Безопасное резервное копирование и восстановление - передовой опыт

Чандер Кант и Дмитрий Жуковски

В последние несколько лет появилось много заголовков о громких инцидентах с утерянными или украденными резервными копиями. Несмотря на повышенное внимание к безопасности, процедуры резервного копирования часто игнорируются в общих политиках безопасности. Основная причина этого несоответствия заключается в том, что исторически цели резервного копирования и безопасности были почти противоположными. Процедуры безопасности часто требуют строгого контроля доступа к данным пользователя. Однако программное обеспечение резервного копирования оптимизировано для упрощения восстановления, иногда на другую платформу или в другое место, а часто и кем-то другим, а не первоначальным владельцем данных.

На примере наиболее популярных программное обеспечение для резервного копирования и восстановления с открытым исходным кодом, Аманда, мы рассмотрим передовые методы обеспечения безопасности данных резервного копирования. В частности, мы рассмотрим следующие аспекты безопасности резервного копирования:

Действительно ли ваши системы связываются с правильным сервером резервного копирования?

Большинство центров обработки данных полагаются на сетевое резервное копирование. Чтобы сделать это безопасно, между клиентом резервного копирования (машина, для которой выполняется резервное копирование) и сервером резервного копирования (машина, выполняющая резервное копирование) должны быть установлены доверительные отношения. Без поддающегося проверке способа установления этих доверительных отношений могут происходить различные атаки типа «человек посередине».

Одна из возможных уязвимостей - это случай, когда программное обеспечение резервного копирования позволяет клиенту резервного копирования указать, что любой сервер резервного копирования может инициировать резервное копирование. В отличие от Аманды, некоторые популярные инструменты резервного копирования с закрытым исходным кодом поставляются с этой настройкой по умолчанию. Если вы не знаете об этой уязвимости и не измените настройку по умолчанию, любой, у кого есть портативный или настольный компьютер, может установить пробную версию пакета резервного копирования и инициировать резервное копирование любого клиента резервного копирования в вашей организации. Затем эти резервные копии можно было бы легко направить на диск несанкционированного резервного копирования.

Аналогичное беспокойство существует и в обратном направлении. Предоставляет ли ваш сервер резервного копирования данные для восстановления в соответствующую систему? Или кто-то заставляет систему маскироваться под клиента резервного копирования?

Намного лучший подход требует, чтобы программное обеспечение резервного копирования использовало строгую аутентификацию как клиента резервного копирования, так и сервера резервного копирования. Конечно, метод аутентификации также должен быть открытым для проверки. Хорошим выбором будет механизм на основе ключей, аналогичный тому, который предлагает инструмент с открытым исходным кодом openssh (http://www.openssh.com).

Могут ли ваши данные резервного копирования быть скомпрометированы, когда они передаются по сети или если ваша резервная лента «упадет с грузовика»?

Нет ничего хорошего, если ваш клиент и сервер аутентифицируют друг друга только для того, чтобы узнать, что кто-то перехватил данные резервной копии. Это особенно важно, если данные резервного копирования передаются по незащищенной сети, например, через Интернет из регионального офиса в штаб-квартиру.

За последние несколько лет произошли широко разрекламированные события, когда компании теряли свои резервные копии на магнитных лентах. Часто это связано с потерей конфиденциальной финансовой информации. В одном из таких инцидентов в 2005 году известная компания, работающая с таймшерингом, потеряла резервные ленты с конфиденциальной финансовой информацией для 260,000 XNUMX своих клиентов. Очевидно, что потенциальный ущерб клиентам был огромен, равно как и ущерб компании с таймшером и ее репутации.

Ваше программное обеспечение резервного копирования должно обеспечивать гибкость для шифрования данных в пути перед их отправкой по сети или в состоянии покоя, когда данные записываются на носитель резервной копии. Он должен использовать свободно доступные проверяемые методы шифрования. У вас также должна быть возможность использовать различные методы шифрования и воспользоваться преимуществами новых разработок и алгоритмов шифрования.

Есть аппаратные решения. И Decru, и Neoscale, подразделение Network Appliance, предлагают аппаратные устройства, которые перехватывают записи на резервные носители (ленту) и шифруют их на лету. Это дает преимущество в скорости, но требует высоких затрат на инфраструктуру.

Аманда может зашифровать данные либо на клиенте перед передачей на сервер резервного копирования, либо на самом сервере резервного копирования. И клиентское, и серверное шифрование может использовать любую программу шифрования, которая читает со стандартного ввода и записывает в стандартный вывод. Сюда входит команда aespipe, которая поддерживает различные процедуры шифрования AES. Другой часто используемый инструмент с программой шифрования Amanda - это gpg.

Конечно, без хорошего управления ключами данные не могут быть восстановлены. Аманда не предоставляет решение для управления ключами само по себе, а работает с любым решением для управления ключами, предусмотренным вашей ИТ-политикой.

Открытость и гибкость вариантов шифрования позволяет Amanda хорошо вписываться в политики и процессы безопасности большинства ИТ-сред, включая организации со строгими требованиями к безопасности.

Кто контролирует ваши резервные копии и восстановление?

В наши дни множество людей должны участвовать в настройке и использовании программного обеспечения для резервного копирования и восстановления. На крупных предприятиях сотрудники службы поддержки нередко обращаются к десяткам людей. Часто этому персоналу необходимо предоставить определенные полномочия в отношении операций по восстановлению данных.

Целесообразно выбрать программу резервного копирования, которая позволяет делегировать полномочия отдельным лицам, если она обеспечивает высокий уровень детализации. Если ваша система резервного копирования и восстановления не обладает высокой степенью детализации, вы подвержены риску злоупотреблений при восстановлении. Большинство пакетов резервного копирования и восстановления предназначены для администраторов. Эти администраторы часто имеют глобальные привилегии и могут восстанавливать любые данные. Сюда могут входить очень конфиденциальные данные, такие как платежные ведомости или финансовые записи.

Аманда Энтерпрайз использует лучший подход. Он позволяет вам создавать роли для каждого оператора, ограничивая доступ к данным. Это позволяет разделить конфиденциальные данные, чтобы гарантировать, что только те, у кого есть абсолютная потребность в восстановлении данных, смогут это сделать.

Можете ли вы сделать резервную копию через брандмауэр?

Сегодняшние среды центров обработки данных часто включают использование брандмауэров даже внутри компании для защиты корпоративных компьютеров от атак. Ваш сервер резервного копирования почти всегда будет находиться за корпоративным брандмауэром. Возникает вопрос - как сделать резервную копию компьютеров, находящихся по ту сторону брандмауэра?

Одно из решений - развернуть второй сервер резервного копирования на соответствующей стороне межсетевого экрана. Однако это не всегда возможно или желательно. Это увеличивает проблемы безопасности, а не уменьшает их. Лучшее решение для вашего резервного программного обеспечения клиента и сервера - использовать для связи четко определенные (но изменяемые) порты. Затем вы можете настроить брандмауэр, чтобы разрешить трафик с известных IP-адресов через брандмауэр, чтобы разрешить резервное копирование и восстановление трафика.

При таком подходе следует учитывать количество портов, необходимых для программного обеспечения резервного копирования. Ваше программное обеспечение резервного копирования не должно использовать слишком много портов, поскольку достаточно сложно открыть один или два порта в вашем брандмауэре. Некоторые коммерчески доступные продукты резервного копирования с закрытым исходным кодом используют десятки портов на каждом сервере резервного копирования.

Аманда имеет возможность использовать несколько определенных администратором портов для связи с сервером резервного копирования и клиентом. Эта способность делает его подходящим для резервного копирования через брандмауэр.

Поддержка операционных систем с усиленной безопасностью, таких как SE Linux

Linux с повышенной безопасностью (SELinux) - это вариант Linux, в котором реализованы различные политики безопасности, в том числе средства управления принудительным доступом в стиле Министерства обороны США, посредством использования модулей безопасности Linux (LSM) в ядре Linux. С тех пор, как Red Hat представила SELinux со своими предложениями для предприятий, SELinux теперь широко используется в правительственных, военных и часто коммерческих средах. Сегодня нет поставщика резервного копирования с закрытым исходным кодом, который поддерживает SELinux. Аманда, однако, очень хорошо работает с политиками SELinux.

Ваше программное обеспечение для резервного копирования написано с учетом требований безопасности?

Программное обеспечение резервного копирования имеет файлы конфигурации, в которых хранятся пароли и права управления доступом не только для файловых серверов, но также для серверов приложений и баз данных. Убедитесь, что эти файлы конфигурации доступны для чтения только авторизованным пользователям.

Каждый, кто использует программный продукт с закрытым исходным кодом, может только догадываться, что внутри него. Поскольку поставщик не делает код доступным для проверки, очень сложно определить, является ли программное обеспечение полностью безопасным или есть «лазейки», закодированные в программном обеспечении, такие как печально известный черный ход, обнаруженный на серверах Microsoft IIS в 2000 году.

Группа готовности к компьютерным чрезвычайным ситуациям США (US-CERT) постоянно выдает предупреждения об уязвимостях для коммерческого программного обеспечения для резервного копирования. Например, примечание об уязвимости VU # 744137 предупреждает, что в Symantec Veritas NetBackup программное обеспечение, демон каталога содержит функцию переполнения буфера на основе стека, которая может позволить удаленному злоумышленнику выполнить произвольный код на главном сервере NetBackup.

С другой стороны, открытый исходный код почти неуязвим для такого рода проблем. Существует встроенный механизм экспертной оценки кода, который фактически гарантирует, что в него не будет добавлено ничего лишнего. Ни один уважающий себя разработчик с открытым исходным кодом не станет рисковать своей репутацией и карьерой, открывая черный ход в продукт с открытым исходным кодом. Даже если бы такой черный ход был включен, его, скорее всего, быстро нашли бы и удалили.

Кроме того, программное обеспечение с открытым исходным кодом можно легко проверить как на качество, так и на безопасность. Существуют как коммерческие, так и свободно доступные инструменты с открытым исходным кодом для анализа программного кода на наличие уязвимостей. Вот некоторые из них:

Эти инструменты находятся в свободном доступе и могут сканировать множество языков программирования. Bogosec (http://bogosec.sourceforge.net/index.html) представляет собой оболочку для этих инструментов и может предсказывать проблемы безопасности в программном обеспечении. Однако без доступного исходного кода для программного обеспечения резервного копирования эти инструменты бесполезны.

Когда дело доходит до информационной безопасности, это очень серьезная проблема для любого пакета резервного копирования. При выборе пакета резервного копирования вы должны убедиться, что в программном обеспечении нет известных недостатков безопасности. Amanda, ведущий пакет резервного копирования с открытым исходным кодом, был протестирован с использованием множества инструментов и несколькими организациями. Например, Coverity (http://scan.coverity.com), совместная работа Стэнфордского университета и сообщества открытого исходного кода, проверила качество кода Аманды. Когда ошибки были обнаружены, сообщество Amanda быстро исправило их и уменьшило количество до нуля. По данным Консорциума устойчивых вычислений CyLab Университета Карнеги-Меллона, средний уровень дефектов составляет от 20 до 30 ошибок на 1000 строк кода для коммерческого программного обеспечения.