Door Chander Kant en Dmitri Joukovski

In the last few years there have been many headlines about high-profile incidents of lost or stolen backup tapes. Despite increasing attention to security, backup procedures are often neglected in overall security policies. The main reason for that discrepancy is that, historically, backup and security have had almost opposite goals. Security procedures often require strong access control to user's data. Backup software, however, is optimized to simplify recovery, sometimes to a different platform or different location and often by someone other than the original owner of the data.

Using the example of the most popular open source back-up- en herstelsoftware, Amanda, we will review best practices for ensuring security of backup data. Specifically, we will review the following aspects of backup security:

 

Maken uw systemen werkelijk contact met de juiste backupserver?

Most data centers rely on network-based backup. In order to do this securely, there must be a trust relationship established between the backup client (the machine being backed up) and the backup server (the machine doing the backup). Without a verifiable way to establish this trust relationship various "man-in-the-middle" attacks can occur.

Een mogelijke kwetsbaarheid is het geval waarin back-upsoftware de back-upclient laat specificeren dat elke back-upserver een back-up mag initiëren. In tegenstelling tot Amanda worden sommige populaire closed-source back-uptools standaard met deze instelling geleverd. Tenzij u zich bewust bent van deze kwetsbaarheid en de standaardinstelling wijzigt, kan iedereen met een laptop of desktopcomputer de proefversie van het back-uppakket installeren en een back-up maken van elke back-upclient in uw organisatie. Deze back-ups kunnen vervolgens gemakkelijk naar de schijf van een malafide back-upserver worden gestuurd.

Een soortgelijke bezorgdheid bestaat in de tegenovergestelde richting. Levert uw back-upserver gegevens voor herstel op het juiste systeem? Of dwingt iemand een systeem zich voor te doen als back-upclient?

Een veel betere benadering is dat back-upsoftware een sterke authenticatie van zowel de back-upclient als de back-upserver gebruikt. Uiteraard moet ook de authenticatiemethode kritisch kunnen worden bekeken. Een goede keuze zou een op sleutels gebaseerd mechanisme zijn, vergelijkbaar met het mechanisme dat wordt aangeboden door de open source-tool openssh (http://www.openssh.com).

Can your backup data be compromised when it travels the network or if your backup tape "falls off the truck"?

Het heeft geen zin als uw client en server elkaar authenticeren, alleen om erachter te komen dat iemand de back-upgegevens heeft onderschept. Dit is vooral belangrijk als uw back-upgegevens via een onbeveiligd netwerk worden verzonden, zoals via internet van een regionaal kantoor naar het hoofdkantoor.

In de afgelopen jaren zijn er evenementen met veel publiciteit geweest waarbij bedrijven hun back-uptapes uit het oog zijn geraakt. Vaak gaat het hierbij om het verlies van gevoelige financiële informatie. Bij een dergelijk incident in 2005 verloor een bekend timesharingbedrijf voor 260.000 klanten back-uptapes met gevoelige financiële informatie. De potentiële schade voor de klanten was duidelijk enorm, evenals de schade aan het timesharingbedrijf en zijn reputatie.

Uw back-upsoftware moet flexibiliteit bieden om gegevens onderweg te versleutelen voordat ze via een kabel worden verzonden, of in rust wanneer gegevens naar de back-upmedia worden geschreven. Het zou vrij beschikbare, verifieerbare coderingsmethoden moeten gebruiken. U moet ook de mogelijkheid hebben om verschillende versleutelingsmethoden te gebruiken en te profiteren van nieuwe ontwikkelingen en versleutelingsalgoritmen.

There are hardware-based solutions. Both Network Appliance's Decru division, and Neoscale offer hardware appliances that intercept writes to backup media (tape) and encrypt it on the fly. This has the advantage of speed, but comes at a high infrastructure cost.

Amanda heeft de mogelijkheid om de gegevens te versleutelen op de client, voorafgaand aan verzending naar de back-upserver, of op de back-upserver zelf. Zowel client- als server-side encryptie kan elk versleutelingsprogramma gebruiken dat leest van standaardinvoer en schrijft naar standaarduitvoer. Dit omvat het aespipe-commando, dat verschillende AES-coderingsroutines ondersteunt. Een andere veelgebruikte tool met het coderingsprogramma van Amanda is gpg.

Zonder goed sleutelbeheer kunnen de gegevens natuurlijk niet worden hersteld. Amanda biedt op zichzelf geen oplossing voor sleutelbeheer, maar werkt eerder met elke oplossing voor sleutelbeheer die wordt voorgeschreven door uw IT-beleid.

Door de openheid en flexibiliteit van encryptie-opties past Amanda goed in beveiligingsbeleid en -processen van de meeste IT-omgevingen, inclusief organisaties met strikte beveiligingseisen.

Wie heeft de controle over uw back-ups en herstelbewerkingen?

Tegenwoordig zijn er verschillende mensen die moeten deelnemen aan het configureren en gebruiken van back-up- en herstelsoftware. In grotere ondernemingen is het niet ongebruikelijk dat helpdeskmedewerkers tientallen personen benaderen. Vaak moeten deze medewerkers enige autoriteit krijgen over gegevenshersteloperaties.

It is wise to choose a backup program that lets you delegate authority to individuals, as long as it provides a fine level of granularity. If your backup and recovery system does not have a fine level of granularity then you are exposed to the possibility of recovery abuses. Most backup and recovery packages have the concept of administrators. These administrators often have global privileges and can recover anyone's data. This might include highly sensitive data, such as payroll or financial records.

Amanda Enterprise takes a better approach. It lets you create roles for each operator, limiting what data they have access to. This lets you segregate sensitive data to ensure that only those with an absolute need to recover the data have the ability to do so.

Kunt u een back-up maken via een firewall?

Today's data center environments often include the use of firewalls even internally to protect corporate computers from attack. Your backup server will almost invariably be behind your corporate firewall. The question arises - how do you backup those computers on the other side of a firewall?

Een oplossing is om een tweede back-upserver in te zetten aan de juiste kant van de firewall. Dit is echter niet altijd haalbaar of wenselijk. Dit vergroot de bezorgdheid over de beveiliging in plaats van deze te verminderen. Een betere oplossing is dat uw back-upclient en serversoftware goed gedefinieerde (maar veranderlijke) poorten gebruiken om te communiceren. U kunt vervolgens uw firewall configureren om verkeer van bekende IP-adressen door de firewall te laten lopen om back-up en herstel van verkeer door te laten.

Een overweging bij deze benadering is het aantal poorten dat de back-upsoftware nodig heeft. Uw back-upsoftware mag niet te veel poorten gebruiken, aangezien het al moeilijk genoeg is om een of twee poorten in uw firewall te openen. Sommige in de handel verkrijgbare closed-source back-upproducten gebruiken tientallen poorten per back-upserver.

Amanda heeft de mogelijkheid om een paar door de beheerder gedefinieerde poorten te gebruiken waarmee de back-upserver en client kunnen communiceren. Deze mogelijkheid maakt het zeer geschikt voor back-ups via een firewall.

Ondersteuning voor besturingssystemen met verbeterde beveiliging, zoals SE Linux

Security-Enhanced Linux (SELinux) is een Linux-variant die een verscheidenheid aan beveiligingsbeleid implementeert, inclusief verplichte toegangscontroles in de stijl van het Amerikaanse ministerie van Defensie, door het gebruik van Linux-beveiligingsmodules (LSM) in de Linux-kernel. Sinds Red Hat SELinux heeft geïntroduceerd met zijn Enterprise-aanbod, wordt SELinux nu veel gebruikt in overheids-, militaire en vaak commerciële omgevingen. Tegenwoordig is er geen leverancier van closed source back-ups die SELinux ondersteunt. Amanda werkt echter heel goed met SELinux-beleid.

Is uw back-upsoftware geschreven met het oog op veiligheid?

Back-upsoftware heeft configuratiebestanden die wachtwoorden en toegangscontrolerechten opslaan, niet alleen voor bestandsservers, maar ook voor applicatie- en databaseservers. Zorg ervoor dat deze configuratiebestanden alleen leesbaar zijn door geautoriseerde gebruikers.

Everyone who uses a closed-source software product can only guess what is inside of it. Since the vendor does not make the code available for inspection it is very difficult to tell if the software is totally secure, or if there are "back doors" coded into the software such as infamous back door discovered in Microsoft IIS servers in 2000.

The United States Computer Emergency Readiness Team (US-CERT) issues the vulnerability alerts for commercial backup software all the time. For example, the Vulnerability Note VU#744137 alerts that in Symantec Veritas NetBackup software the catalog daemon contains a stack-based buffer overflow that could allow a remote attacker to execute arbitrary code on a NetBackup master server.

Open source daarentegen is bijna ongevoelig voor dit soort problemen. Er is een ingebouwd mechanisme van peer review van de code dat er vrijwel zeker van is dat niets dat niet nodig is, wordt opgenomen. Geen enkele zichzelf respecterende open source-ontwikkelaar zou zijn reputatie en carrière op het spel zetten door een achterdeur te plaatsen in een open source-product. Zelfs als een dergelijke achterdeur zou zijn inbegrepen, zou deze waarschijnlijk snel worden gevonden en verwijderd.

Bovendien kan open source software eenvoudig worden geïnspecteerd op zowel kwaliteit als beveiliging. Er zijn zowel commerciële als gratis beschikbare open source-tools voor het analyseren van softwarecode op beveiligingsproblemen. Enkele hiervan zijn:

Deze tools zijn gratis beschikbaar en kunnen verschillende programmeertalen scannen. Bogosec (http://bogosec.sourceforge.net/index.html) is een omhulsel rond deze tools en kan beveiligingsproblemen in software voorspellen. Zonder beschikbare broncode voor back-upsoftware zijn deze tools echter nutteloos.

When it comes to information security these are very real concerns for any backup package. When selecting a backup package you have to make sure there are no known security flaws in the software. Amanda, the leading open source backup package, has been tested with a variety of tools and by several organizations. For example, Coverity (http://scan.coverity.com), a collaborative effort between Stanford University and the open source community, tested Amanda code quality. When bugs were discovered the Amanda community quickly corrected them and reduced the count to zero. This compares to an average defect rate of 20 to 30 bugs per 1000 lines of code for commercial software, according to Carnegie Mellon University's CyLab Sustainable Computing Consortium.

Checklist voor back-upbeveiliging

Is er een sterke authenticatie van back-upserver en back-upclients?
Is er codering op een client om gegevens tijdens de overdracht te beveiligen?
Is er codering op een back-upserver voor het beveiligen van gegevens op een back-upmedium, bijvoorbeeld tape?
Kunt u kiezen tussen verschillende versleutelingsmethoden en profiteren van nieuwe versleutelingsalgoritmen?
Is er op rollen gebaseerde toegangscontrole voor beheer, back-up en herstel?
Kunt u slechts een paar poorten openen (idealiter slechts één poort) voor back-up via een firewall?
Is er ondersteuning voor SELinux?
Heeft u de beveiliging gecontroleerd van configuratiebestanden van back-upsoftware waarin wachtwoorden worden opgeslagen voor bestands-, database- en applicatieservers?
Heeft u gecontroleerd dat US-CERT geen waarschuwingen heeft over uw back-upsoftware?
Zijn er onafhankelijke rapporten over de kwaliteit en beveiliging van code voor uw back-upsoftware?

Gevolgtrekking

Omdat uw back-up een kopie is van uw meest waardevolle digitale activa, is back-upbeveiliging een cruciale overweging. Het implementeren van een echt veilig maar financieel haalbaar back-upbeleid vereist een grondig begrip van de bijbehorende afwegingen. Elke organisatie kan echter een redelijk compromis vinden om een veilig back-upbeleid vast te stellen dat het zich kan veroorloven. Het belangrijkste om te onthouden is dat back-upbeveiliging geen project is, maar een proces dat constante monitoring en verbetering vereist.

logo_crn_emerging_vendors
byte-switch-top-10-opslag
bossie_for-www-home
veiligheid gecertificeerd
gold_mysql
logo-amazon-partner