Av Chander Kant och Dmitri Joukovski

In the last few years there have been many headlines about high-profile incidents of lost or stolen backup tapes. Despite increasing attention to security, backup procedures are often neglected in overall security policies. The main reason for that discrepancy is that, historically, backup and security have had almost opposite goals. Security procedures often require strong access control to user's data. Backup software, however, is optimized to simplify recovery, sometimes to a different platform or different location and often by someone other than the original owner of the data.

Using the example of the most popular programvara för säkerhetskopiering och återställning med öppen källkod, Amanda, we will review best practices for ensuring security of backup data. Specifically, we will review the following aspects of backup security:

 

Kontaktar dina system verkligen rätt reservserver?

Most data centers rely on network-based backup. In order to do this securely, there must be a trust relationship established between the backup client (the machine being backed up) and the backup server (the machine doing the backup). Without a verifiable way to establish this trust relationship various "man-in-the-middle" attacks can occur.

En möjlig sårbarhet är fallet där säkerhetskopieringsprogramvara gör det möjligt för säkerhetskopieringsklienten att ange att alla säkerhetskopieringsserver kan initiera en säkerhetskopia. Till skillnad från Amanda levereras vissa populära backup-verktyg för slutna källor med den här inställningen som standard. Om du inte är medveten om denna sårbarhet och ändrar standardinställningen kan alla med en bärbar eller stationär dator installera testversionen av säkerhetskopieringspaketet och starta säkerhetskopiering av alla säkerhetskopieringsklienter i din organisation. Dessa säkerhetskopior kan sedan enkelt dirigeras till en oseriös säkerhetskopieringsserver.

En liknande oro finns i motsatt riktning. Levererar din reservserver data för återställning till lämpligt system? Eller tvingar någon ett system att maskerera som en reservklient?

Ett mycket bättre tillvägagångssätt kräver att säkerhetskopieringsprogramvaran använder stark autentisering av både säkerhetskopieringsklienten och säkerhetskopieringsservern. Naturligtvis bör autentiseringsmetoden också vara öppen för granskning. Ett bra val skulle vara en nyckelbaserad mekanism, liknande den som erbjuds av open source-verktyget openssh (http://www.openssh.com).

Can your backup data be compromised when it travels the network or if your backup tape "falls off the truck"?

Det gör inget bra om din klient och server autentiserar varandra, bara för att ta reda på att någon har fångat upp säkerhetskopieringsdata. Detta är särskilt viktigt om dina säkerhetskopieringsdata går över ett oskyddat nätverk, till exempel över Internet från ett regionalt kontor till huvudkontoret.

Under de senaste åren har det skett välkända evenemang där företag tappar koll på sina reservband. Ofta handlar det om förlust av känslig ekonomisk information. I en sådan händelse 2005 förlorade ett välkänt tidsdelningsföretag reservband med känslig ekonomisk information för 260 000 av sina kunder. Uppenbarligen var den potentiella skadan för kunderna enorm, liksom skadan för tidsdelningsföretaget och dess rykte.

Din säkerhetskopieringsprogramvara bör ge flexibilitet för att kryptera data under transport innan den skickas på en tråd eller i vila när data skrivs till säkerhetskopieringsmediet. Den ska använda fritt tillgängliga, verifierbara krypteringsmetoder. Du bör också ha möjlighet att använda olika krypteringsmetoder och dra nytta av ny utveckling och krypteringsalgoritmer.

There are hardware-based solutions. Both Network Appliance's Decru division, and Neoscale offer hardware appliances that intercept writes to backup media (tape) and encrypt it on the fly. This has the advantage of speed, but comes at a high infrastructure cost.

Amanda har förmågan att kryptera data antingen på klienten, före överföring till backup-servern eller på själva backup-servern. Både klient- och serversidan-kryptering kan använda vilket krypteringsprogram som helst som läser från standardinmatning och skriver till standardutdata. Detta inkluderar kommandot aespipe, som stöder en mängd AES-krypteringsrutiner. Ett annat vanligt verktyg med Amanda-krypteringsprogram är gpg.

Utan god nyckelhantering kan data naturligtvis inte återställas. Amanda tillhandahåller inte en nyckelhanteringslösning på egen hand utan arbetar snarare med någon nyckelhanteringslösning som krävs enligt din IT-policy.

Öppenheten och flexibiliteten i krypteringsalternativen gör det möjligt för Amanda att passa in i säkerhetspolicyer och processer i de flesta IT-miljöer inklusive organisationer med strikta säkerhetskrav.

Vem har kontroll över dina säkerhetskopior och återställningar?

Dessa dagar finns det en mängd människor som måste delta i att konfigurera och använda programvara för säkerhetskopiering och återställning. I större företag är det inte ovanligt att personal i helpdesk närmar sig dussintals individer. Ofta måste denna personal ges viss myndighet över dataräddningsoperationer.

It is wise to choose a backup program that lets you delegate authority to individuals, as long as it provides a fine level of granularity. If your backup and recovery system does not have a fine level of granularity then you are exposed to the possibility of recovery abuses. Most backup and recovery packages have the concept of administrators. These administrators often have global privileges and can recover anyone's data. This might include highly sensitive data, such as payroll or financial records.

Amanda Enterprise takes a better approach. It lets you create roles for each operator, limiting what data they have access to. This lets you segregate sensitive data to ensure that only those with an absolute need to recover the data have the ability to do so.

Kan du säkerhetskopiera via en brandvägg?

Today's data center environments often include the use of firewalls even internally to protect corporate computers from attack. Your backup server will almost invariably be behind your corporate firewall. The question arises - how do you backup those computers on the other side of a firewall?

En lösning är att distribuera en andra reservserver på rätt sida av brandväggen. Detta är dock inte alltid genomförbart eller önskvärt. Detta ökar säkerhetsproblemen snarare än att minska dem. En bättre lösning är att din backupklient och serverprogramvara använder väldefinierade (men ändringsbara) portar för att kommunicera. Du kan sedan konfigurera din brandvägg så att den tillåter trafik från kända IP-adresser genom brandväggen för att möjliggöra säkerhetskopiering och återställa trafik genom.

En hänsyn till detta tillvägagångssätt är antalet portar som säkerhetskopieringsprogramvaran kräver. Din reservprogramvara bör inte använda för många portar, eftersom det är svårt att få en eller två portar öppnade i din brandvägg. Vissa kommersiellt tillgängliga backup-produkter med slutna källor använder dussintals portar per backup-server.

Amanda har förmågan att använda några administratörsdefinierade portar för backup-servern och klienten att kommunicera med. Denna förmåga gör den väl lämpad för säkerhetskopiering genom en brandvägg.

Stöd för säkerhetsförbättrade operativsystem som SE Linux

Security-Enhanced Linux (SELinux) är en Linux-variant som implementerar en mängd olika säkerhetspolicyer, inklusive amerikanska försvarsdepartementets obligatoriska åtkomstkontroller, genom användning av Linux Security Modules (LSM) i Linux-kärnan. Sedan Red Hat introducerade SELinux med sina Enterprise-erbjudanden används SELinux nu allmänt i statliga, militära och ofta kommersiella miljöer. Idag finns det ingen återförsäljare för säkerhetskopiering med sluten källa som stöder SELinux. Amanda arbetar dock mycket bra med SELinux-policyer.

Är din reservprogramvara skriven med tanke på säkerhet?

Backup-programvaran har konfigurationsfiler som lagrar lösenord och åtkomstkontrollrättigheter inte bara för filservrar utan också för applikations- och databasservrar. Se till att dessa konfigurationsfiler endast är läsbara av behöriga användare.

Everyone who uses a closed-source software product can only guess what is inside of it. Since the vendor does not make the code available for inspection it is very difficult to tell if the software is totally secure, or if there are "back doors" coded into the software such as infamous back door discovered in Microsoft IIS servers in 2000.

The United States Computer Emergency Readiness Team (US-CERT) issues the vulnerability alerts for commercial backup software all the time. For example, the Vulnerability Note VU#744137 alerts that in Symantec Veritas NetBackup software the catalog daemon contains a stack-based buffer overflow that could allow a remote attacker to execute arbitrary code on a NetBackup master server.

Öppen källkod är å andra sidan nästan ogenomtränglig för denna typ av problem. Det finns en inbyggd mekanism för peer review av koden som praktiskt taget försäkrar att inget som är onödigt ingår. Ingen självrespektande Open Source-utvecklare riskerar hans rykte och karriär genom att sätta en bakdörr i en öppen källkodsprodukt. Även om en sådan bakdörr inkluderades skulle den troligen snabbt hittas och tas bort.

Dessutom kan programvara med öppen källkod enkelt inspekteras för både kvalitet och säkerhet. Det finns både kommersiella och fritt tillgängliga open source-verktyg för analys av programvarukod för säkerhetsproblem. Några av dessa är:

Dessa verktyg är fritt tillgängliga och kan skanna en mängd olika programmeringsspråk. Bogosec (http://bogosec.sourceforge.net/index.html) är ett omslag kring dessa verktyg och kan förutsäga säkerhetsproblem i programvaran. Men utan tillgänglig källkod för reservprogramvara är dessa verktyg värdelösa.

When it comes to information security these are very real concerns for any backup package. When selecting a backup package you have to make sure there are no known security flaws in the software. Amanda, the leading open source backup package, has been tested with a variety of tools and by several organizations. For example, Coverity (http://scan.coverity.com), a collaborative effort between Stanford University and the open source community, tested Amanda code quality. When bugs were discovered the Amanda community quickly corrected them and reduced the count to zero. This compares to an average defect rate of 20 to 30 bugs per 1000 lines of code for commercial software, according to Carnegie Mellon University's CyLab Sustainable Computing Consortium.

Checklista för säkerhetskopiering

Finns det en stark autentisering av backup-servern och backup-klienterna?
Finns det kryptering på en klient för att säkra data under transport?
Finns det kryptering på en backup-server för att säkra data på ett backup-media, t.ex. band?
Kan du välja mellan olika krypteringsmetoder och dra nytta av nya krypteringsalgoritmer?
Finns det rollbaserad åtkomstkontroll för administration, säkerhetskopiering och återställning?
Kan du öppna några få portar (helst bara en port) för säkerhetskopiering via en brandvägg?
Finns det stöd för SELinux?
Verifierade du säkerheten för säkerhetskopior av programvarukonfigurationsfiler som lagrar lösenord för fil-, databas- och applikationsservrar?
Verifierade du att US-CERT inte har några varningar om din reservprogramvara?
Finns det oberoende rapporter om kvalitet och säkerhet för koden för din reservprogramvara?

Slutsats

Eftersom din säkerhetskopia är en kopia av dina mest värdefulla digitala tillgångar är säkerhetskopiering av säkerhet en viktig faktor. Att implementera riktigt säkra men ändå ekonomiskt lönsamma reservpolicyer kräver en grundlig förståelse för de därmed sammanhängande avvägningarna. Varje organisation kan dock hitta en rimlig kompromiss för att upprätta säkra säkerhetskopieringspolicyer som de har råd med. Det viktiga att komma ihåg är att säkerhetskopiering inte är ett projekt utan en process som kräver konstant övervakning och förbättring.

logo_crn_emerging_vendors
byte-switch-top-10-lagring
bossie_for-www-home
säkerhetscertifierad
gold_mysql
logo-amazon-partner