Назад | Перейти на главную страницу

Является ли это разумным способом создания резервных копий для обеспечения безопасности? Можно ли это улучшить?

  1. На машине, для которой выполняется резервное копирование:
    Создайте учетную запись с ограниченными правами на производственной виртуальной машине Linux с содержимым для резервного копирования.
    • У учетной записи будет доступ к одному прямому [например, / home / backup] и разрешить ssh только через ключи.
    • Аккаунт будет помещен в каталог / home / backup.
    • Учетная запись будет ограничена оболочкой [rssh]
    • Учетная запись будет ограничена через AllowUsers backup @ [backup vm ip address]
  2. На машине, для которой выполняется резервное копирование
    Так как root генерировать резервные копии, размещать их там, где учетная запись с ограниченными правами может получить к ним доступ, и chown их в учетную запись с ограниченными правами.
    • У учетной записи root будет доступ к паролю / ключу шифрования. Копии этого ключа будут существовать на машинах разработчика / системного администратора и / или на USB-накопителях. Предположение - это скомпрометированный sysadmin / dev machine = облажался. Они смогут вести кейлог ввод ключевых парольных фраз и получать копии ключей.
    • Корневая учетная запись создает резервную копию -> сжимает резервную копию -> шифрует резервную копию -> перемещает резервную копию в /home/backup/current.tar.bz2 -> chown backup: backup
  3. На машине сбор резервных копий
    Имейте ключи SSH для учетной записи резервного копирования на всех производственных машинах и просто скопируйте /home/backup/current.zip с исходного компьютера на локальный.
    • Не имеет информации о шифровании / дешифровании.
    • Доступ к резервным виртуальным машинам ограничен ssh-ключами sysadmin / dev на их машинах.

Информация, подлежащая резервному копированию, не является особо конфиденциальной [общедоступные / частные разговоры, пароли учетных записей к службам, для которых выполняется резервное копирование, и т.д.]. это не что-нибудь вроде кредитных карт, информации о здоровье и т. д.

Я уверен, что остальная часть процесса резервного копирования [восстановление, частота резервного копирования и т. Д.] Удовлетворит меня.

Вы должны использовать открытый ключ шифрование в этом сценарии, когда ваши внешние резервные копии хранятся третьей стороной.

Таким образом, машина, для которой выполняется резервное копирование, имеет только собственный открытый ключ и поэтому может создавать только резервные копии. Вы храните частный ключ в автономном режиме и используйте его только для восстановления.

Решения для резервного копирования, такие как Bareos, уже поддерживают шифрование с открытым ключом, или вы можете довольно легко интегрировать его в существующую настройку с помощью GPG.

Ваша настройка кажется довольно надежной - хотя я действительно большой сторонник программного обеспечения для резервного копирования.

Предлагаю вам следующую схему на основе Bacula (и / или BaReOS):

  1. На машинах, на которых выполняется резервное копирование
    Установите агент Bacula и настройте машинно-зависимый сертификат шифрования.
    (Ключ дешифрования не нужно хранить на этих машинах, так как он нужен только для восстановления.)
    Ваши резервные копии будут инициированы так же, как и любые «обычные» резервные копии Bacula, и будут зашифрованы с использованием указанного сертификата.

  2. О Bacula Director (Машина, запрашивающая резервные копии)
    Настройте расписание резервного копирования, подходящее для вашей организации (полное и добавочное).

  3. На сервере хранения Bacula (Машина, на которую записываются резервные копии)
    Вам не нужно делать ничего особенного, но, как правило, рекомендуется располагать сервер хранения за пределами площадки или синхронизировать резервные копии за пределами площадки, используя rsync или эквивалент.

Это фактически эквивалентно вашему плану выше, только не требует доступа SSH и cron. Кроме того, вы получаете несколько других преимуществ:

  • Злоумышленнику трудно разрушить резервные копии.
    Доступ к одной из машин, для которой выполняется резервное копирование, не позволяет удалять / перезаписывать резервные копии - все это контролируется Директором.

  • Злоумышленнику трудно разрушить машины, для которых выполняется резервное копирование.
    С ключами дешифрования, хранящимися в автономном режиме, злоумышленник не может восстановить данные на машинах, для которых выполняется резервное копирование (резервная копия не расшифровывается), поэтому, даже если у них есть доступ к Director, они не могут управлять восстановлением.

  • Ваши резервные копии довольно безопасны.
    Поскольку они зашифрованы перед тем, как покинуть исходный компьютер (и расшифровываются только на целевой машине во время восстановления), кто-то, захватывающий копию ваших резервных копий, получает непригодные (зашифрованные) данные. Это больше беспокоит, если ваши данные являются конфиденциальными, но это также означает, что ваша резервная копия не может быть изменена (и, следовательно, не может использоваться для восстановления поврежденных / вредоносных данных на ваших серверах, если кто-то получит доступ к серверу хранения) .

  • Вы используете «настоящее программное обеспечение для резервного копирования»
    Это полезно, когда вам нужно «восстановить тот документ, над которым я работал в четверг» - вы можете вернуть этот один файл без необходимости извлекать (или копировать) весь архив.

Обратная сторона? Агент резервного копирования должен запускаться как root (или, по крайней мере, как пользователь, который может читать все данные, которые вы хотите создать резервную копию). Агенты довольно безопасны, но всегда есть шанс, что существует неоткрытая уязвимость, которая может открыть путь для атаки.
Следите за своими патчами, и все будет в порядке.