Backup e recuperação seguros - práticas recomendadas

Por Chander Kant e Dmitri Joukovski

Nos últimos anos, surgiram muitas manchetes sobre incidentes de alto perfil de fitas de backup perdidas ou roubadas. Apesar da crescente atenção à segurança, os procedimentos de backup são frequentemente negligenciados nas políticas gerais de segurança. A principal razão para essa discrepância é que, historicamente, backup e segurança tiveram objetivos quase opostos. Os procedimentos de segurança geralmente requerem forte controle de acesso aos dados do usuário. O software de backup, no entanto, é otimizado para simplificar a recuperação, às vezes em uma plataforma ou local diferente e geralmente por alguém que não seja o proprietário original dos dados.

Usando o exemplo do mais popular software de backup e recuperação de código aberto, Amanda, revisaremos as práticas recomendadas para garantir a segurança dos dados de backup. Especificamente, revisaremos os seguintes aspectos da segurança de backup:

Seus sistemas estão realmente entrando em contato com o servidor de backup correto?

A maioria dos data centers depende de backup baseado em rede. Para fazer isso com segurança, deve haver uma relação de confiança estabelecida entre o cliente de backup (a máquina que está sendo copiada) e o servidor de backup (a máquina que está fazendo o backup). Sem uma maneira verificável de estabelecer essa relação de confiança, vários ataques de "intermediário" podem ocorrer.

Uma possível vulnerabilidade é o caso em que o software de backup permite que o cliente de backup especifique que qualquer servidor de backup pode iniciar um backup. Ao contrário do Amanda, algumas ferramentas populares de backup de código fechado vêm com essa configuração como padrão. A menos que você esteja ciente dessa vulnerabilidade e altere a configuração padrão, qualquer pessoa com um laptop ou desktop pode instalar a versão de teste do pacote de backup e iniciar o backup de qualquer cliente de backup em sua organização. Esses backups podem então ser facilmente direcionados para o disco de um servidor de backup não autorizado.

Uma preocupação semelhante existe na direção oposta. O seu servidor de backup está fornecendo dados para recuperação ao sistema apropriado? Ou alguém está forçando um sistema a se passar por um cliente de backup?

Uma abordagem muito melhor é exigir que o software de backup use autenticação forte tanto do cliente de backup quanto do servidor de backup. É claro que o método de autenticação também deve estar aberto para análise. Uma boa escolha seria um mecanismo baseado em chave, semelhante ao oferecido pela ferramenta de código aberto openssh (http://www.openssh.com).

Seus dados de backup podem ser comprometidos quando trafegam pela rede ou se a fita de backup "cair do caminhão"?

Não adianta se o seu cliente e servidor autenticam um ao outro, apenas para descobrir que alguém interceptou os dados de backup. Isso é especialmente importante se seus dados de backup trafegam por uma rede desprotegida, como pela Internet de um escritório regional para a sede.

Nos últimos anos, ocorreram eventos bem divulgados em que as empresas perdem o controle de suas fitas de backup. Freqüentemente, isso envolve a perda de informações financeiras confidenciais. Em um desses incidentes em 2005, uma conhecida empresa de compartilhamento de tempo perdeu fitas de backup com informações financeiras confidenciais para 260,000 de seus clientes. Obviamente, o dano potencial aos clientes era enorme, assim como o dano à empresa de timeshare e sua reputação.

Seu software de backup deve fornecer flexibilidade para criptografar dados em trânsito antes de serem enviados por cabo ou em repouso quando os dados são gravados na mídia de backup. Ele deve usar métodos de criptografia verificáveis ​​e disponíveis gratuitamente. Você também deve ter a opção de usar diferentes métodos de criptografia e aproveitar os novos desenvolvimentos e algoritmos de criptografia.

Existem soluções baseadas em hardware. Tanto a divisão Decru da Network Appliance quanto a Neoscale oferecem dispositivos de hardware que interceptam gravações em mídia de backup (fita) e as criptografam em tempo real. Isso tem a vantagem de velocidade, mas tem um alto custo de infraestrutura.

Amanda tem a capacidade de criptografar os dados no cliente, antes da transmissão para o servidor de backup, ou no próprio servidor de backup. A criptografia do lado do cliente e do servidor pode usar qualquer programa de criptografia que leia a entrada padrão e grave na saída padrão. Isso inclui o comando aespipe, que oferece suporte a uma variedade de rotinas de criptografia AES. Outra ferramenta comumente usada com o programa de criptografia Amanda é o gpg.

Obviamente, sem um bom gerenciamento de chaves, os dados não podem ser recuperados. Amanda não fornece uma solução de gerenciamento de chaves por conta própria, mas funciona com qualquer solução de gerenciamento de chaves exigida por sua política de TI.

A abertura e flexibilidade das opções de criptografia permitem que o Amanda se ajuste bem às políticas e processos de segurança da maioria dos ambientes de TI, incluindo organizações com requisitos de segurança rígidos.

Quem tem controle sobre seus backups e recuperações?

Hoje em dia, há uma variedade de pessoas que devem participar da configuração e do uso de software de backup e recuperação. Em empresas maiores, não é incomum a equipe de help desk abordar dezenas de pessoas. Freqüentemente, esse pessoal precisa ter alguma autoridade sobre as operações de recuperação de dados.

É aconselhável escolher um programa de backup que permita delegar autoridade a indivíduos, desde que forneça um bom nível de granularidade. Se o seu sistema de backup e recuperação não tiver um bom nível de granularidade, você estará exposto à possibilidade de abusos de recuperação. A maioria dos pacotes de backup e recuperação tem o conceito de administradores. Esses administradores geralmente têm privilégios globais e podem recuperar os dados de qualquer pessoa. Isso pode incluir dados altamente confidenciais, como folha de pagamento ou registros financeiros.

Empresa Amanda tem uma abordagem melhor. Ele permite que você crie funções para cada operador, limitando os dados aos quais eles têm acesso. Isso permite que você separe dados confidenciais para garantir que apenas aqueles com uma necessidade absoluta de recuperar os dados tenham a capacidade de fazer isso.

Você pode fazer backup por meio de um firewall?

Os ambientes de data center de hoje geralmente incluem o uso de firewalls, mesmo internamente, para proteger os computadores corporativos de ataques. Seu servidor de backup quase sempre estará atrás do firewall corporativo. Surge a pergunta - como você faz backup desses computadores do outro lado de um firewall?

Uma solução é implantar um segundo servidor de backup no lado apropriado do firewall. No entanto, isso nem sempre é viável ou desejável. Isso aumenta as preocupações com a segurança, em vez de reduzi-las. Uma solução melhor é o software de cliente e servidor de backup usar portas bem definidas (mas mutáveis) para se comunicar. Você pode então configurar seu firewall para permitir o tráfego de endereços IP conhecidos através do firewall para permitir backup e restaurar o tráfego.

Uma consideração sobre essa abordagem é o número de portas que o software para backup requer. Seu software de backup não deve usar muitas portas, pois é difícil o suficiente abrir uma ou duas portas em seu firewall. Alguns produtos de backup de código fechado disponíveis comercialmente usam dezenas de portas por servidor de backup.

Amanda tem a capacidade de usar algumas portas definidas pelo administrador para o servidor de backup e o cliente se comunicarem. Essa capacidade o torna adequado para backup por meio de um firewall.

Suporte para sistemas operacionais de segurança reforçada, como SE Linux

Security-Enhanced Linux (SELinux) é uma variante do Linux que implementa uma variedade de políticas de segurança, incluindo controles de acesso obrigatórios no estilo do Departamento de Defesa dos EUA, por meio do uso de Módulos de Segurança Linux (LSM) no kernel do Linux. Desde que a Red Hat introduziu o SELinux com suas ofertas Enterprise, o SELinux agora é amplamente usado em ambientes governamentais, militares e freqüentemente comerciais. Hoje não há fornecedor de backup de código fechado que ofereça suporte ao SELinux. Amanda, no entanto, trabalha muito bem com as políticas do SELinux.

O seu software de backup foi desenvolvido pensando na segurança?

O software de backup possui arquivos de configuração que armazenam senhas e direitos de controle de acesso não apenas para servidores de arquivos, mas também para servidores de aplicativos e bancos de dados. Certifique-se de que esses arquivos de configuração possam ser lidos apenas por usuários autorizados.

Todo mundo que usa um produto de software de código fechado só pode adivinhar o que está dentro dele. Como o fornecedor não disponibiliza o código para inspeção, é muito difícil dizer se o software é totalmente seguro ou se existem "portas dos fundos" codificadas no software, como a infame porta dos fundos descoberta em servidores Microsoft IIS em 2000.

A Equipe de Preparação para Emergências de Computadores dos Estados Unidos (US-CERT) emite alertas de vulnerabilidade para software de backup comercial o tempo todo. Por exemplo, a nota de vulnerabilidade VU # 744137 alerta que no Symantec Veritas NetBackup software o daemon de catálogo contém um estouro de buffer baseado em pilha que pode permitir que um invasor remoto execute código arbitrário em um servidor mestre NetBackup.

O código aberto, por outro lado, é quase impermeável a esse tipo de problema. Existe um mecanismo integrado de revisão por pares do código que praticamente garante que nada que seja desnecessário seja incluído. Nenhum desenvolvedor de código aberto que se preze arriscaria sua reputação e carreira colocando uma porta dos fundos em um produto de código aberto. Mesmo se essa porta dos fundos fosse incluída, provavelmente seria rapidamente encontrada e removida.

Além disso, o software de código aberto pode ser facilmente inspecionado quanto à qualidade e segurança. Existem ferramentas de código aberto disponíveis comercialmente e gratuitamente para analisar o código do software em busca de vulnerabilidades de segurança. Alguns deles são:

Essas ferramentas estão disponíveis gratuitamente e podem varrer uma variedade de linguagens de programação. Bogosec (http://bogosec.sourceforge.net/index.html) é um invólucro dessas ferramentas e pode prever problemas de segurança em software. No entanto, sem o código-fonte disponível para o software de backup, essas ferramentas são inúteis.

Quando se trata de segurança da informação, essas são preocupações muito reais para qualquer pacote de backup. Ao selecionar um pacote de backup, você deve se certificar de que não há falhas de segurança conhecidas no software. Amanda, o pacote de backup de código aberto líder, foi testado com uma variedade de ferramentas e por várias organizações. Por exemplo, Coverity (http://scan.coverity.com), um esforço colaborativo entre a Universidade de Stanford e a comunidade de código aberto, testou a qualidade do código Amanda. Quando os bugs foram descobertos, a comunidade Amanda os corrigiu rapidamente e reduziu a contagem a zero. Isso se compara a uma taxa média de defeitos de 20 a 30 bugs por 1000 linhas de código para software comercial, de acordo com o CyLab Sustainable Computing Consortium da Carnegie Mellon University.