Por Chander Kant e Dmitri Joukovski

In the last few years there have been many headlines about high-profile incidents of lost or stolen backup tapes. Despite increasing attention to security, backup procedures are often neglected in overall security policies. The main reason for that discrepancy is that, historically, backup and security have had almost opposite goals. Security procedures often require strong access control to user's data. Backup software, however, is optimized to simplify recovery, sometimes to a different platform or different location and often by someone other than the original owner of the data.

Using the example of the most popular software de backup e recuperação de código aberto, Amanda, we will review best practices for ensuring security of backup data. Specifically, we will review the following aspects of backup security:

 

Seus sistemas estão realmente entrando em contato com o servidor de backup correto?

Most data centers rely on network-based backup. In order to do this securely, there must be a trust relationship established between the backup client (the machine being backed up) and the backup server (the machine doing the backup). Without a verifiable way to establish this trust relationship various "man-in-the-middle" attacks can occur.

Uma possível vulnerabilidade é o caso em que o software de backup permite que o cliente de backup especifique que qualquer servidor de backup pode iniciar um backup. Ao contrário do Amanda, algumas ferramentas de backup de código fechado populares são fornecidas com essa configuração como padrão. A menos que você esteja ciente dessa vulnerabilidade e altere a configuração padrão, qualquer pessoa com um laptop ou desktop pode instalar a versão de teste do pacote de backup e iniciar o backup de qualquer cliente de backup em sua organização. Esses backups podem então ser facilmente direcionados para o disco de um servidor de backup não autorizado.

Uma preocupação semelhante existe na direção oposta. O seu servidor de backup está fornecendo dados para recuperação ao sistema apropriado? Ou alguém está forçando um sistema a se passar por um cliente de backup?

Uma abordagem muito melhor é exigir que o software de backup use autenticação forte tanto do cliente de backup quanto do servidor de backup. É claro que o método de autenticação também deve estar aberto para análise. Uma boa escolha seria um mecanismo baseado em chave, semelhante ao oferecido pela ferramenta de código aberto openssh (http://www.openssh.com).

Can your backup data be compromised when it travels the network or if your backup tape "falls off the truck"?

Não adianta se o seu cliente e servidor autenticam um ao outro, apenas para descobrir que alguém interceptou os dados de backup. Isso é especialmente importante se seus dados de backup trafegam por uma rede desprotegida, como pela Internet de um escritório regional para a sede.

Nos últimos anos, ocorreram eventos bem divulgados em que as empresas perdem o controle de suas fitas de backup. Freqüentemente, isso envolve a perda de informações financeiras confidenciais. Em um desses incidentes em 2005, uma conhecida empresa de compartilhamento de tempo perdeu fitas de backup com informações financeiras confidenciais para 260.000 de seus clientes. Obviamente, o dano potencial aos clientes era enorme, assim como o dano à empresa de timeshare e sua reputação.

Seu software de backup deve fornecer flexibilidade para criptografar dados em trânsito antes de serem enviados por cabo ou em repouso quando os dados são gravados na mídia de backup. Ele deve usar métodos de criptografia verificáveis e disponíveis gratuitamente. Você também deve ter a opção de usar métodos de criptografia diferentes e aproveitar as vantagens dos novos desenvolvimentos e algoritmos de criptografia.

There are hardware-based solutions. Both Network Appliance's Decru division, and Neoscale offer hardware appliances that intercept writes to backup media (tape) and encrypt it on the fly. This has the advantage of speed, but comes at a high infrastructure cost.

Amanda tem a capacidade de criptografar os dados no cliente, antes da transmissão para o servidor de backup, ou no próprio servidor de backup. A criptografia do lado do cliente e do servidor pode usar qualquer programa de criptografia que leia a entrada padrão e grave na saída padrão. Isso inclui o comando aespipe, que oferece suporte a uma variedade de rotinas de criptografia AES. Outra ferramenta comumente usada com o programa de criptografia Amanda é o gpg.

Obviamente, sem um bom gerenciamento de chaves, os dados não podem ser recuperados. O Amanda não fornece uma solução de gerenciamento de chaves por conta própria, mas funciona com qualquer solução de gerenciamento de chaves exigida por sua política de TI.

A abertura e flexibilidade das opções de criptografia permitem que o Amanda se encaixe bem nas políticas e processos de segurança da maioria dos ambientes de TI, incluindo organizações com requisitos de segurança rígidos.

Quem tem controle sobre seus backups e recuperações?

Hoje em dia, há uma variedade de pessoas que devem participar da configuração e do uso de software de backup e recuperação. Em empresas maiores, não é incomum a equipe de help desk abordar dezenas de pessoas. Freqüentemente, esse pessoal precisa ter alguma autoridade sobre as operações de recuperação de dados.

It is wise to choose a backup program that lets you delegate authority to individuals, as long as it provides a fine level of granularity. If your backup and recovery system does not have a fine level of granularity then you are exposed to the possibility of recovery abuses. Most backup and recovery packages have the concept of administrators. These administrators often have global privileges and can recover anyone's data. This might include highly sensitive data, such as payroll or financial records.

Amanda Enterprise takes a better approach. It lets you create roles for each operator, limiting what data they have access to. This lets you segregate sensitive data to ensure that only those with an absolute need to recover the data have the ability to do so.

Você pode fazer backup por meio de um firewall?

Today's data center environments often include the use of firewalls even internally to protect corporate computers from attack. Your backup server will almost invariably be behind your corporate firewall. The question arises - how do you backup those computers on the other side of a firewall?

Uma solução é implantar um segundo servidor de backup no lado apropriado do firewall. No entanto, isso nem sempre é viável ou desejável. Isso aumenta as preocupações com a segurança, em vez de reduzi-las. Uma solução melhor é seu cliente de backup e software de servidor usar portas bem definidas (mas mutáveis) para se comunicar. Você pode então configurar seu firewall para permitir o tráfego de endereços IP conhecidos através do firewall para permitir backup e restaurar o tráfego.

Uma consideração sobre essa abordagem é o número de portas que o software para backup requer. Seu software de backup não deve usar muitas portas, pois é difícil o suficiente abrir uma ou duas portas no firewall. Alguns produtos de backup de código fechado disponíveis comercialmente usam dezenas de portas por servidor de backup.

Amanda tem a capacidade de usar algumas portas definidas pelo administrador para o servidor de backup e o cliente se comunicarem. Essa capacidade o torna adequado para backup por meio de um firewall.

Suporte para sistemas operacionais de segurança reforçada, como SE Linux

Security-Enhanced Linux (SELinux) é uma variante do Linux que implementa uma variedade de políticas de segurança, incluindo controles de acesso obrigatórios no estilo do Departamento de Defesa dos EUA, por meio do uso de Módulos de Segurança Linux (LSM) no kernel do Linux. Desde que a Red Hat introduziu o SELinux com suas ofertas Enterprise, o SELinux agora é amplamente usado em ambientes governamentais, militares e freqüentemente comerciais. Hoje não há fornecedor de backup de código fechado que ofereça suporte ao SELinux. Amanda, no entanto, trabalha muito bem com as políticas do SELinux.

O seu software de backup foi desenvolvido com a segurança em mente?

O software de backup possui arquivos de configuração que armazenam senhas e direitos de controle de acesso não apenas para servidores de arquivos, mas também para servidores de aplicativos e bancos de dados. Certifique-se de que esses arquivos de configuração possam ser lidos apenas por usuários autorizados.

Everyone who uses a closed-source software product can only guess what is inside of it. Since the vendor does not make the code available for inspection it is very difficult to tell if the software is totally secure, or if there are "back doors" coded into the software such as infamous back door discovered in Microsoft IIS servers in 2000.

The United States Computer Emergency Readiness Team (US-CERT) issues the vulnerability alerts for commercial backup software all the time. For example, the Vulnerability Note VU#744137 alerts that in Symantec Veritas NetBackup software the catalog daemon contains a stack-based buffer overflow that could allow a remote attacker to execute arbitrary code on a NetBackup master server.

O código aberto, por outro lado, é quase impermeável a esse tipo de problema. Há um mecanismo integrado de revisão do código por pares que praticamente garante que nada que seja desnecessário seja incluído. Nenhum desenvolvedor de código aberto que se preze arriscaria sua reputação e carreira colocando uma porta dos fundos em um produto de código aberto. Mesmo se essa porta dos fundos fosse incluída, provavelmente seria rapidamente encontrada e removida.

Além disso, o software de código aberto pode ser facilmente inspecionado quanto à qualidade e segurança. Existem ferramentas de código aberto disponíveis comercialmente e gratuitamente para analisar o código do software em busca de vulnerabilidades de segurança. Alguns deles são:

Essas ferramentas estão disponíveis gratuitamente e podem varrer uma variedade de linguagens de programação. Bogosec (http://bogosec.sourceforge.net/index.html) é um invólucro dessas ferramentas e pode prever problemas de segurança em software. No entanto, sem o código-fonte disponível para o software de backup, essas ferramentas são inúteis.

When it comes to information security these are very real concerns for any backup package. When selecting a backup package you have to make sure there are no known security flaws in the software. Amanda, the leading open source backup package, has been tested with a variety of tools and by several organizations. For example, Coverity (http://scan.coverity.com), a collaborative effort between Stanford University and the open source community, tested Amanda code quality. When bugs were discovered the Amanda community quickly corrected them and reduced the count to zero. This compares to an average defect rate of 20 to 30 bugs per 1000 lines of code for commercial software, according to Carnegie Mellon University's CyLab Sustainable Computing Consortium.

Lista de verificação de segurança de backup

Existe uma autenticação forte de servidor de backup e clientes de backup?
Existe criptografia em um cliente para proteger os dados em trânsito?
Existe criptografia em um servidor de backup para proteger dados em uma mídia de backup, por exemplo, fita?
Você pode escolher entre diferentes métodos de criptografia e aproveitar as vantagens dos novos algoritmos de criptografia?
Existe controle de acesso baseado em funções para administração, backup e recuperação?
Você pode abrir apenas algumas portas (de preferência apenas uma porta) para backup por meio de um firewall?
Existe suporte para SELinux?
Você verificou a segurança dos arquivos de configuração do software de backup que armazenam senhas para servidores de arquivos, bancos de dados e aplicativos?
Você verificou se o US-CERT não tem alertas sobre seu software de backup?
Existem relatórios independentes sobre a qualidade e a segurança do código do seu software de backup?

Conclusão

Visto que seu backup é uma cópia de seus ativos digitais mais valiosos, a segurança do backup é uma consideração crítica. A implementação de políticas de backup verdadeiramente seguras, mas financeiramente viáveis, requer um entendimento completo das compensações associadas. No entanto, qualquer organização pode encontrar um meio-termo razoável para estabelecer políticas de backup seguras que possa pagar. O importante a lembrar é que a segurança do backup não é um projeto, mas um processo que requer monitoramento e aprimoramento constantes.

logo_crn_emerging_vendors
byte-switch-top-10-storage
bossie_for-www-home
segurança certificada
gold_mysql
logo-amazon-partner