錢德·康德和德米特里·喬科夫斯基

In the last few years there have been many headlines about high-profile incidents of lost or stolen backup tapes. Despite increasing attention to security, backup procedures are often neglected in overall security policies. The main reason for that discrepancy is that, historically, backup and security have had almost opposite goals. Security procedures often require strong access control to user's data. Backup software, however, is optimized to simplify recovery, sometimes to a different platform or different location and often by someone other than the original owner of the data.

Using the example of the most popular 開源備份和恢復軟件, Amanda, we will review best practices for ensuring security of backup data. Specifically, we will review the following aspects of backup security:

 

您的系統真的在聯繫正確的備份服務器嗎?

Most data centers rely on network-based backup. In order to do this securely, there must be a trust relationship established between the backup client (the machine being backed up) and the backup server (the machine doing the backup). Without a verifiable way to establish this trust relationship various "man-in-the-middle" attacks can occur.

一個可能的漏洞是備份軟件允許備份客戶端指定任何備份服務器都可以啟動備份的情況。與Amanda不同,一些流行的封閉源備份工具附帶此設置作為默認設置。除非您知道此漏洞並更改默認設置,否則任何擁有便攜式計算機或台式計算機的人都可以安裝備份包的試用版並啟動組織中任何備份客戶端的備份。然後,可以輕鬆地將這些備份定向到惡意備份服務器的磁盤。

相反的方向也存在類似的問題。您的備份服務器是否提供了要恢復到適當系統的數據?還是有人強迫系統偽裝成備份客戶端?

更好的方法是要求備份軟件對備份客戶端和備份服務器都使用強身份驗證。當然,身份驗證方法也應該接受審查。一個好的選擇是基於密鑰的機制,類似於開源工具openssh(http://www.openssh.com)提供的機制。

Can your backup data be compromised when it travels the network or if your backup tape "falls off the truck"?

如果您的客戶端和服務器彼此進行身份驗證,只是發現有人截獲了備份數據,那是沒有用的。如果您的備份數據通過不安全的網絡(例如,從區域辦事處到總部的Internet)傳輸,則這一點尤其重要。

在過去的幾年中,發生了一些廣為人知的事件,使公司無法跟踪其備份磁帶。通常,這些都涉及敏感財務信息的丟失。在2005年的一次此類事件中,一家著名的分時度假公司丟失了包含260,000個客戶的敏感財務信息的備份磁帶。顯然,對客戶的潛在損害是巨大的,對分時度假公司及其聲譽的損害也很大。

您的備份軟件應提供靈活性,以便在通過網絡發送數據之前將傳輸中的數據加密,或者在將數據寫入備份介質時處於靜止狀態時對其進行加密。它應該使用可免費獲得的,可驗證的加密方法。您還應該選擇使用不同的加密方法,並利用新的發展和加密算法。

There are hardware-based solutions. Both Network Appliance's Decru division, and Neoscale offer hardware appliances that intercept writes to backup media (tape) and encrypt it on the fly. This has the advantage of speed, but comes at a high infrastructure cost.

Amanda能夠在客戶端上,在傳輸到備份服務器之前或在備份服務器本身上對數據進行加密。客戶端和服務器端加密都可以使用從標準輸入讀取並寫入標準輸出的任何加密程序。這包括aespipe命令,該命令支持各種AES加密例程。另一個使用Amanda加密程序的常用工具是gpg。

當然,如果沒有良好的密鑰管理,就無法恢復數據。 Amanda不會單獨提供密鑰管理解決方案,而是可以與您的IT策略要求的任何密鑰管理解決方案一起使用。

加密選項的開放性和靈活性使Amanda非常適合大多數IT環境(包括對安全性有嚴格要求的組織)的安全策略和流程。

誰可以控制您的備份和恢復?

如今,各種各樣的人必須參與配置和使用備份和恢復軟件。在大型企業中,服務台工作人員會與數十個人接觸。通常,這些人員需要獲得有關數據恢復操作的某些權限。

It is wise to choose a backup program that lets you delegate authority to individuals, as long as it provides a fine level of granularity. If your backup and recovery system does not have a fine level of granularity then you are exposed to the possibility of recovery abuses. Most backup and recovery packages have the concept of administrators. These administrators often have global privileges and can recover anyone's data. This might include highly sensitive data, such as payroll or financial records.

阿曼達企業 takes a better approach. It lets you create roles for each operator, limiting what data they have access to. This lets you segregate sensitive data to ensure that only those with an absolute need to recover the data have the ability to do so.

可以通過防火牆備份嗎?

Today's data center environments often include the use of firewalls even internally to protect corporate computers from attack. Your backup server will almost invariably be behind your corporate firewall. The question arises - how do you backup those computers on the other side of a firewall?

一種解決方案是在防火牆的適當一側部署第二個備份服務器。但是,這並不總是可行或理想的。這增加了安全性顧慮,而不是減少了它們。更好的解決方案是讓您的備份客戶端和服務器軟件使用定義明確(但可變)的端口進行通信。然後,您可以將防火牆配置為允許來自已知IP地址的流量通過防火牆,以允許備份和還原流量通過。

關於此方法的考慮因素是備份軟件所需的端口數。您的備份軟件不應使用太多端口,因為很難在防火牆中打開一個或兩個端口。一些商業上可用的封閉源備份產品每個備份服務器使用多個端口。

Amanda可以使用一些管理員定義的端口來與備份服務器和客戶端進行通信。此功能使其非常適合通過防火牆進行備份。

支持安全性增強的操作系統,例如SE Linux

增強安全性的Linux(SELinux)是一種Linux變體,它通過在Linux內核中使用Linux安全模塊(LSM)來實現各種安全策略,包括美國國防部風格的強制性訪問控制。自從Red Hat在其Enterprise產品中引入SELinux以來,SELinux現在已廣泛用於政府,軍事和商業環境。如今,還沒有支持SELinux的封閉源備份供應商。但是,Amanda可以很好地使用SELinux策略。

您編寫的備份軟件是否考慮到安全性?

備份軟件的配置文件不僅存儲文件服務器的密碼和訪問控制權,還存儲應用程序和數據庫服務器的密碼和訪問控制權。確保只有授權用戶才能讀取這些配置文件。

Everyone who uses a closed-source software product can only guess what is inside of it. Since the vendor does not make the code available for inspection it is very difficult to tell if the software is totally secure, or if there are "back doors" coded into the software such as infamous back door discovered in Microsoft IIS servers in 2000.

The United States Computer Emergency Readiness Team (US-CERT) issues the vulnerability alerts for commercial backup software all the time. For example, the Vulnerability Note VU#744137 alerts that in Symantec Veritas NetBackup software the catalog daemon contains a stack-based buffer overflow that could allow a remote attacker to execute arbitrary code on a NetBackup master server.

另一方面,開源幾乎不受這種問題的影響。有一個內置的對等檢查代碼的機制,實際上可以確保不包含任何不必要的內容。自尊的開放源代碼開發人員不會通過將後門投入開放源代碼產品而冒著聲譽和職業風險。即使包括這樣的後門,也很可能會很快找到並刪除它。

此外,可以輕鬆檢查開源軟件的質量和安全性。有商業和免費提供的開源工具,可用於分析軟件代碼中的安全漏洞。其中一些是:

這些工具是免費提供的,並且能夠掃描多種編程語言。 Bogosec(http://bogosec.sourceforge.net/index.html)是這些工具的包裝,可以預測軟件中的安全問題。但是,如果沒有可用的備份軟件源代碼,這些工具將無用。

When it comes to information security these are very real concerns for any backup package. When selecting a backup package you have to make sure there are no known security flaws in the software. Amanda, the leading open source backup package, has been tested with a variety of tools and by several organizations. For example, Coverity (http://scan.coverity.com), a collaborative effort between Stanford University and the open source community, tested Amanda code quality. When bugs were discovered the Amanda community quickly corrected them and reduced the count to zero. This compares to an average defect rate of 20 to 30 bugs per 1000 lines of code for commercial software, according to Carnegie Mellon University's CyLab Sustainable Computing Consortium.

備份安全清單

備份服務器和備份客戶端是否經過嚴格的身份驗證?
客戶端上是否有用於保護傳輸數據的加密?
備份服務器上是否有用於保護備份介質(例如磁帶)上的數據的加密?
您可以選擇不同的加密方法並利用新的加密算法嗎?
是否有用於管理,備份和恢復的基於角色的訪問控制?
您能否僅打開幾個端口(最好是一個端口)以通過防火牆進行備份?
有SELinux支持嗎?
您是否已驗證存儲文件,數據庫和應用程序服務器密碼的備份軟件配置文件的安全性?
您是否確認US-CERT沒有有關您的備份軟件的警報?
是否有關於備份軟件的代碼質量和安全性的獨立報告?

結論

由於備份是您最有價值的數字資產的副本,因此備份安全性是至關重要的考慮因素。實施真正安全且在財務上可行的備份策略需要對相關的權衡取捨徹底了解。但是,任何組織都可以找到合理的折衷辦法來建立其負擔得起的安全備份策略。要記住的重要一點是,備份安全性不是項目,而是需要不斷監控和改進的過程。

logo_crn_emerging_vendors
字節開關頂部10存儲
bossie_for-www-home
安全認證
gold_mysql
徽標-amazon-partner