Moderne Backup-Systeme beheben diese Schwachstellen auf verschiedene Weise:
- Integrierte Anwendungen
- Unveränderlicher Sicherungsspeicher
- Eliminierung von Netzwerkfreigabeprotokollen
- Multifaktor-Authentifizierung (MFA) für administrative Konten
- Trennung der administrativen Rollen
- Autorisierungsworkflows für mehrere Personen
- Mehrere Kopien von Sicherungsdaten
Das Verständnis dieser Funktionen ist entscheidend für die Beurteilung neuer Backup-Anwendungen.
Es ist möglich, ein sicheres Backup-System mit einem separaten Speichergerät aufzubauen, aber die Sicherheit hängt von den ausgewählten Komponenten und der Effektivität der Sicherheitsimplementierung des Unternehmens ab. Die Wahl der falschen Komponenten oder die mangelnde Absicherung des Speichers macht die Backups angreifbar.
Integration des Speichers in eine Backup-Appliance (oder einen Cluster)
Integrierte Appliances
Es ist möglich, ein sicheres Backup-System mit einem separaten Speichergerät aufzubauen, aber die Sicherheit hängt von den ausgewählten Komponenten und der Effektivität der Sicherheitsimplementierung des Unternehmens ab. Die Wahl der falschen Komponenten oder die mangelnde Sicherung des Speichers macht die Backups angreifbar. Die Integration des Speichers in eine Backup-Appliance (oder eine Gruppe von Appliances) verringert das Risiko. Dieser Ansatz hat eine Reihe von Vorteilen:
- In der Regel laufen diese Appliances mit einem sicheren, abgespeckten Linux-Kernel, der die Angriffsfläche des gesamten Backup-Systems minimiert.
- Appliances können mit den vom Hersteller empfohlenen Standardeinstellungen für alle Sicherheitseinstellungen vorkonfiguriert werden.
Unveränderliche Sicherungsspeicher
Standard-Dateisysteme wie Microsoft Windows NT File System (NTFS) oder Linux EFS haben einen eklatanten Schwachpunkt: Die darauf gespeicherten Daten können von jedem Konto mit ausreichenden Berechtigungen gelöscht oder überschrieben werden. Diese Schwäche ist für die Backup-Speicherung inakzeptabel, da das Unternehmen darauf vertrauen muss, dass die Backup-Daten während eines Angriffs nicht gelöscht, geändert oder verschlüsselt werden können.
Der wichtigste Punkt ist, dass einmal geschriebene Daten nur unter besonderen Umständen gelöscht werden können. In der Regel wird die Unveränderlichkeit mit einer Aufbewahrungsfrist kombiniert. Zum Beispiel könnte jeder Sicherungssatz 30 Tage lang aufbewahrt werden. Während dieser 30 Tage kann der Sicherungssatz nicht gelöscht, geändert oder überschrieben werden, auch nicht von dem privilegiertesten Sicherungskonto.
Je nach Implementierung kann es jedoch Möglichkeiten geben, die Unveränderlichkeitseinstellung zu umgehen, wenn ein Angreifer die OS-Administrationskonten kompromittieren kann. Aufgrund dieser Einschränkung ist es wichtig zu verstehen, wie die Unveränderbarkeit implementiert ist und ob es sich wirklich um ein „Write Once, Read Many” (WORM) handelt, selbst wenn die OS-Administrationskonten kompromittiert sind. Typische Ansätze zur Erstellung eines änderbaren Sicherungsspeichers sind:
- Speziell entwickelte Dateisysteme, die Unveränderlichkeit auf dem Betriebssystemkern implementieren, wie sie üblicherweise in gerätebasierten Sicherungssystemen zu finden sind.
- Objektspeichersysteme mit Retention Lock-Funktionen.
Beseitigung von Netzwerkfreigabeprotokollen
Netzwerkfreigabeprotokolle wie Network File System (NFS) und CIFS gibt es schon seit Jahrzehnten, und sie eignen sich gut für die allgemeine Dateifreigabe. Kleinste Fehler bei den Lese-/Schreibberechtigungen können jedoch dazu führen, dass Daten offengelegt werden. Außerdem bedeutet die Verwendung dieser Protokolle, dass fast jeder Server oder PC im Netzwerk den Sicherungsspeicher mit Hilfe von in das Betriebssystem integrierten Tools und Protokollen erkennen kann. Dadurch kann jedes System, das von einem Angreifer kompromittiert wurde, auf die Daten zugreifen.
Die Anbieter erleichtern die Beseitigung der Verwendung von Netzwerkfreigabeprotokollen durch:
- Die Verwendung von sichereren Netzwerkprotokollen, typischerweise Objektspeicher-APIs wie Amazon-S3-kompatible APIs oder proprietäre Protokolle.
- Die Verwendung von Datenspeicherplattformen mit ihren eigenen Datenbewegungs-APIs. Beispiele hierfür sind die Data Domain- und DD Boost-APIs von Dell EMC und die StoreOnce Catalyst-APIs von HPE.
- Die Verbindung des Speichers mit dem Backup-Server, so dass der Speicher “lokal” auf dem Backup-Server liegt und der Zugriff auf ihn nicht über ein Netzwerk erfolgen muss.
MFA für administrative Konten
Wenn die Sicherungskonsole verletzt wird, kann ein Angreifer Sicherungsrichtlinien ändern, Sicherungsaufträge ändern oder Sicherungsdaten aus dem System löschen. Die obligatorische Verwendung von MFA für jeden, der sich bei der Konsole anmeldet, macht es einem Angreifer wesentlich schwerer, zuzuschlagen.
Wenn der für Backups verwendete Speicher getrennt ist, muss die Konsole des Speicheradministrators ähnlich geschützt werden, da ein Angreifer sonst in der Lage ist, Volumen auf dem Speichergerät zu löschen oder neu zu formatieren, ohne überhaupt in die Backup-Konsole eindringen zu müssen.
Trennung der administrativen Rollen
Backup-Programme implementieren in der Regel eine rollenbasierte Zugriffskontrolle (RBAC), so dass verschiedene Funktionen verschiedenen Benutzerkonten zugewiesen werden können. Idealerweise sollte das System mit vordefinierten Rollen ausgestattet sein, um eine Vielzahl von Aufgaben zu erfüllen, darunter:
- Überwachung und Berichterstellung – Benutzer, die das Backup-System überwachen, müssen keine Konfigurationsänderungen am Backup-System vornehmen.
- Erstellung von Backup-Aufträgen – Das Einrichten von Backup-Aufträgen zum Schutz von Anwendungen und Daten ist eine wichtige Aufgabe, die auf eine minimale Anzahl von Benutzern beschränkt werden sollte.
- Erstellung von Aufbewahrungsrichtlinien – Unternehmen bewahren Sicherungsdaten aus verschiedenen Gründen und für unterschiedliche Zeiträume auf, daher ist es wichtig, die Anzahl der Personen, die Änderungen vornehmen dürfen, zu begrenzen.
Wenn diese Art der Benutzertrennung in das Produkt integriert ist, ist es wichtig zu verstehen, wie die Rollen geändert werden können und welche Schutzmaßnahmen vorhanden sind, um zu verhindern, dass eine Rolle geändert wird, um einen größeren Zugriff zu ermöglichen. Der wichtigste Punkt ist, dass die Sicherungssoftware die Trennung der Rollen unterstützen muss. Damit soll sichergestellt werden, dass ein Angreifer bei einer Verletzung eines einzelnen administrativen Kontos nicht freie Hand hat, um Backup-Aufträge, Aufbewahrungsrichtlinien und andere kritische Backup-Attribute zu ändern.
Autorisierungs-Workflows für mehrere Personen (die Vier-Augen-Regel)
Einige Backup-Plattformen können Autorisierungs-Workflows für Änderungen an der Backup-Konfiguration definieren, so dass das Eindringen in ein einzelnes administratives Konto (oder der Missbrauch durch einen bösartigen Administrator) nicht ausreicht, um die Konfiguration des Backup-Systems zu gefährden.
Mehrere Kopien von Sicherungsdaten
Organisationen haben die 3-2-1-Regel (drei Kopien von Sicherungsdaten auf zwei verschiedenen Speichertypen mit einer isolierten Kopie außerhalb des Standorts) seit vielen Jahren zum Schutz von Sicherungen verwendet, aber viele Organisationen erweitern dies auf 3-2-1-1, wobei die zusätzliche Kopie unveränderlich ist.