Säker säkerhetskopiering och återställning - bästa metoder

Av Chander Kant och Dmitri Joukovski

Under de senaste åren har det funnits många rubriker om högprofilerade incidenter av förlorade eller stulna reservband. Trots ökad uppmärksamhet på säkerhet försummas säkerhetskopieringsprocedurer ofta i den övergripande säkerhetspolicyn. Den främsta anledningen till denna avvikelse är att backup och säkerhet historiskt sett har haft nästan motsatta mål. Säkerhetsförfaranden kräver ofta stark åtkomstkontroll till användarens data. Backupprogramvaran är dock optimerad för att förenkla återställningen, ibland till en annan plattform eller annan plats och ofta av någon annan än den ursprungliga ägaren av data.

Med exempel på de mest populära programvara för säkerhetskopiering och återställning med öppen källkod, Amanda, vi kommer att granska bästa praxis för att säkerställa säkerhet för säkerhetskopieringsdata. Specifikt kommer vi att granska följande aspekter av säkerhetskopiering:

Autentisering av användare och säkerhetskopieringsklienter till reservservern.
Rollbaserade åtkomstkontrollistor för alla säkerhetskopierings- och återställningsåtgärder.
Datakrypteringsalternativ för både överföring och lagring.
Flexibilitet vid val av krypterings- och autentiseringsalgoritmer, till exempel aespipe eller gpg.
Säkerhetskopiering av fjärrklienter till en central plats bakom brandväggar.
Säkerhetskopiering och återställning av klienter som kör säkerhetsförbättrad Linux (SELinux).
Använda bästa metoder för att skriva säker programvara

Kontaktar dina system verkligen rätt reservserver?

De flesta datacenter är beroende av nätverksbaserad säkerhetskopiering. För att göra detta säkert måste det finnas ett förtroendeförhållande mellan säkerhetskopieringsklienten (den säkerhetskopierade maskinen) och säkerhetskopieringsservern (maskinen som säkerhetskopierar). Utan ett verifierbart sätt att etablera detta förtroendeförhållande kan olika "man-i-mitten" -attacker inträffa.

En möjlig sårbarhet är fallet med säkerhetskopieringsprogramvara som gör det möjligt för säkerhetskopieringsklienten att ange att alla säkerhetskopieringsserver kan initiera en säkerhetskopia. Till skillnad från Amanda levereras vissa populära backup-verktyg för sluten källa med den här inställningen som standard. Såvida du inte är medveten om denna sårbarhet och ändrar standardinställningen kan alla med en bärbar eller stationär dator installera testversionen av säkerhetskopieringspaketet och initiera säkerhetskopiering av alla säkerhetskopieringsklienter i din organisation. Dessa säkerhetskopior kan sedan enkelt dirigeras till en oseriös säkerhetskopieringsserver.

En liknande oro finns i motsatt riktning. Levererar din reservserver data för återställning till lämpligt system? Eller tvingar någon ett system att maskerera som en reservklient?

Ett mycket bättre tillvägagångssätt kräver att säkerhetskopieringsprogramvaran använder stark autentisering av både säkerhetskopieringsklienten och säkerhetskopieringsservern. Naturligtvis bör autentiseringsmetoden också vara öppen för granskning. Ett bra val skulle vara en nyckelbaserad mekanism som liknar den som erbjuds av open source-verktyget openssh (http://www.openssh.com).

Kan dina säkerhetskopieringsdata äventyras när den reser i nätverket eller om säkerhetskopieringsbandet "faller av lastbilen"?

Det gör inget bra om din klient och server autentiserar varandra, bara för att ta reda på att någon har fångat upp säkerhetskopieringsdata. Detta är särskilt viktigt om dina säkerhetskopieringsdata går över ett oskyddat nätverk, till exempel över Internet från ett regionalt kontor till huvudkontoret.

Under de senaste åren har det varit välkända evenemang där företag tappar koll på sina reservband. Ofta handlar det om förlust av känslig ekonomisk information. I en sådan incident 2005 förlorade ett välkänt tidsdelningsföretag reservband med känslig ekonomisk information för 260,000 XNUMX av sina kunder. Uppenbarligen var den potentiella skadan för kunderna enorm, liksom skadan för tidsdelningsföretaget och dess rykte.

Din säkerhetskopieringsprogramvara bör ge flexibilitet för att kryptera data under transport innan den skickas på en tråd eller i vila när data skrivs till säkerhetskopieringsmediet. Den ska använda fritt tillgängliga, verifierbara krypteringsmetoder. Du bör också ha möjlighet att använda olika krypteringsmetoder och dra nytta av ny utveckling och krypteringsalgoritmer.

Det finns hårdvarubaserade lösningar. Både Network Appliance's Decru-division och Neoscale erbjuder hårdvaruapparater som avlyssnar skrivningar till backup-media (band) och krypterar det i farten. Detta har fördelen med hastighet, men har en hög infrastrukturkostnad.

Amanda har förmågan att kryptera data antingen på klienten, före överföring till backup-servern eller på själva backup-servern. Både klient- och serversidan-kryptering kan använda vilket krypteringsprogram som helst som läser från standardinmatning och skriver till standardutdata. Detta inkluderar aespipe-kommandot, som stöder en mängd AES-krypteringsrutiner. Ett annat vanligt verktyg med Amanda-krypteringsprogram är gpg.

Utan bra nyckelhantering kan data naturligtvis inte återställas. Amanda tillhandahåller inte en nyckelhanteringslösning på egen hand utan arbetar snarare med någon nyckelhanteringslösning som krävs enligt din IT-policy.

Öppenheten och flexibiliteten i krypteringsalternativen gör det möjligt för Amanda att passa in i säkerhetspolicyer och processer i de flesta IT-miljöer inklusive organisationer med strikta säkerhetskrav.

Vem har kontroll över dina säkerhetskopior och återställningar?

Dessa dagar finns det en mängd människor som måste delta i att konfigurera och använda programvara för säkerhetskopiering och återställning. I större företag är det inte ovanligt att personal vid helpdesk närmar sig dussintals individer. Ofta måste denna personal ges viss myndighet över dataräddningsoperationer.

Det är klokt att välja ett säkerhetskopieringsprogram som låter dig delegera auktoritet till individer, så länge det ger en fin detaljnivå. Om ditt säkerhetskopierings- och återställningssystem inte har en fin grad av granularitet utsätts du för möjligheten till återvinningsmissbruk. De flesta backup- och återställningspaket har begreppet administratörer. Dessa administratörer har ofta globala behörigheter och kan återställa någons data. Detta kan inkludera mycket känsliga uppgifter, såsom löner eller finansiella poster.

Amanda Enterprise tar ett bättre tillvägagångssätt. Det låter dig skapa roller för varje operatör, vilket begränsar vilken data de har tillgång till. Detta låter dig separera känsliga data för att säkerställa att endast de med ett absolut behov av att återställa data har förmågan att göra det.

Kan du säkerhetskopiera via en brandvägg?

Dagens datacentermiljöer inkluderar ofta användningen av brandväggar även internt för att skydda företagsdatorer från attacker. Din reservserver kommer nästan alltid att ligga bakom din företags brandvägg. Frågan uppstår - hur säkerhetskopierar du dessa datorer på andra sidan en brandvägg?

En lösning är att distribuera en andra reservserver på rätt sida av brandväggen. Detta är dock inte alltid genomförbart eller önskvärt. Detta ökar säkerhetsproblemen snarare än att minska dem. En bättre lösning är att din backupklient och serverprogramvara använder väldefinierade (men ändringsbara) portar för att kommunicera. Du kan sedan konfigurera din brandvägg så att den tillåter trafik från kända IP-adresser genom brandväggen för att möjliggöra säkerhetskopiering och återställa trafik genom.

En övervägande om detta tillvägagångssätt är antalet portar som säkerhetskopieringsprogramvaran kräver. Din säkerhetskopieringsprogramvara bör inte använda för många portar, eftersom det är svårt att få en eller två portar öppnade i din brandvägg. Vissa kommersiellt tillgängliga backup-produkter med sluten källa använder dussintals portar per backup-server.

Amanda har förmågan att använda några administratörsdefinierade portar för backup-servern och klienten att kommunicera med. Denna förmåga gör den väl lämpad för säkerhetskopiering genom en brandvägg.

Stöd för säkerhetsförbättrade operativsystem som SE Linux

Säkerhetsförbättrad Linux (SELinux) är en Linux-variant som implementerar en mängd olika säkerhetspolicyer, inklusive amerikanska försvarsdepartementets obligatoriska åtkomstkontroller, genom användning av Linux Security Modules (LSM) i Linux-kärnan. Sedan Red Hat introducerade SELinux med sina Enterprise-erbjudanden används SELinux nu allmänt i statliga, militära och ofta kommersiella miljöer. Idag finns ingen återförsäljare för säkerhetskopiering med sluten källa som stöder SELinux. Amanda arbetar dock mycket bra med SELinux-policyer.

Är din reservprogramvara skriven med tanke på säkerhet?

Backup-programvaran har konfigurationsfiler som lagrar lösenord och åtkomstkontrollrättigheter inte bara för filservrar utan också för applikations- och databasservrar. Se till att dessa konfigurationsfiler endast är läsbara av behöriga användare.

Alla som använder en sluten källkodsprodukt kan bara gissa vad som finns i den. Eftersom säljaren inte gör koden tillgänglig för inspektion är det mycket svårt att avgöra om programvaran är helt säker, eller om det finns "bakdörrar" kodade i programvaran, såsom ökända bakdörrar upptäcktes i Microsoft IIS-servrar 2000.

United States Computer Emergency Readiness Team (US-CERT) utfärdar sårbarhetsvarningar för kommersiell säkerhetskopieringsprogramvara hela tiden. Till exempel varnar säkerhetsanmärkning VU # 744137 det i Symantec Veritas NetBackup programvara innehåller katalogdemonen ett stackbaserat buffertöverflöde som kan tillåta en fjärranfallare att köra godtycklig kod på en NetBackup-masterserver.

Öppen källkod är å andra sidan nästan ogenomtränglig för denna typ av problem. Det finns en inbyggd mekanism för peer review av koden som praktiskt taget försäkrar att inget som är onödigt ingår. Ingen självrespektande Open Source-utvecklare skulle riskera hans rykte och karriär genom att sätta en bakdörr i en öppen källkodsprodukt. Även om en sådan bakdörr inkluderades skulle den troligen snabbt hittas och tas bort.

Dessutom kan programvara med öppen källkod enkelt inspekteras för både kvalitet och säkerhet. Det finns både kommersiella och fritt tillgängliga open source-verktyg för analys av programvarukod för säkerhetsproblem. Några av dessa är:

Grovt granskningsverktyg för säkerhet (RATS)
ITS4 av Cigital
Flawfinder av David A. Wheeler.

Dessa verktyg är fritt tillgängliga och kan skanna en mängd olika programmeringsspråk. Bogosec (http://bogosec.sourceforge.net/index.html) är ett omslag kring dessa verktyg och kan förutsäga säkerhetsproblem i programvaran. Men utan tillgänglig källkod för reservprogramvara är dessa verktyg värdelösa.

När det gäller informationssäkerhet är det mycket verkliga problem för alla reservpaket. När du väljer ett reservpaket måste du se till att det inte finns några kända säkerhetsfel i programvaran. Amanda, det ledande säkerhetskopieringspaketet för öppen källkod, har testats med en mängd olika verktyg och av flera organisationer. Till exempel testade Coverity (http://scan.coverity.com), ett samarbete mellan Stanford University och open source-communityn, Amandakodkvaliteten. När buggar upptäcktes korrigerade Amandasamhället dem snabbt och minskade antalet till noll. Detta jämförs med en genomsnittlig defekt på 20 till 30 buggar per 1000 rader kod för kommersiell programvara, enligt Carnegie Mellon Universitys CyLab Sustainable Computing Consortium.

Checklista för säkerhetskopiering

	Ja	Nej
Finns det en stark autentisering av backup-servern och backup-klienterna?
Finns det kryptering på en klient för att säkra data under transport?
Finns det kryptering på en reservserver för att säkra data på ett backupmedium, t.ex. band?
Kan du välja mellan olika krypteringsmetoder och dra nytta av nya krypteringsalgoritmer?
Finns det rollbaserad åtkomstkontroll för administration, säkerhetskopiering och återställning?
Kan du öppna några få portar (helst bara en port) för säkerhetskopiering genom en brandvägg?
Finns det stöd för SELinux?
Verifierade du säkerheten för säkerhetskopior av programvarukonfigurationsfiler som lagrar lösenord för fil-, databas- och applikationsservrar?
Verifierade du att US-CERT inte har några varningar om din reservprogramvara?
Finns det oberoende rapporter om kvalitet och säkerhet för koden för din reservprogramvara?

Slutsats

Eftersom din säkerhetskopia är en kopia av dina mest värdefulla digitala tillgångar är säkerhetskopiering av säkerhet en viktig faktor. Att implementera riktigt säkra men ändå ekonomiskt lönsamma reservpolicyer kräver en grundlig förståelse för de därmed sammanhängande avvägningarna. Varje organisation kan dock hitta en rimlig kompromiss för att upprätta säkra säkerhetskopieringspolicyer som de har råd med. Det viktiga att komma ihåg är att säkerhetskopiering inte är ett projekt utan en process som kräver konstant övervakning och förbättring.

Plan	Företag	Business Plus	Företag
Vem är det till?	Små företag skyddar data med 3-2-1-1 backup	Företag som skyddar kritisk IT arbetsbelastning och data	Skräddarsydda lösningar för företag och komplexa miljöer
Priser
Zmanda One Licensing (Per servrar, virtuella datorer och DB:er)	$ 3.99 / mån	$ 5.99 / mån	Custom
Per TB för säkerhetskopior av NAS och fildelning. Första 10 TB gratis	$ 4.99/TB/månad	$ 5.99/TB/månad	Custom
Microsoft 365 säkerhetskopiering		$ 1.99 / användare / månad	Custom
Pris per TB Zmanda Cloud Storage	$ 5.99/TB/månad	$ 6.99/TB/månad	Custom
Funktioner
Linux backup
Windows backup
Databasbackup
Virtuell maskin backup
NAS/filer delar säkerhetskopior
Zmanda molnlagring
Ransomware-skydd
Microsoft 365-säkerhetskopia
För alltid inkrementella säkerhetskopior
Katastrofåterställning
Valv
Deduplicering på klientsidan
SSO
Avancerade distributionsalternativ
Anpassade automatiseringsskript
Anpassade användningsnivåer
Support
Teknisk support	Standard	Premium	Premium
*Support 247**
Professionell service ingår		10 timmar	Custom
Träning ingår		8 timmar	Custom
Dedikerad kontohanterare
Expertkonsultation & design
Ytterligare professionell service (per timme)	$ 200 / timme	$ 200 / timme	$ 200 / timme