โดย Chander Kant และ Dmitri Joukovski

In the last few years there have been many headlines about high-profile incidents of lost or stolen backup tapes. Despite increasing attention to security, backup procedures are often neglected in overall security policies. The main reason for that discrepancy is that, historically, backup and security have had almost opposite goals. Security procedures often require strong access control to user's data. Backup software, however, is optimized to simplify recovery, sometimes to a different platform or different location and often by someone other than the original owner of the data.

Using the example of the most popular ซอฟต์แวร์สำรองและกู้คืนโอเพ่นซอร์ส, Amanda, we will review best practices for ensuring security of backup data. Specifically, we will review the following aspects of backup security:

 

ระบบของคุณกำลังติดต่อกับเซิร์ฟเวอร์สำรองที่ถูกต้องหรือไม่?

Most data centers rely on network-based backup. In order to do this securely, there must be a trust relationship established between the backup client (the machine being backed up) and the backup server (the machine doing the backup). Without a verifiable way to establish this trust relationship various "man-in-the-middle" attacks can occur.

ช่องโหว่ที่เป็นไปได้อย่างหนึ่งคือกรณีที่ซอฟต์แวร์สำรองข้อมูลอนุญาตให้ไคลเอ็นต์สำรองระบุว่าเซิร์ฟเวอร์สำรองใด ๆ อาจเริ่มการสำรองข้อมูล ซึ่งแตกต่างจาก Amanda เครื่องมือสำรองข้อมูลแบบปิดที่เป็นที่นิยมบางตัวจัดส่งมาพร้อมกับการตั้งค่านี้เป็นค่าเริ่มต้น หากคุณไม่ทราบถึงช่องโหว่นี้และเปลี่ยนการตั้งค่าเริ่มต้นทุกคนที่มีแล็ปท็อปหรือคอมพิวเตอร์เดสก์ท็อปสามารถติดตั้งแพ็กเกจสำรองข้อมูลเวอร์ชันทดลองใช้และเริ่มการสำรองข้อมูลไคลเอ็นต์สำรองในองค์กรของคุณได้ จากนั้นการสำรองข้อมูลเหล่านี้สามารถนำไปยังดิสก์ของเซิร์ฟเวอร์สำรองข้อมูลที่หลอกลวงได้อย่างง่ายดาย

ความกังวลที่คล้ายกันเกิดขึ้นในทางตรงกันข้าม เซิร์ฟเวอร์สำรองของคุณให้ข้อมูลสำหรับการกู้คืนไปยังระบบที่เหมาะสมหรือไม่ หรือมีใครบังคับให้ระบบปลอมตัวเป็นไคลเอนต์สำรอง?

แนวทางที่ดีกว่ามากคือการกำหนดให้ซอฟต์แวร์สำรองข้อมูลใช้การตรวจสอบสิทธิ์ที่เข้มงวดของทั้งไคลเอนต์สำรองและเซิร์ฟเวอร์สำรอง แน่นอนว่าวิธีการรับรองความถูกต้องควรเปิดให้มีการตรวจสอบข้อเท็จจริงด้วย ทางเลือกที่ดีคือกลไกที่ใช้คีย์ซึ่งคล้ายกับกลไกที่นำเสนอโดยเครื่องมือโอเพนซอร์ส openssh (http://www.openssh.com)

Can your backup data be compromised when it travels the network or if your backup tape "falls off the truck"?

จะไม่ดีหากไคลเอนต์และเซิร์ฟเวอร์ของคุณตรวจสอบสิทธิ์ซึ่งกันและกันเพียงเพื่อจะพบว่ามีคนดักจับข้อมูลสำรอง นี่เป็นสิ่งสำคัญอย่างยิ่งหากข้อมูลสำรองของคุณเดินทางผ่านเครือข่ายที่ไม่ปลอดภัยเช่นทางอินเทอร์เน็ตจากสำนักงานภูมิภาคไปยังสำนักงานใหญ่

ในช่วงไม่กี่ปีที่ผ่านมามีการเผยแพร่เหตุการณ์ที่ บริษัท ต่างๆไม่สามารถติดตามเทปสำรองข้อมูลของตนได้ บ่อยครั้งสิ่งเหล่านี้เกี่ยวข้องกับการสูญเสียข้อมูลทางการเงินที่ละเอียดอ่อน ในเหตุการณ์ดังกล่าวในปี 2548 บริษัท ไทม์แชร์ที่มีชื่อเสียงแห่งหนึ่งได้ทำเทปสำรองข้อมูลที่มีข้อมูลทางการเงินที่ละเอียดอ่อนให้กับลูกค้า 260,000 ราย เห็นได้ชัดว่าความเสียหายที่อาจเกิดขึ้นกับลูกค้านั้นมีมากพอ ๆ กับความเสียหายต่อ บริษัท ที่แบ่งเวลาและชื่อเสียงของ บริษัท

ซอฟต์แวร์สำรองข้อมูลของคุณควรให้ความยืดหยุ่นในการเข้ารหัสข้อมูลระหว่างการส่งข้อมูลก่อนที่จะส่งผ่านสายหรือหยุดพักเมื่อข้อมูลถูกเขียนไปยังสื่อสำรองข้อมูล ควรใช้วิธีการเข้ารหัสที่สามารถตรวจสอบได้อย่างอิสระ คุณควรมีตัวเลือกในการใช้วิธีการเข้ารหัสที่แตกต่างกันและใช้ประโยชน์จากการพัฒนาใหม่ ๆ และอัลกอริทึมการเข้ารหัส

There are hardware-based solutions. Both Network Appliance's Decru division, and Neoscale offer hardware appliances that intercept writes to backup media (tape) and encrypt it on the fly. This has the advantage of speed, but comes at a high infrastructure cost.

Amanda มีความสามารถในการเข้ารหัสข้อมูลบนไคลเอนต์ก่อนที่จะส่งไปยังเซิร์ฟเวอร์สำรองหรือบนเซิร์ฟเวอร์สำรองเอง การเข้ารหัสทั้งฝั่งไคลเอ็นต์และฝั่งเซิร์ฟเวอร์สามารถใช้โปรแกรมเข้ารหัสใด ๆ ที่อ่านจากอินพุตมาตรฐานและเขียนไปยังเอาต์พุตมาตรฐาน ซึ่งรวมถึงคำสั่ง aespipe ซึ่งรองรับรูทีนการเข้ารหัส AES ที่หลากหลาย เครื่องมือที่ใช้กันทั่วไปกับโปรแกรมเข้ารหัส Amanda คือ gpg

แน่นอนว่าหากไม่มีการจัดการคีย์ที่ดีข้อมูลจะไม่สามารถกู้คืนได้ Amanda ไม่มีโซลูชันการจัดการคีย์ด้วยตัวเอง แต่ทำงานร่วมกับโซลูชันการจัดการคีย์ใด ๆ ที่อยู่ภายใต้นโยบายไอทีของคุณ

การเปิดกว้างและความยืดหยุ่นของตัวเลือกการเข้ารหัสช่วยให้ Amanda สามารถปรับให้เข้ากับนโยบายความปลอดภัยและกระบวนการของสภาพแวดล้อมไอทีส่วนใหญ่รวมถึงองค์กรที่มีข้อกำหนดด้านความปลอดภัยที่เข้มงวด

ใครเป็นผู้ควบคุมการสำรองข้อมูลและการกู้คืนของคุณ?

ทุกวันนี้มีผู้คนมากมายที่ต้องมีส่วนร่วมในการกำหนดค่าและใช้ซอฟต์แวร์สำรองและกู้คืนข้อมูล ในองค์กรขนาดใหญ่ไม่ใช่เรื่องแปลกที่เจ้าหน้าที่แผนกช่วยเหลือจะเข้าหาบุคคลหลายสิบคน บ่อยครั้งที่บุคลากรเหล่านี้จำเป็นต้องได้รับอำนาจในการดำเนินการกู้คืนข้อมูล

It is wise to choose a backup program that lets you delegate authority to individuals, as long as it provides a fine level of granularity. If your backup and recovery system does not have a fine level of granularity then you are exposed to the possibility of recovery abuses. Most backup and recovery packages have the concept of administrators. These administrators often have global privileges and can recover anyone's data. This might include highly sensitive data, such as payroll or financial records.

Amanda Enterprise takes a better approach. It lets you create roles for each operator, limiting what data they have access to. This lets you segregate sensitive data to ensure that only those with an absolute need to recover the data have the ability to do so.

คุณสามารถสำรองข้อมูลผ่านไฟร์วอลล์ได้หรือไม่?

Today's data center environments often include the use of firewalls even internally to protect corporate computers from attack. Your backup server will almost invariably be behind your corporate firewall. The question arises - how do you backup those computers on the other side of a firewall?

ทางออกหนึ่งคือการปรับใช้เซิร์ฟเวอร์สำรองที่สองบนด้านที่เหมาะสมของไฟร์วอลล์ อย่างไรก็ตามสิ่งนี้ไม่สามารถทำได้หรือเป็นที่ต้องการเสมอไป สิ่งนี้เพิ่มความกังวลด้านความปลอดภัยแทนที่จะลดลง ทางออกที่ดีกว่าคือสำหรับไคลเอนต์สำรองและซอฟต์แวร์เซิร์ฟเวอร์ของคุณเพื่อใช้พอร์ตที่กำหนดไว้อย่างดี (แต่เปลี่ยนแปลงได้) เพื่อสื่อสาร จากนั้นคุณสามารถกำหนดค่าไฟร์วอลล์ของคุณเพื่ออนุญาตการรับส่งข้อมูลจากที่อยู่ IP ที่รู้จักผ่านไฟร์วอลล์เพื่ออนุญาตการสำรองข้อมูลและเรียกคืนการรับส่งข้อมูลผ่าน

ข้อควรพิจารณาเกี่ยวกับแนวทางนี้คือจำนวนพอร์ตที่ซอฟต์แวร์สำรองข้อมูลต้องการ ซอฟต์แวร์สำรองข้อมูลของคุณไม่ควรใช้พอร์ตมากเกินไปเนื่องจากเป็นเรื่องยากพอที่จะเปิดพอร์ตหนึ่งหรือสองพอร์ตในไฟร์วอลล์ของคุณ ผลิตภัณฑ์สำรองข้อมูลแบบปิดที่มีวางจำหน่ายทั่วไปบางส่วนใช้พอร์ตหลายสิบพอร์ตต่อเซิร์ฟเวอร์สำรอง

Amanda มีความสามารถในการใช้พอร์ตที่ผู้ดูแลระบบกำหนดไว้สองสามพอร์ตเพื่อให้เซิร์ฟเวอร์สำรองและไคลเอ็นต์สื่อสารด้วย ความสามารถนี้ทำให้เหมาะสำหรับการสำรองข้อมูลผ่านไฟร์วอลล์

รองรับระบบปฏิบัติการที่เพิ่มความปลอดภัยเช่น SE Linux

Security-Enhanced Linux (SELinux) เป็นตัวแปร Linux ที่ใช้นโยบายการรักษาความปลอดภัยที่หลากหลายรวมถึงการควบคุมการเข้าถึงแบบบังคับของกระทรวงกลาโหมสหรัฐฯผ่านการใช้ Linux Security Modules (LSM) ในเคอร์เนล Linux นับตั้งแต่ Red Hat เปิดตัว SELinux พร้อมกับข้อเสนอระดับองค์กรปัจจุบัน SELinux ถูกนำมาใช้กันอย่างแพร่หลายในสภาพแวดล้อมของรัฐบาลทหารและในเชิงพาณิชย์ วันนี้ไม่มีผู้จำหน่ายข้อมูลสำรองแบบปิดที่รองรับ SELinux อย่างไรก็ตาม Amanda ทำงานร่วมกับนโยบายของ SELinux ได้เป็นอย่างดี

ซอฟต์แวร์สำรองข้อมูลของคุณเขียนขึ้นโดยคำนึงถึงความปลอดภัยหรือไม่?

ซอฟต์แวร์สำรองข้อมูลมีไฟล์คอนฟิกูเรชันที่เก็บรหัสผ่านและสิทธิ์การควบคุมการเข้าถึงไม่เพียง แต่สำหรับไฟล์เซิร์ฟเวอร์เท่านั้น แต่ยังรวมถึงเซิร์ฟเวอร์แอปพลิเคชันและฐานข้อมูลด้วย ตรวจสอบให้แน่ใจว่าไฟล์การกำหนดค่าเหล่านี้สามารถอ่านได้โดยผู้ใช้ที่ได้รับอนุญาตเท่านั้น

Everyone who uses a closed-source software product can only guess what is inside of it. Since the vendor does not make the code available for inspection it is very difficult to tell if the software is totally secure, or if there are "back doors" coded into the software such as infamous back door discovered in Microsoft IIS servers in 2000.

The United States Computer Emergency Readiness Team (US-CERT) issues the vulnerability alerts for commercial backup software all the time. For example, the Vulnerability Note VU#744137 alerts that in Symantec Veritas NetBackup software the catalog daemon contains a stack-based buffer overflow that could allow a remote attacker to execute arbitrary code on a NetBackup master server.

ในทางกลับกันโอเพ่นซอร์สแทบจะไม่สามารถแก้ไขปัญหาประเภทนี้ได้ มีกลไกในตัวของการตรวจสอบโค้ดโดยเพื่อนที่ช่วยให้มั่นใจได้ว่าไม่มีสิ่งใดที่ไม่จำเป็นรวมอยู่ด้วย ไม่มีนักพัฒนาโอเพ่นซอร์สที่เคารพตัวเองคนใดที่จะเสี่ยงต่อชื่อเสียงและอาชีพของเขาโดยใส่ประตูหลังเข้าไปในผลิตภัณฑ์โอเพนซอร์ส แม้ว่าประตูหลังดังกล่าวจะรวมอยู่ด้วย แต่ก็มักจะพบและถอดออกได้อย่างรวดเร็ว

นอกจากนี้ซอฟต์แวร์โอเพนซอร์สยังสามารถตรวจสอบคุณภาพและความปลอดภัยได้อย่างง่ายดาย มีทั้งเครื่องมือโอเพนซอร์สในเชิงพาณิชย์และแบบอิสระสำหรับการวิเคราะห์โค้ดซอฟต์แวร์เพื่อหาช่องโหว่ด้านความปลอดภัย บางส่วน ได้แก่ :

เครื่องมือเหล่านี้มีให้ใช้งานฟรีและสามารถสแกนภาษาโปรแกรมต่างๆได้ Bogosec (http://bogosec.sourceforge.net/index.html) เป็นเครื่องห่อหุ้มเครื่องมือเหล่านี้และสามารถทำนายปัญหาด้านความปลอดภัยในซอฟต์แวร์ได้ อย่างไรก็ตามหากไม่มีซอร์สโค้ดสำหรับซอฟต์แวร์สำรองข้อมูลเครื่องมือเหล่านี้ก็ไม่มีประโยชน์

When it comes to information security these are very real concerns for any backup package. When selecting a backup package you have to make sure there are no known security flaws in the software. Amanda, the leading open source backup package, has been tested with a variety of tools and by several organizations. For example, Coverity (http://scan.coverity.com), a collaborative effort between Stanford University and the open source community, tested Amanda code quality. When bugs were discovered the Amanda community quickly corrected them and reduced the count to zero. This compares to an average defect rate of 20 to 30 bugs per 1000 lines of code for commercial software, according to Carnegie Mellon University's CyLab Sustainable Computing Consortium.

รายการตรวจสอบความปลอดภัยสำรอง

มีการตรวจสอบเซิร์ฟเวอร์สำรองและไคลเอนต์สำรองที่เข้มงวดหรือไม่
มีการเข้ารหัสไคลเอ็นต์เพื่อรักษาความปลอดภัยข้อมูลระหว่างการส่งหรือไม่
มีการเข้ารหัสบนเซิร์ฟเวอร์สำรองสำหรับการรักษาความปลอดภัยข้อมูลบนสื่อสำรองเช่นเทปหรือไม่?
คุณสามารถเลือกระหว่างวิธีการเข้ารหัสแบบต่างๆและใช้ประโยชน์จากอัลกอริธึมการเข้ารหัสใหม่ได้หรือไม่
มีการควบคุมการเข้าถึงตามบทบาทสำหรับการดูแลระบบการสำรองข้อมูลและการกู้คืนหรือไม่?
คุณสามารถเปิดพอร์ตเพียงไม่กี่พอร์ต (ควรเป็นเพียงพอร์ตเดียว) สำหรับการสำรองข้อมูลผ่านไฟร์วอลล์หรือไม่?
มีการรองรับ SELinux หรือไม่?
คุณตรวจสอบความปลอดภัยของไฟล์คอนฟิกูเรชันซอฟต์แวร์สำรองที่เก็บรหัสผ่านสำหรับไฟล์ - ฐานข้อมูลและเซิร์ฟเวอร์แอปพลิเคชันหรือไม่
คุณตรวจสอบว่า US-CERT ไม่มีการแจ้งเตือนเกี่ยวกับซอฟต์แวร์สำรองข้อมูลของคุณหรือไม่?
มีรายงานอิสระเกี่ยวกับคุณภาพและความปลอดภัยของรหัสสำหรับซอฟต์แวร์สำรองข้อมูลของคุณหรือไม่?

สรุป

เนื่องจากข้อมูลสำรองของคุณเป็นสำเนาของสินทรัพย์ดิจิทัลที่มีค่าที่สุดของคุณการรักษาความปลอดภัยในการสำรองข้อมูลจึงเป็นสิ่งสำคัญที่ต้องพิจารณา การใช้นโยบายสำรองที่ปลอดภัยอย่างแท้จริง แต่สามารถทำงานได้ทางการเงินจำเป็นต้องมีความเข้าใจอย่างถ่องแท้เกี่ยวกับการแลกเปลี่ยนที่เกี่ยวข้อง อย่างไรก็ตามองค์กรใด ๆ สามารถหาวิธีประนีประนอมที่สมเหตุสมผลเพื่อกำหนดนโยบายการสำรองข้อมูลที่ปลอดภัยที่สามารถจ่ายได้ สิ่งสำคัญที่ต้องจำไว้คือความปลอดภัยในการสำรองข้อมูลไม่ใช่โครงการ แต่เป็นกระบวนการที่ต้องมีการตรวจสอบและปรับปรุงอย่างต่อเนื่อง

logo_crn_emerging_vendors
ไบต์สลับด้านบน 10 ที่เก็บข้อมูล
bossie_for-www-home
ได้รับการรับรองความปลอดภัย
gold_mysql
โลโก้ amazon- พันธมิตร