden verzonden, zoals via internet van een regionaal kantoor naar het hoofdkantoor.

In de afgelopen jaren zijn er evenementen met veel publiciteit geweest waarbij bedrijven hun back-uptapes uit het oog zijn geraakt. Vaak gaat het hierbij om het verlies van gevoelige financiële informatie. Bij een dergelijk incident in 2005 verloor een bekend timesharingbedrijf voor 260,000 klanten back-uptapes met gevoelige financiële informatie. Het was duidelijk dat de potentiële schade voor de klanten enorm was, evenals de schade aan het timesharingbedrijf en zijn reputatie.

Uw back-upsoftware moet flexibiliteit bieden om gegevens onderweg te versleutelen voordat ze via een kabel worden verzonden, of in rust wanneer gegevens naar de back-upmedia worden geschreven. Het zou vrij beschikbare, verifieerbare versleutelingsmethoden moeten gebruiken. U zou ook de mogelijkheid moeten hebben om verschillende versleutelingsmethoden te gebruiken en te profiteren van nieuwe ontwikkelingen en versleutelingsalgoritmen.

Er zijn op hardware gebaseerde oplossingen. Zowel de Decru-divisie van Network Appliance als Neoscale bieden hardwareapparatuur die schrijfopdrachten naar back-upmedia (tape) onderschept en on-the-fly versleutelt. Dit heeft het voordeel van snelheid, maar brengt hoge infrastructuurkosten met zich mee.

Amanda heeft de mogelijkheid om de gegevens ofwel op de client, voorafgaand aan verzending naar de backupserver, ofwel op de backupserver zelf te versleutelen. Zowel client- als server-side encryptie kan elk versleutelingsprogramma gebruiken dat leest van standaardinvoer en schrijft naar standaarduitvoer. Dit omvat de aespipe-opdracht, die verschillende AES-coderingsroutines ondersteunt. Een andere veelgebruikte tool met het coderingsprogramma van Amanda is gpg.

Zonder goed sleutelbeheer kunnen de gegevens natuurlijk niet worden hersteld. Amanda biedt op zichzelf geen oplossing voor sleutelbeheer, maar werkt eerder met elke oplossing voor sleutelbeheer die wordt voorgeschreven door uw IT-beleid.

Door de openheid en flexibiliteit van encryptie-opties past Amanda goed in beveiligingsbeleid en -processen van de meeste IT-omgevingen, inclusief organisaties met strikte beveiligingseisen.

Wie heeft de controle over uw back-ups en herstelbewerkingen?

Tegenwoordig zijn er verschillende mensen die moeten deelnemen aan het configureren en gebruiken van back-up- en herstelsoftware. In grotere ondernemingen is het niet ongebruikelijk dat helpdeskmedewerkers tientallen personen benaderen. Vaak moet aan dit personeel enige autoriteit worden gegeven over gegevenshersteloperaties.

Het is verstandig om een back-upprogramma te kiezen waarmee u autoriteit aan individuen kunt delegeren, zolang het maar een fijn niveau van granulariteit biedt. Als uw back-up- en herstelsysteem geen fijn niveau van granulariteit heeft, wordt u blootgesteld aan de mogelijkheid van misbruik van herstel. De meeste back-up- en herstelpakketten hebben het concept van beheerders. Deze beheerders hebben vaak algemene rechten en kunnen de gegevens van iedereen herstellen. Dit kunnen zeer gevoelige gegevens zijn, zoals salarisadministratie of financiële gegevens.

Amanda onderneming kiest voor een betere aanpak. Hiermee kunt u rollen voor elke operator maken, waardoor de gegevens worden beperkt waartoe ze toegang hebben. Hierdoor kunt u gevoelige gegevens scheiden om ervoor te zorgen dat alleen degenen die de gegevens absoluut moeten herstellen, de mogelijkheid hebben om dit te doen.

Kunt u een back-up maken via een firewall?

De datacenteromgevingen van tegenwoordig bevatten vaak het gebruik van firewalls, zelfs intern, om bedrijfscomputers tegen aanvallen te beschermen. Uw back-upserver bevindt zich bijna altijd achter uw bedrijfsfirewall. De vraag rijst: hoe maak je een back-up van die computers aan de andere kant van een firewall?

Een oplossing is om een tweede back-upserver in te zetten aan de juiste kant van de firewall. Dit is echter niet altijd haalbaar of wenselijk. Dit vergroot de bezorgdheid over de beveiliging in plaats van deze te verminderen. Een betere oplossing is dat uw back-upclient en serversoftware goed gedefinieerde (maar veranderlijke) poorten gebruiken om te communiceren. U kunt vervolgens uw firewall configureren om verkeer van bekende IP-adressen door de firewall te laten lopen om back-up en herstel van verkeer door te laten.

Een overweging bij deze benadering is het aantal poorten dat de back-upsoftware nodig heeft. Uw back-upsoftware mag niet te veel poorten gebruiken, aangezien het al moeilijk genoeg is om een of twee poorten in uw firewall te openen. Sommige in de handel verkrijgbare closed-source back-upproducten gebruiken tientallen poorten per back-upserver.

Amanda heeft de mogelijkheid om een paar door de beheerder gedefinieerde poorten te gebruiken waarmee de back-upserver en client kunnen communiceren. Deze mogelijkheid maakt het zeer geschikt om een back-up te maken via een firewall.

Ondersteuning voor besturingssystemen met verbeterde beveiliging, zoals SE Linux

Security-Enhanced Linux (SELinux) is een Linux-variant die een verscheidenheid aan beveiligingsbeleid implementeert, waaronder verplichte toegangscontroles in de stijl van het Amerikaanse ministerie van Defensie, door het gebruik van Linux-beveiligingsmodules (LSM) in de Linux-kernel. Sinds Red Hat SELinux heeft geïntroduceerd met zijn Enterprise-aanbod, wordt SELinux nu veel gebruikt in overheids-, militaire en vaak commerciële omgevingen. Tegenwoordig is er geen leverancier van closed source backups die SELinux ondersteunt. Amanda werkt echter heel goed met SELinux-beleid.

Is uw back-upsoftware geschreven met het oog op veiligheid?

Back-upsoftware heeft configuratiebestanden waarin wachtwoorden en toegangscontrolerechten worden opgeslagen, niet alleen voor bestandsservers, maar ook voor applicatie- en databaseservers. Zorg ervoor dat deze configuratiebestanden alleen leesbaar zijn door geautoriseerde gebruikers.

Iedereen die een closed-source softwareproduct gebruikt, kan alleen raden wat er in zit. Aangezien de leverancier de code niet beschikbaar stelt voor inspectie, is het erg moeilijk om te zeggen of de software volledig veilig is, of dat er "achterdeurtjes" in de software zijn gecodeerd, zoals een beruchte achterdeur die in 2000 werd ontdekt op Microsoft IIS-servers.

Het United States Computer Emergency Readiness Team (US-CERT) geeft de hele tijd kwetsbaarheidswaarschuwingen voor commerciële back-upsoftware uit. De Vulnerability Note VU # 744137 waarschuwt bijvoorbeeld dat in Symantec Veritas NetBackup software bevat de catalogusdaemon een stack-gebaseerde bufferoverloop waardoor een aanvaller op afstand willekeurige code kan uitvoeren op een NetBackup-masterserver.

Open source daarentegen is bijna ongevoelig voor dit soort problemen. Er is een ingebouwd mechanisme van peer review van de code dat er vrijwel zeker van is dat niets dat onnodig is, wordt opgenomen. Geen enkele zichzelf respecterende Open Source-ontwikkelaar zou zijn reputatie en carrière op het spel zetten door een achterdeur te plaatsen in een open source-product. Zelfs als een dergelijke achterdeur zou zijn inbegrepen, zou deze waarschijnlijk snel worden gevonden en verwijderd.

Bovendien kan open source software eenvoudig worden geïnspecteerd op zowel kwaliteit als veiligheid. Er zijn zowel commerciële als gratis beschikbare open source-tools voor het analyseren van softwarecode op kwetsbaarheden in de beveiliging. Enkele hiervan zijn:

Ruwe controletool voor beveiliging (RATS)
ITS4 door Cigital
Flawfinder door David A. Wheeler.

Deze tools zijn gratis beschikbaar en kunnen verschillende programmeertalen scannen. Bogosec (http://bogosec.sourceforge.net/index.html) is een omhulsel rond deze tools en kan beveiligingsproblemen in software voorspellen. Zonder beschikbare broncode voor back-upsoftware zijn deze tools echter nutteloos.

Als het gaat om informatiebeveiliging, zijn dit zeer reële zorgen voor elk back-uppakket. Bij het selecteren van een back-uppakket moet u ervoor zorgen dat er geen beveiligingsfouten in de software bekend zijn. Amanda, het toonaangevende open source back-uppakket, is getest met verschillende tools en door verschillende organisaties. Coverity (http://scan.coverity.com), een samenwerkingsverband tussen Stanford University en de open source-gemeenschap, heeft bijvoorbeeld de codekwaliteit van Amanda getest. Toen er bugs werden ontdekt, corrigeerde de Amanda-gemeenschap ze snel en reduceerde het aantal tot nul. Dit is vergelijkbaar met een gemiddeld defectpercentage van 20 tot 30 bugs per 1000 regels code voor commerciële software, volgens het CyLab Sustainable Computing Consortium van Carnegie Mellon University.

Controlelijst voor back-upbeveiliging

	Ja	Nee
Is er een sterke authenticatie van back-upserver en back-upclients?
Is er codering op een client voor het beveiligen van gegevens tijdens de overdracht?
Is er codering op een back-upserver voor het beveiligen van gegevens op een back-upmedium, bijv. Tape?
Kunt u kiezen tussen verschillende versleutelingsmethoden en profiteren van nieuwe versleutelingsalgoritmen?
Is er op rollen gebaseerde toegangscontrole voor beheer, back-up en herstel?
Kunt u slechts een paar poorten openen (idealiter slechts één poort) voor back-up via een firewall?
Is er ondersteuning voor SELinux?
Hebt u de beveiliging gecontroleerd van configuratiebestanden van back-upsoftware waarin wachtwoorden worden opgeslagen voor bestands-, database- en applicatieservers?
Heeft u gecontroleerd dat US-CERT geen waarschuwingen heeft over uw back-upsoftware?
Zijn er onafhankelijke rapporten over de kwaliteit en beveiliging van code voor uw back-upsoftware?

Conclusie

Aangezien uw back-up een kopie is van uw meest waardevolle digitale activa, is back-upbeveiliging een cruciale overweging. Het implementeren van een echt veilig maar financieel haalbaar back-upbeleid vereist een grondig begrip van de bijbehorende afwegingen. Elke organisatie kan echter een redelijk compromis vinden om een veilig back-upbeleid vast te stellen dat het zich kan veroorloven. Het belangrijkste om te onthouden is dat back-upbeveiliging geen project is, maar een proces dat constante monitoring en verbetering vereist.

Plannen	Business	Business Plus	Enterprise
Voor wie is het?	Kleine bedrijven beschermen gegevens met 3-2-1-1 back-up	Bedrijven beschermen kritische IT werklasten en gegevens	Maatwerkoplossingen voor ondernemingen en complexe omgevingen
Prijzen
Zmanda One-licentie (Per servers, VM's en DB's)	$ 3.99 / maand	$ 5.99 / maand	Eigen
Per TB voor NAS- en bestandsshare-back-ups. Eerste 10 TB gratis	$4.99/TB/maand	$5.99/TB/maand	Eigen
Microsoft 365 back-up		$ 1.99 / gebruiker / maand	Eigen
Prijs per TB Zmanda Cloud Storage	$5.99/TB/maand	$6.99/TB/maand	Eigen
Voordelen
Linux-back-up
Windows-back-up
Database-backup
Back-up van virtuele machines
NAS/bestanden delen back-ups
Zmanda-cloudopslag
Ransomware-beveiliging
Back-up van Microsoft 365
Altijd incrementele back-ups
ramp herstel
Voltige
Deduplicatie aan de clientzijde
SSO
Geavanceerde implementatieopties
Aangepaste automatiseringsscripts
Aangepaste gebruikslagen
Support
Technische ondersteuning	Standaard	Premium	Premium
*24 7 ondersteuning**
Professionele service inbegrepen		10 uur kunt opladen	Eigen
Opleiding inbegrepen		8 uur kunt opladen	Eigen
Dedicated account manager
Deskundig advies en ontwerp
Extra professionele service (per uur)	$ 200 / uur	$ 200 / uur	$ 200 / uur