آیا Veeam Backup & Replication می تواند بلایِ جان امنیت شبکه شود؟
زمانی که قصد ایجاد یک زیرساخت Backup در سازمان را دارید یکی از مواردی که نباید به هیچ عنوان از آن چشم پوشی شود ، امنیت زیرساخت Backup است. Backup Infrastructure پتانسیل زیادی برای استفاده شدن به عنوان یک BackDoor برای دسترسی به اطلاعات حساس سازمان را دارد. در این آموزش ملاحظات امنیتی لازم برای پیاده سازی یک زیرساخت امنِ Backup در هنگام استفاده از نرم افزار بسیار قدرتمندِ Veeam Backup and Replication بررسی خواهد شد.
Backups and Replicas
برای تامین امنیت اطلاعات موجود بر روی Backup و Replica در سازمان موارد زیر را رعایت نمایید :
- از امنیت فیزیکی سرور های مقصد اطمینان حاصل نمایید. تفاوتی ندارد که Backup شما بر روی Server ، SAN یا Tape و CD ذخیره شود. زمانی که مهاجم دسترسی فیزیکی به محل نگه داری تجهیزاتی که به عنوانِ مقصدِ پشتبان گیری استفاده می شوند داشته باشد ، تقریبا امنیت اطلاعات پشتیبان گرفته شده نزدیک به صفر است. در این حالت Risk تهیه Backup از عدم تهیه Backup هم بیشتر است. البته بستگی به این دارد که چه قدر اطلاعات محرمانه باشند.
- دسترسی کاربران را به سرور های Backup و Replica محدود نمایید. مطمئن شوید که همه کاربران به طور مستقیم به فایل های ذخیره شده در تجهیزات پشتیبان گیری دسترسی نداشته باشند.
- اطلاعات پشتیبان گرفته شده را رمزنگاری نمایید. این یکی از قابلیت هایی است که خوشبختانه در نرم افزار Veeam Backup and Replication نیز گنجانده شده است. در این صورت مهاجم حتی در صورت دسترسی به اطلاعات ، نخواهد توانست از آن ها استفاده کند. ( البته هنوز می توان اطلاعات را تخریب نمود )
Data Communication Channel
نیاز است که امنیت داده ها در زمان انتقال اطلاعات از سرور های حیاتی به سرور های Backup و Replica نیز سرقت شود. جهت تامین امنیت اطلاعات در شبکه بین مبدا و مقصد پشتیبان گیری راه کارهای زیر از توصیه های Veeam Backup and Replication است.
- Isolate Backup Traffic : استفاده از یک ارتباط شبکه ای ایزوله شده بین اجزای مختلف زیرساخت Backup که شمامل Backup Servers ، Backup Proxies و Repositories می شود.
- Encrypt network traffic : به طور پیش فرض Veeam Backup and Replication در هنگام انتقال اطلاعات در بستر Public Network یا شبکه های عمومی از قابلیت Encryption اطلاعات استفاده می نماید. اما می توان این قابلیت را برای انتقال داده در شبکه خصوصی سازمان یا Private Network نیز فعال نمود. در اینم صورت حتی اگر مهاجم به شبکه داخلی سازمان نیز نفوذ کرده باشد ، موفق نخواهد شد اطلاعات را از بستر شبکه Capture کند.
Credentials
همان طور که می دانید ، نرم افزارهای Backup جهت اجرای فرآیند پشتیبان گیری به دسترسی های سطح بالایی بر روی سرور مبداِ Backup نیاز دارند. همچنین Veeam Backup & Replication از جمله Backup Solution هایی است که قابلیت تهیه پشتیبان از زیرساخت مجازی را دارا می باشد. به همین دلیل ریسک زیادی از نظر امکان دزدیده شدن Credential از طریق سرور Veaam وجود دارد. اما چگونه می توان امکان دزدیده شدن Credential یا همان نام کاربری و رمز عبور معتبر را کاهش داد؟
یکی از مهم ترین توصیه ها استفاده از آخرین به روزرسانی های سیستم عامل ها به محض انتشار است. چرا که در بسیاری از به روزرسانی های امنیتی ممکن است جلو چندین روش سرقت Credential گرفته شده باشد. که این مورد لزوم استفاده از سیستم عامل های با لایسنس معتبر و قابل به روز رسانی را بیش از پیش برای مدیران سازمان ها و ادمین های شبکه نمایان می کند. علاوه بر عدم به روزرسانی سیستم عامل ، استفاده از Outdated authentication protocols هم به همان اندازه ریسک بالایی محسوب می شود.
- بنابراین از دریافت به روزرسانی ها در سرورهای موجود در زیرساخت Backup به شکل مستمر اطمینان حاصل نمایید.
- برای SSH از قوی ترین Encryption های موجود بهره ببرید. ( Veeam از SSH برای ارتباط با سرور های لینوکسی استفاده می کند ) مطمئن شوید که Private Key ها در امن ترین مکان ممکن نگه داری می شوند.
اگرچه در این مقاله راه کارهایی برای تامین امنیت زیرساخت بکاپ عنوان شد ، اما واقعیت این است که تمام آن ها کم ترین کاری است که برای تامین Security می توان انجام داد. به نظر شما چه مسائلی دیگری را در پیاده سازی زیرساخت Backup باید در نظر گرفت؟
در مقاله های بعدی روش نصب Veeam و سناریو های مختلف آن در وب سایت تک تیک قرار خواهد گرفت.