Autorzy: Chander Kant i Dmitri Joukovski

W ciągu ostatnich kilku lat pojawiło się wiele nagłówków na temat głośnych przypadków zgubienia lub kradzieży taśm z kopiami zapasowymi. Pomimo coraz większej uwagi poświęcanej bezpieczeństwu, procedury tworzenia kopii zapasowych są często pomijane w ogólnych zasadach bezpieczeństwa. Głównym powodem tej rozbieżności jest to, że w przeszłości tworzenie kopii zapasowych i bezpieczeństwo miały prawie przeciwne cele. Procedury bezpieczeństwa często wymagają silnej kontroli dostępu do danych użytkownika. Oprogramowanie do tworzenia kopii zapasowych jest jednak zoptymalizowane pod kątem uproszczenia odzyskiwania, czasami na inną platformę lub inną lokalizację i często przez kogoś innego niż pierwotny właściciel danych.

Na przykładzie najpopularniejszego oprogramowanie do tworzenia kopii zapasowych i odzyskiwania oprogramowania typu open source, Amanda, przyjrzymy się najlepszym praktykom zapewniającym bezpieczeństwo danych kopii zapasowych. W szczególności przeanalizujemy następujące aspekty bezpieczeństwa kopii zapasowych:

 

Czy Twoje systemy naprawdę łączą się z właściwym serwerem kopii zapasowych?

Większość centrów danych opiera się na sieciowej kopii zapasowej. Aby to zrobić w bezpieczny sposób, musi istnieć relacja zaufania między klientem kopii zapasowej (maszyną, której kopia zapasowa jest tworzona) a serwerem kopii zapasowych (maszyną wykonującą kopię zapasową). Bez weryfikowalnego sposobu ustanowienia tej relacji zaufania mogą wystąpić różne ataki typu „man-in-the-middle”.

Jedną z możliwych luk w zabezpieczeniach jest przypadek, w którym oprogramowanie do tworzenia kopii zapasowych pozwala klientowi kopii zapasowej określić, że dowolny serwer kopii zapasowej może zainicjować tworzenie kopii zapasowej. W przeciwieństwie do Amandy, niektóre popularne narzędzia do tworzenia kopii zapasowych o zamkniętym kodzie źródłowym są dostarczane z tym ustawieniem jako domyślnym. O ile nie jesteś świadomy tej luki i nie zmienisz ustawienia domyślnego, każdy posiadacz laptopa lub komputera stacjonarnego może zainstalować wersję próbną pakietu kopii zapasowych i zainicjować tworzenie kopii zapasowej dowolnego klienta kopii zapasowej w Twojej organizacji. Te kopie zapasowe można następnie łatwo skierować na dysk nieuczciwego serwera kopii zapasowych.

Podobna obawa istnieje w przeciwnym kierunku. Czy Twój serwer zapasowy dostarcza dane do przywrócenia do odpowiedniego systemu? A może ktoś zmusza system do podszywania się pod klienta kopii zapasowych?

Znacznie lepszym podejściem jest wymaganie, aby oprogramowanie do tworzenia kopii zapasowych stosowało silne uwierzytelnianie zarówno klienta kopii zapasowych, jak i serwera kopii zapasowych. Oczywiście metoda uwierzytelniania powinna być również otwarta do wglądu. Dobrym wyborem byłby mechanizm oparty na kluczach, podobny do tego oferowanego przez narzędzie open source openssh (http://www.openssh.com).

Czy dane kopii zapasowej mogą zostać naruszone, gdy podróżują przez sieć lub jeśli taśma z kopią zapasową „spadnie z ciężarówki”?

Nie ma sensu, jeśli klient i serwer uwierzytelniają się nawzajem, tylko po to, aby dowiedzieć się, że ktoś przechwycił dane kopii zapasowej. Jest to szczególnie ważne, jeśli dane kopii zapasowej są przesyłane przez niezabezpieczoną sieć, na przykład przez Internet z biura regionalnego do siedziby głównej.

W ciągu ostatnich kilku lat miały miejsce głośne wydarzenia, podczas których firmy tracą kontrolę nad swoimi taśmami z kopiami zapasowymi. Często wiąże się to z utratą poufnych informacji finansowych. W jednym z takich incydentów w 2005 r. Znana firma zajmująca się podziałem czasu straciła zapasowe taśmy z poufnymi informacjami finansowymi dla 260,000 XNUMX swoich klientów. Oczywiście potencjalne szkody dla klientów były ogromne, podobnie jak szkody wyrządzone spółce z podziałem czasu i jej reputacji.

Oprogramowanie do tworzenia kopii zapasowych powinno zapewniać elastyczność w szyfrowaniu przesyłanych danych, zanim zostaną one przesłane przewodowo, lub w stanie spoczynku, gdy dane zostaną zapisane na nośniku kopii zapasowej. Powinien używać ogólnie dostępnych, weryfikowalnych metod szyfrowania. Powinieneś także mieć możliwość korzystania z różnych metod szyfrowania i korzystania z nowych rozwiązań i algorytmów szyfrowania.

Istnieją rozwiązania sprzętowe. Zarówno dział Decru Network Appliance, jak i Neoscale oferują urządzenia sprzętowe, które przechwytują zapisy na nośnikach kopii zapasowych (taśmie) i szyfrują je w locie. Ma to zaletę w postaci szybkości, ale wiąże się z wysokim kosztem infrastruktury.

Amanda ma możliwość szyfrowania danych albo na kliencie, przed przesłaniem do serwera backupu, albo na samym serwerze backupu. Szyfrowanie po stronie klienta i serwera może wykorzystywać dowolny program szyfrujący, który czyta ze standardowego wejścia i zapisuje na standardowe wyjście. Obejmuje to polecenie aespipe, które obsługuje różne procedury szyfrowania AES. Innym powszechnie używanym narzędziem z programem szyfrującym Amanda jest gpg.

Oczywiście bez dobrego zarządzania kluczami nie można odzyskać danych. Amanda nie dostarcza samodzielnie rozwiązania do zarządzania kluczami, ale raczej współpracuje z dowolnym rozwiązaniem do zarządzania kluczami wymaganymi przez Twoją politykę IT.

Otwartość i elastyczność opcji szyfrowania pozwala Amandzie dobrze dopasować się do zasad i procesów bezpieczeństwa większości środowisk IT, w tym organizacji o surowych wymaganiach dotyczących bezpieczeństwa.

Kto ma kontrolę nad Twoimi kopiami zapasowymi i odzyskiwaniem?

W dzisiejszych czasach istnieje wiele osób, które muszą uczestniczyć w konfigurowaniu i używaniu oprogramowania do tworzenia kopii zapasowych i odzyskiwania. W większych przedsiębiorstwach pracownicy działu pomocy technicznej często podchodzą do dziesiątek osób. Często personel ten musi mieć pewne uprawnienia w zakresie operacji odzyskiwania danych.

Rozsądnie jest wybrać program do tworzenia kopii zapasowych, który umożliwia delegowanie uprawnień poszczególnym osobom, o ile zapewnia wysoki poziom szczegółowości. Jeśli twój system tworzenia kopii zapasowych i odzyskiwania nie ma wysokiego poziomu szczegółowości, jesteś narażony na możliwość nadużyć związanych z odzyskiwaniem. W przypadku większości pakietów do tworzenia kopii zapasowych i odzyskiwania istnieje koncepcja administratorów. Ci administratorzy często mają globalne uprawnienia i mogą odzyskać czyjekolwiek dane. Może to obejmować bardzo wrażliwe dane, takie jak listy płac lub dokumenty finansowe.

Amanda Enterprise przyjmuje lepsze podejście. Umożliwia tworzenie ról dla każdego operatora, ograniczając do jakich danych ma on dostęp. Pozwala to segregować wrażliwe dane, aby mieć pewność, że tylko osoby, które mają absolutną potrzebę ich odzyskania, będą mogły to zrobić.

Czy możesz wykonać kopię zapasową przez zaporę ogniową?

W dzisiejszych środowiskach centrów danych często stosuje się zapory ogniowe, nawet wewnętrznie, w celu ochrony firmowych komputerów przed atakiem. Twój serwer zapasowy będzie prawie zawsze znajdował się za firmową zaporą ogniową. Powstaje pytanie - jak wykonać kopię zapasową tych komputerów po drugiej stronie zapory?

Jednym z rozwiązań jest zainstalowanie drugiego serwera zapasowego po odpowiedniej stronie zapory. Jednak nie zawsze jest to wykonalne lub pożądane. Zwiększa to obawy o bezpieczeństwo, a nie je zmniejsza. Lepszym rozwiązaniem jest używanie przez oprogramowanie klienta kopii zapasowych i serwera do komunikacji dobrze zdefiniowanych (ale możliwych do zmiany) portów. Następnie możesz skonfigurować zaporę, aby zezwalała na ruch ze znanych adresów IP przez zaporę, aby umożliwić tworzenie kopii zapasowych i przywracanie ruchu.

Należy wziąć pod uwagę liczbę portów wymaganych przez oprogramowanie do tworzenia kopii zapasowych. Oprogramowanie do tworzenia kopii zapasowych nie powinno używać zbyt wielu portów, ponieważ otwarcie jednego lub dwóch portów w zaporze jest wystarczająco trudne. Niektóre dostępne na rynku produkty do tworzenia kopii zapasowych o zamkniętym kodzie źródłowym używają dziesiątek portów na serwer kopii zapasowych.

Amanda może używać kilku portów zdefiniowanych przez administratora do komunikacji serwera kopii zapasowych i klienta. Ta zdolność sprawia, że ​​dobrze nadaje się do tworzenia kopii zapasowych przez zaporę ogniową.

Obsługa systemów operacyjnych o zwiększonych zabezpieczeniach, takich jak SE Linux

Security-Enhanced Linux (SELinux) to wariant Linuksa, który implementuje różne polityki bezpieczeństwa, w tym obowiązkową kontrolę dostępu w stylu Departamentu Obrony Stanów Zjednoczonych, poprzez użycie modułów bezpieczeństwa Linuksa (LSM) w jądrze Linuksa. Odkąd Red Hat wprowadził SELinux z ofertą Enterprise, SELinux jest obecnie szeroko stosowany w środowiskach rządowych, wojskowych i często komercyjnych. Obecnie nie ma dostawcy kopii zapasowych o zamkniętym kodzie źródłowym, który obsługuje SELinux. Amanda jednak bardzo dobrze współpracuje z politykami SELinux.

Czy oprogramowanie do tworzenia kopii zapasowych zostało napisane z myślą o bezpieczeństwie?

Oprogramowanie do tworzenia kopii zapasowych zawiera pliki konfiguracyjne, które przechowują hasła i prawa dostępu nie tylko do serwerów plików, ale także do serwerów aplikacji i baz danych. Upewnij się, że te pliki konfiguracyjne są czytelne tylko dla upoważnionych użytkowników.

Każdy, kto korzysta z oprogramowania o zamkniętym kodzie źródłowym, może tylko zgadywać, co się w nim znajduje. Ponieważ sprzedawca nie udostępnia kodu do wglądu, bardzo trudno jest stwierdzić, czy oprogramowanie jest całkowicie bezpieczne lub czy w oprogramowaniu są zakodowane „tylne drzwi”, takie jak niesławne tylne drzwi wykryte na serwerach Microsoft IIS w 2000 r.

Zespół ds. Gotowości na wypadek awarii komputera w Stanach Zjednoczonych (US-CERT) przez cały czas publikuje alerty o lukach w zabezpieczeniach komercyjnego oprogramowania do tworzenia kopii zapasowych. Na przykład VU # 744137 Vulnerability Note informuje o tym w oprogramowaniu Symantec Veritas NetBackup oprogramowanie demon wykazu zawiera przepełnienie bufora oparte na stosie, które może umożliwić zdalnemu atakującemu wykonanie dowolnego kodu na głównym serwerze NetBackup.

Z drugiej strony oprogramowanie typu open source jest prawie odporne na tego rodzaju problemy. Istnieje wbudowany mechanizm wzajemnej weryfikacji kodu, który praktycznie gwarantuje, że nie zawiera niczego, co jest zbędne. Żaden szanujący się programista Open Source nie ryzykowałby swojej reputacji i kariery, stawiając tylne drzwi do produktu open source. Nawet gdyby takie tylne drzwi zostały uwzględnione, najprawdopodobniej zostałyby szybko znalezione i usunięte.

Ponadto oprogramowanie open source można łatwo sprawdzić pod kątem jakości i bezpieczeństwa. Istnieją zarówno komercyjne, jak i ogólnodostępne narzędzia typu open source do analizy kodu oprogramowania pod kątem luk w zabezpieczeniach. Oto niektóre z nich:

Narzędzia te są dostępne bezpłatnie i mogą skanować różne języki programowania. Bogosec (http://bogosec.sourceforge.net/index.html) otacza te narzędzia i może przewidywać problemy z bezpieczeństwem w oprogramowaniu. Jednak bez dostępnego kodu źródłowego oprogramowania do tworzenia kopii zapasowych narzędzia te są bezużyteczne.

Jeśli chodzi o bezpieczeństwo informacji, są to bardzo poważne obawy dotyczące każdego pakietu kopii zapasowych. Wybierając pakiet kopii zapasowej, musisz upewnić się, że nie ma znanych luk w zabezpieczeniach oprogramowania. Amanda, wiodący pakiet do tworzenia kopii zapasowych typu open source, został przetestowany z różnymi narzędziami i przez kilka organizacji. Na przykład Coverity (http://scan.coverity.com), wspólna praca Uniwersytetu Stanforda i społeczności open source, przetestowała jakość kodu Amandy. Kiedy wykryto błędy, społeczność Amandy szybko je poprawiła i zmniejszyła liczbę do zera. Można to porównać ze średnim współczynnikiem defektów wynoszącym od 20 do 30 błędów na 1000 linii kodu w oprogramowaniu komercyjnym, według Konsorcjum CyLab Sustainable Computing Uniwersytetu Carnegie Mellon.

Lista kontrolna bezpieczeństwa kopii zapasowych

Czy istnieje silne uwierzytelnianie serwera kopii zapasowych i klientów kopii zapasowych?
Czy na kliencie istnieje szyfrowanie w celu zabezpieczenia przesyłanych danych?
Czy na serwerze kopii zapasowych jest szyfrowanie w celu zabezpieczenia danych na nośniku kopii zapasowej, np. Taśmie?
Czy możesz wybierać między różnymi metodami szyfrowania i korzystać z nowych algorytmów szyfrowania?
Czy istnieje kontrola dostępu oparta na rolach na potrzeby administrowania, tworzenia kopii zapasowych i odzyskiwania?
Czy możesz otworzyć tylko kilka portów (najlepiej tylko jeden port) do tworzenia kopii zapasowych przez zaporę?
Czy jest wsparcie dla SELinux?
Czy zweryfikowano bezpieczeństwo plików konfiguracyjnych oprogramowania do tworzenia kopii zapasowych, które przechowują hasła do serwerów plików, baz danych i aplikacji?
Czy sprawdziłeś, że US-CERT nie ma żadnych alertów dotyczących oprogramowania do tworzenia kopii zapasowych?
Czy istnieją niezależne raporty dotyczące jakości i bezpieczeństwa kodu oprogramowania do tworzenia kopii zapasowych?

Wnioski

Ponieważ twoja kopia zapasowa jest kopią twoich najcenniejszych zasobów cyfrowych, bezpieczeństwo kopii zapasowych jest kwestią krytyczną. Wdrażanie naprawdę bezpiecznych, ale opłacalnych finansowo zasad tworzenia kopii zapasowych wymaga dogłębnego zrozumienia związanych z nimi kompromisów. Jednak każda organizacja może znaleźć rozsądny kompromis w celu ustanowienia bezpiecznych zasad tworzenia kopii zapasowych, na które może sobie pozwolić. Należy pamiętać, że bezpieczeństwo kopii zapasowych nie jest projektem, ale procesem, który wymaga ciągłego monitorowania i doskonalenia.

logo_crn_emerging_vendors
bajt-przełącznik-top-10-storage
bossie_for-www-home
certyfikat bezpieczeństwa
gold_mysql
logo-amazon-partner