备份服务器都是功能很强大的。这种服务器能够读或者覆盖你的企业中的任何文件或者数据库。没有这种服务器,企业就不能备份或者恢复文件。把这些能力和许多备份软件要求备份管理员拥有访问系统的根权限或者管理员权限结合在一起,你就赋予了一个人在你的环境中读取或者覆盖任何文件和数据库的权利。当然,这就意味着备份服务器被攻破是一件非常可怕的事情。因此,你应该尽一切努力保护备份服务器。下面是保护你的备份服务器的六个小窍门。
1.封闭没有使用的端口
查看你的备份厂商的说明文件,确定哪一个端口对于你的备份系统的正常运行是绝对必要的,然后封锁所有其它的端口。例如,例如,如果你的备份服务器不需要成为NFS(网络文件系统)或者CIFS(通用互联网文件系统)服务器,那么,你就要关闭或者撤销备份服务器提供这种服务的功能。对于Web、打印、Telnet和其它备份服务器运行不需要的服务都要采取同样的封闭措施。
2.要求加密访问
如果你正在使用明文协议管理你的备份服务器,入侵者能够监视你的数据包并且确定你的管理口令。创建一个策略,禁止明文访问你的备份服务器并且强制执行这个策略。首先要卸载或者关闭明文协议,如Telnet、FTP、HTTP等协议。然后,要求所有的管理工作都必须通过加密的协议实施,如SSH、HTTPS、加密FTP和SCP等协议。
3.减少拥有全部访问权限的人员数量
如果你的备份服务器需要根或者管理员访问权限来进行管理,限制拥有这种权限的人员数量。为备份服务器提供不同的管理口令,并且仅把口令提供给需要访问备份服务器的人。一般的管理员可能不喜欢这种做法,因为他们通常拥有访问整个系统的权限。但是,你要向他们解释这样做是为了保护他们。把备份系统的管理口令放在安全的地方,仅允许真正需要的人接触这个口令。
4.记录备份活动并尽可能把记录放到别的服务器
使用Unix备份服务器中的系统记录功能或者第三方的数据保护管理产品来记录所有的备份活动,并且把记录放到另外的服务器中,防止恶意的管理员覆盖这些记录。
5.介质管理与备份管理分开
你还可以把介质管理和备份管理的权限让两个人分别承担,一个人负责装载磁带,另一个人负责设置备份。一般来说,这些任务都是由一个人来完成的。但是,把这些工作分开可以避免恶意雇员造成的灾难。如果一个恶意雇员有管理权限,但是,他们有接触存储介质的权限,他不能造成任何破坏。如果恶意雇员能够接触到存储介质,但是,他没有向介质中放入任何东西的权限,他也不能造成任何破坏。
6.调研你的备份产品的安全功能
备份软件产品在过去的几年里已经增加了许多安全功能,包括加密、基于任务的安全和增强的客户和管理员身份识别等。加密功能可以加密备份过程,备份磁带或者管理过程。基于任务的安全措施能够阻止要求以根或者管理员权限进行访问以便管理系统的过程,并且能够让你分开职责和分散权力。最后,增强的身份识别系统放弃了使用IP地址和主机名识别系统的老做法。调研你的产品采用了上述哪一种功能,并且立即使用这些功能。
上述小窍门中有一些做法很难做到。但是,应用这些小窍门比没有任何窍门要好得多。让我们确保这些备份服务器的安全吧!
【编辑推荐】
