安全备份和恢复–最佳做法

钱德·康德（Chander Kant）和德米特里（Dmitri Joukovski）

在过去的几年中，备受瞩目的备份磁带丢失或被盗事件备受关注。 尽管越来越重视安全性，但是备份过程在整体安全策略中通常被忽略。 造成这种差异的主要原因是，从历史上看，备份和安全的目标几乎是相反的。 安全程序通常需要对用户数据的强大访问控制。 但是，备份软件经过优化，可以简化恢复过程，有时可以恢复到不同的平台或不同的位置，并且通常由数据的原始所有者以外的其他人进行。

以最受欢迎的例子为例 开源备份和恢复软件，Amanda，我们将审查确保备份数据安全的最佳做法。 具体来说，我们将审查备份安全性的以下方面：

您的系统是否真的在与正确的备份服务器联系？

大多数数据中心都依赖于基于网络的备份。 为了安全地执行此操作，必须在备份客户端（正在备份的计算机）和备份服务器（进行备份的计算机）之间建立信任关系。 如果没有建立这种信任关系的可验证方法，就会发生各种“中间人”攻击。

一个可能的漏洞是备份软件允许备份客户端指定任何备份服务器都可以启动备份的情况。 与Amanda不同，某些流行的封闭源备份工具将此设置作为默认设置。 除非您知道此漏洞并更改默认设置，否则任何拥有便携式计算机或台式计算机的人都可以安装备份包的试用版并启动组织中任何备份客户端的备份。 然后，可以轻松地将这些备份定向到恶意备份服务器的磁盘。

相反的方向也存在类似的问题。 您的备份服务器是否提供了要恢复到适当系统的数据？ 还是有人强迫系统伪装成备份客户端？

更好的方法是要求备份软件对备份客户端和备份服务器都使用强身份验证。 当然，身份验证的方法也应该接受审查。 一个不错的选择是基于密钥的机制，类似于开源工具openssh（http://www.openssh.com）提供的机制。

当备份数据通过网络或备份磁带“掉下来”时，您的备份数据是否会受到威胁？

如果您的客户端和服务器彼此进行身份验证，只是发现有人截获了备份数据，那是没有用的。 如果您的备份数据是通过不安全的网络（例如，从区域办事处到总部的Internet）传输的，则这一点尤其重要。

在过去的几年中，发生了一些广为人知的事件，使公司无法跟踪其备份磁带。 通常，这些都涉及敏感财务信息的丢失。 在2005年的一次此类事件中，一家著名的分时度假公司丢失了包含260,000个客户的敏感财务信息的备份磁带。 显然，对客户的潜在损害是巨大的，对分时度假公司及其声誉的损害也是巨大的。

您的备份软件应具有灵活性，可以在传输数据之前在线加密数据，或者在将数据写入备份介质时保持静止状态，从而对传输中的数据进行加密。 它应该使用可免费获得的，可验证的加密方法。 您还应该选择使用不同的加密方法，并利用新的发展和加密算法。

有基于硬件的解决方案。 Network Appliance的Decru部门和Neoscale都提供了硬件设备，这些设备可拦截对备份媒体（磁带）的写入并实时对其进行加密。 这具有速度优势，但需要付出高昂的基础设施成本。

Amanda可以在客户端上，在传输到备份服务器之前或在备份服务器本身上对数据进行加密。 客户端和服务器端加密都可以使用从标准输入读取并写入标准输出的任何加密程序。 这包括aespipe命令，该命令支持各种AES加密例程。 gpg是另一个使用Amanda加密程序的常用工具。

当然，如果没有良好的密钥管理，就无法恢复数据。 Amanda不会单独提供密钥管理解决方案，而是可以与您的IT策略要求的任何密钥管理解决方案一起使用。

加密选项的开放性和灵活性使Amanda可以很好地适应大多数IT环境（包括对安全性有严格要求的组织）的安全策略和流程。

谁可以控制您的备份和恢复？

如今，各种各样的人必须参与配置和使用备份和恢复软件。 在大型企业中，服务台人员与数十个人接触是很正常的。 通常，这些人员需要获得有关数据恢复操作的某些权限。

明智的选择一个备份程序，该程序可以让您将权限委派给个人，只要它提供了良好的粒度即可。 如果您的备份和恢复系统没有很好的粒度级别，那么您将面临恢复滥用的可能性。 大多数备份和恢复软件包都具有管理员的概念。 这些管理员通常具有全局特权，并且可以恢复任何人的数据。 这可能包括高度敏感的数据，例如工资单或财务记录。

阿曼达企业 采取更好的方法。 它使您可以为每个操作员创建角色，从而限制他们可以访问的数据。 这使您可以隔离敏感数据，以确保只有那些绝对需要恢复数据的人才可以这样做。

可以通过防火墙备份吗？

当今的数据中心环境甚至包括内部使用防火墙，以保护公司计算机免受攻击。 您的备份服务器几乎总是位于公司防火墙的后面。 出现了问题-您如何在防火墙的另一侧备份那些计算机？

一种解决方案是在防火墙的适当一侧部署第二个备份服务器。 但是，这并不总是可行或理想的。 这增加了安全性顾虑，而不是减少了它们。 更好的解决方案是让您的备份客户端和服务器软件使用定义明确（但可变）的端口进行通信。 然后，您可以将防火墙配置为允许来自已知IP地址的流量通过防火墙，以允许备份和还原流量通过。

关于此方法的考虑因素是备份软件所需的端口数。 您的备份软件不应使用太多端口，因为很难在防火墙中打开一个或两个端口。 一些商业上可用的封闭源备份产品每个备份服务器使用数十个端口。

Amanda能够使用一些管理员定义的端口与备份服务器和客户端进行通信。 此功能使其非常适合通过防火墙进行备份。

支持安全性增强的操作系统，例如SE Linux

增强安全性的Linux（SELinux）是一种Linux变体，它通过在Linux内核中使用Linux安全模块（LSM）来实现各种安全策略，包括美国国防部风格的强制性访问控制。 自从Red Hat在其Enterprise产品中引入SELinux以来，SELinux现在已广泛用于政府，军事和商业环境。 如今，还没有支持SELinux的封闭源备份供应商。 但是，Amanda可以很好地使用SELinux策略。

您编写的备份软件是否考虑到安全性？

备份软件的配置文件不仅存储文件服务器的密码和访问控制权，还存储应用程序和数据库服务器的密码和访问控制权。 确保只有授权用户才能读取这些配置文件。

使用封闭源软件产品的每个人都只能猜测其中的内容。 由于供应商未提供该代码供检查，因此很难判断该软件是否完全安全，或者是否有“后门”编码到该软件中，例如2000年在Microsoft IIS服务器中发现的臭名昭著的后门。

美国计算机应急准备小组（US-CERT）始终为商业备份软件发布漏洞警报。 例如，漏洞说明VU＃744137会在Symantec Veritas中发出警报 的NetBackup 该目录守护程序软件包含基于堆栈的缓冲区溢出，该溢出可能使远程攻击者可以在NetBackup主服务器上执行任意代码。

另一方面，开源几乎不受这种问题的影响。 有一个内置的对等检查代码的机制，实际上可以确保不包含任何不必要的内容。 自尊的开放源代码开发人员不会对开放源代码产品投入后门，从而冒着声誉和职业风险。 即使包括这样的后门，也很可能会很快找到并删除它。

此外，可以轻松检查开源软件的质量和安全性。 有商业和免费提供的开源工具，可用于分析软件代码中的安全漏洞。 其中一些是：

这些工具是免费提供的，并且能够扫描多种编程语言。 Bogosec（http://bogosec.sourceforge.net/index.html）是这些工具的包装，可以预测软件中的安全问题。 但是，如果没有可用的备份软件源代码，这些工具将无用。

当涉及到信息安全性时，对于任何备份程序包来说，这都是非常现实的问题。 选择备份软件包时，必须确保软件中没有已知的安全缺陷。 领先的开源备份程序包Amanda已通过多种工具以及多个组织的测试。 例如，斯坦福大学和开源社区之间的合作，Coverity（http://scan.coverity.com）测试了Amanda代码的质量。 发现错误后，Amanda社区迅速对其进行了纠正，并将计数减少为零。 卡内基梅隆大学的CyLab可持续计算联盟表示，相比之下，商业软件每20行代码的平均缺陷率是30到1000个错误。