Autorzy: Chander Kant i Dmitri Joukovski

In the last few years there have been many headlines about high-profile incidents of lost or stolen backup tapes. Despite increasing attention to security, backup procedures are often neglected in overall security policies. The main reason for that discrepancy is that, historically, backup and security have had almost opposite goals. Security procedures often require strong access control to user's data. Backup software, however, is optimized to simplify recovery, sometimes to a different platform or different location and often by someone other than the original owner of the data.

Using the example of the most popular oprogramowanie do tworzenia kopii zapasowych i odzyskiwania oprogramowania typu open source, Amanda, we will review best practices for ensuring security of backup data. Specifically, we will review the following aspects of backup security:

 

Czy Twoje systemy naprawdę łączą się z właściwym serwerem kopii zapasowych?

Most data centers rely on network-based backup. In order to do this securely, there must be a trust relationship established between the backup client (the machine being backed up) and the backup server (the machine doing the backup). Without a verifiable way to establish this trust relationship various "man-in-the-middle" attacks can occur.

Jedną z możliwych luk w zabezpieczeniach jest przypadek, w którym oprogramowanie do tworzenia kopii zapasowych pozwala klientowi kopii zapasowej określić, że dowolny serwer kopii zapasowej może zainicjować tworzenie kopii zapasowej. W przeciwieństwie do Amandy, niektóre popularne narzędzia do tworzenia kopii zapasowych o zamkniętym kodzie źródłowym są dostarczane z tym ustawieniem jako domyślnym. O ile nie jesteś świadomy tej luki i nie zmienisz ustawienia domyślnego, każdy posiadacz laptopa lub komputera stacjonarnego może zainstalować wersję próbną pakietu kopii zapasowych i zainicjować tworzenie kopii zapasowej dowolnego klienta kopii zapasowej w Twojej organizacji. Te kopie zapasowe można następnie łatwo skierować na dysk fałszywego serwera kopii zapasowych.

Podobna obawa istnieje w przeciwnym kierunku. Czy Twój serwer zapasowy dostarcza dane do przywrócenia do odpowiedniego systemu? A może ktoś zmusza system do podszywania się pod klienta kopii zapasowych?

Znacznie lepszym podejściem jest wymaganie, aby oprogramowanie do tworzenia kopii zapasowych stosowało silne uwierzytelnianie zarówno klienta kopii zapasowych, jak i serwera kopii zapasowych. Oczywiście metoda uwierzytelniania powinna również podlegać kontroli. Dobrym wyborem byłby mechanizm oparty na kluczach, podobny do tego oferowanego przez narzędzie open source openssh (http://www.openssh.com).

Can your backup data be compromised when it travels the network or if your backup tape "falls off the truck"?

Nie ma sensu, gdy klient i serwer uwierzytelniają się nawzajem, tylko po to, aby dowiedzieć się, że ktoś przechwycił dane kopii zapasowej. Jest to szczególnie ważne, jeśli dane kopii zapasowej są przesyłane przez niezabezpieczoną sieć, na przykład przez Internet z biura regionalnego do siedziby głównej.

W ciągu ostatnich kilku lat miały miejsce głośne wydarzenia, podczas których firmy tracą kontrolę nad taśmami z kopiami zapasowymi. Często wiąże się to z utratą wrażliwych informacji finansowych. W jednym z takich incydentów w 2005 r. Znana firma zajmująca się podziałem czasu straciła zapasowe taśmy z poufnymi informacjami finansowymi dla 260 000 swoich klientów. Oczywiście potencjalne szkody dla klientów były ogromne, podobnie jak szkody wyrządzone spółce z podziałem czasu i jej reputacji.

Oprogramowanie do tworzenia kopii zapasowych powinno zapewniać elastyczność w zakresie szyfrowania przesyłanych danych, zanim zostaną one wysłane przewodowo, lub w stanie spoczynku, gdy dane zostaną zapisane na nośniku kopii zapasowej. Powinien używać ogólnodostępnych, weryfikowalnych metod szyfrowania. Powinieneś także mieć możliwość korzystania z różnych metod szyfrowania i korzystania z nowych osiągnięć i algorytmów szyfrowania.

There are hardware-based solutions. Both Network Appliance's Decru division, and Neoscale offer hardware appliances that intercept writes to backup media (tape) and encrypt it on the fly. This has the advantage of speed, but comes at a high infrastructure cost.

Amanda ma możliwość szyfrowania danych albo na kliencie, przed przesłaniem do serwera backupu, albo na samym serwerze backupu. Szyfrowanie po stronie klienta i serwera może wykorzystywać dowolny program szyfrujący, który czyta ze standardowego wejścia i zapisuje na standardowe wyjście. Obejmuje to polecenie aespipe, które obsługuje różne procedury szyfrowania AES. Innym powszechnie używanym narzędziem z programem szyfrującym Amanda jest gpg.

Oczywiście bez dobrego zarządzania kluczami danych nie można odzyskać. Amanda nie dostarcza samodzielnie rozwiązania do zarządzania kluczami, ale raczej współpracuje z dowolnym rozwiązaniem do zarządzania kluczami wymaganymi przez Twoją politykę IT.

Otwartość i elastyczność opcji szyfrowania pozwala Amandzie dobrze dopasować się do polityk bezpieczeństwa i procesów większości środowisk IT, w tym organizacji o surowych wymaganiach bezpieczeństwa.

Kto ma kontrolę nad Twoimi kopiami zapasowymi i odzyskiwaniem?

Obecnie wiele osób musi uczestniczyć w konfigurowaniu i używaniu oprogramowania do tworzenia kopii zapasowych i odzyskiwania. W większych przedsiębiorstwach często pracownicy działu pomocy technicznej podchodzą do dziesiątek osób. Często personel ten musi mieć pewne uprawnienia w zakresie operacji odzyskiwania danych.

It is wise to choose a backup program that lets you delegate authority to individuals, as long as it provides a fine level of granularity. If your backup and recovery system does not have a fine level of granularity then you are exposed to the possibility of recovery abuses. Most backup and recovery packages have the concept of administrators. These administrators often have global privileges and can recover anyone's data. This might include highly sensitive data, such as payroll or financial records.

Amanda Enterprise takes a better approach. It lets you create roles for each operator, limiting what data they have access to. This lets you segregate sensitive data to ensure that only those with an absolute need to recover the data have the ability to do so.

Czy możesz wykonać kopię zapasową przez zaporę ogniową?

Today's data center environments often include the use of firewalls even internally to protect corporate computers from attack. Your backup server will almost invariably be behind your corporate firewall. The question arises - how do you backup those computers on the other side of a firewall?

Jednym z rozwiązań jest zainstalowanie drugiego serwera zapasowego po odpowiedniej stronie zapory. Jednak nie zawsze jest to wykonalne lub pożądane. Zwiększa to obawy dotyczące bezpieczeństwa, a nie je zmniejsza. Lepszym rozwiązaniem jest używanie przez oprogramowanie klienta kopii zapasowych i serwera do komunikacji dobrze zdefiniowanych (ale możliwych do zmiany) portów. Następnie możesz skonfigurować zaporę, aby zezwalała na ruch ze znanych adresów IP przez zaporę, aby umożliwić tworzenie kopii zapasowych i przywracanie ruchu.

Należy wziąć pod uwagę liczbę portów wymaganych przez oprogramowanie do tworzenia kopii zapasowych. Oprogramowanie do tworzenia kopii zapasowych nie powinno używać zbyt wielu portów, ponieważ otwarcie jednego lub dwóch portów w zaporze jest wystarczająco trudne. Niektóre dostępne na rynku produkty do tworzenia kopii zapasowych o zamkniętym kodzie źródłowym używają dziesiątek portów na serwer kopii zapasowych.

Amanda ma możliwość korzystania z kilku portów zdefiniowanych przez administratora do komunikacji serwera kopii zapasowych i klienta. Ta zdolność sprawia, że dobrze nadaje się do tworzenia kopii zapasowych przez zaporę.

Obsługa systemów operacyjnych o zwiększonych zabezpieczeniach, takich jak SE Linux

Security-Enhanced Linux (SELinux) to wariant Linuksa, który implementuje różnorodne polityki bezpieczeństwa, w tym obowiązkową kontrolę dostępu w stylu Departamentu Obrony Stanów Zjednoczonych, poprzez użycie modułów bezpieczeństwa Linuksa (LSM) w jądrze Linuksa. Odkąd Red Hat wprowadził SELinux z ofertą Enterprise, SELinux jest obecnie szeroko stosowany w środowiskach rządowych, wojskowych i często komercyjnych. Obecnie nie ma dostawcy kopii zapasowych o zamkniętym kodzie źródłowym, który obsługuje SELinux. Amanda jednak bardzo dobrze współpracuje z politykami SELinux.

Czy oprogramowanie do tworzenia kopii zapasowych zostało napisane z myślą o bezpieczeństwie?

Oprogramowanie do tworzenia kopii zapasowych zawiera pliki konfiguracyjne, które przechowują hasła i prawa dostępu nie tylko do serwerów plików, ale także do serwerów aplikacji i baz danych. Upewnij się, że te pliki konfiguracyjne są czytelne tylko dla upoważnionych użytkowników.

Everyone who uses a closed-source software product can only guess what is inside of it. Since the vendor does not make the code available for inspection it is very difficult to tell if the software is totally secure, or if there are "back doors" coded into the software such as infamous back door discovered in Microsoft IIS servers in 2000.

The United States Computer Emergency Readiness Team (US-CERT) issues the vulnerability alerts for commercial backup software all the time. For example, the Vulnerability Note VU#744137 alerts that in Symantec Veritas NetBackup software the catalog daemon contains a stack-based buffer overflow that could allow a remote attacker to execute arbitrary code on a NetBackup master server.

Z drugiej strony oprogramowanie typu open source jest prawie odporne na tego rodzaju problemy. Istnieje wbudowany mechanizm wzajemnej weryfikacji kodu, który praktycznie gwarantuje, że nie zawiera niczego, co jest zbędne. Żaden szanujący się programista Open Source nie ryzykowałby swojej reputacji i kariery, stawiając tylne drzwi do produktu open source. Nawet gdyby takie tylne drzwi zostały uwzględnione, najprawdopodobniej zostałyby szybko znalezione i usunięte.

Ponadto oprogramowanie open source można łatwo sprawdzić pod kątem jakości i bezpieczeństwa. Istnieją zarówno komercyjne, jak i ogólnodostępne narzędzia open source do analizy kodu oprogramowania pod kątem luk w zabezpieczeniach. Oto niektóre z nich:

Narzędzia te są dostępne bezpłatnie i mogą skanować różne języki programowania. Bogosec (http://bogosec.sourceforge.net/index.html) otacza te narzędzia i może przewidywać problemy z bezpieczeństwem w oprogramowaniu. Jednak bez dostępnego kodu źródłowego oprogramowania do tworzenia kopii zapasowych narzędzia te są bezużyteczne.

When it comes to information security these are very real concerns for any backup package. When selecting a backup package you have to make sure there are no known security flaws in the software. Amanda, the leading open source backup package, has been tested with a variety of tools and by several organizations. For example, Coverity (http://scan.coverity.com), a collaborative effort between Stanford University and the open source community, tested Amanda code quality. When bugs were discovered the Amanda community quickly corrected them and reduced the count to zero. This compares to an average defect rate of 20 to 30 bugs per 1000 lines of code for commercial software, according to Carnegie Mellon University's CyLab Sustainable Computing Consortium.

Lista kontrolna bezpieczeństwa kopii zapasowych

Czy istnieje silne uwierzytelnienie serwera kopii zapasowych i klientów kopii zapasowych?
Czy na kliencie istnieje szyfrowanie w celu zabezpieczenia przesyłanych danych?
Czy na serwerze kopii zapasowych istnieje szyfrowanie w celu zabezpieczenia danych na nośniku kopii zapasowej, np. Taśmie?
Czy możesz wybierać między różnymi metodami szyfrowania i korzystać z nowych algorytmów szyfrowania?
Czy istnieje kontrola dostępu oparta na rolach na potrzeby administrowania, tworzenia kopii zapasowych i odzyskiwania?
Czy możesz otworzyć tylko kilka portów (najlepiej tylko jeden port) do tworzenia kopii zapasowych przez zaporę?
Czy jest wsparcie dla SELinux?
Czy zweryfikowano bezpieczeństwo plików konfiguracyjnych oprogramowania do tworzenia kopii zapasowych, które przechowują hasła do serwerów plików, baz danych i aplikacji?
Czy sprawdziłeś, że US-CERT nie ma żadnych alertów dotyczących oprogramowania do tworzenia kopii zapasowych?
Czy istnieją niezależne raporty dotyczące jakości i bezpieczeństwa kodu oprogramowania do tworzenia kopii zapasowych?

Wniosek

Ponieważ kopia zapasowa jest kopią najcenniejszych zasobów cyfrowych, bezpieczeństwo kopii zapasowej jest kwestią krytyczną. Wdrażanie naprawdę bezpiecznych, ale opłacalnych finansowo zasad tworzenia kopii zapasowych wymaga dogłębnego zrozumienia związanych z nimi kompromisów. Jednak każda organizacja może znaleźć rozsądny kompromis w celu ustanowienia bezpiecznych zasad tworzenia kopii zapasowych, na które może sobie pozwolić. Należy pamiętać, że bezpieczeństwo kopii zapasowych nie jest projektem, ale procesem, który wymaga ciągłego monitorowania i doskonalenia.

logo_crn_emerging_vendors
bajt-przełącznik-top-10-storage
bossie_for-www-home
certyfikat bezpieczeństwa
gold_mysql
logo-amazon-partner