CrashPlan PRO Sicherheit Überblick

Transkript

1 CrashPlan PRO Sicherheit Überblick CrashPlan PRO ist eine kontinuierliche Backup Lösung, die verschiedene Backup Ziele unterstützt. Es wurde entwickelt, um geschäftskritische Daten zu sichern, wann und wo auch immer sie anfallen. Da mobile Laptops häufig mit unsicheren Netzwerken verbunden sind, ist ein sehr hoher Sicherheitsstandart erforderlich, um die Vertraulichkeit zu garantieren. CrashPlan PROs vielschichtiger Ansatz die Sicherheit zu gewährleisten, wurde entwickelt, um diesen hohen Standard zu erfüllen und zu übertreffen. Sicherheit Highlights Mehrschichtige Sicherheit Inhaltsverzeichnis: Sicherheits Kontext...2 Konten Sicherheit...2 Passwort Sicherheit...3 Verschlüsselungssicherheit...4 Ausgewogenheit zwischen Sicherheit und Bequemlichkeit...5 Datenübertragungssicherheit...6 Einzigartiger kryptografiescher Schlüssel für jeden Benutzer, Rechner und die Organisationseinheit. Abgesichert von 128, 256 oder 448-bit Datei-Verschlüsselung. Sichere 128 Bit Kommunikationsverschlüsselung mit einzigartigem Schlüssel für die jeweilige Sitzung. Flexible Schlüsselhinterlegungs Richtlinien. Open-Source-symmetrische Chiffre (Blowfish) Gesicherte, weltweit einzigartige Identifikatoren. Logged and auditable Retores Integration mit bestehenden Unternehmens Management-Systemen Automatische Vorratsdatenspeicherungs Richtlinien und Lebenszyklen Manipulationssichere Backup Archive Zentrale Verwaltung und Ereignisprotokollierung Flexibles Richtlinien-Management und konsequente Durchsetzung

2 Sicherheits Kontext Um die Sicherheit von CrashPlan PRO zu verstehen, hilft es in einem hohen Masse damit vertraut zu sein, wie CrashPlan Pro arbeitet. 1. CrashPlan PRO Backup beginnt damit, dass der Pro-Client Dateiänderungen erkennt, die der Nutzer in Echtzeit macht. Die Dateien werden leise im Hintergrund analysiert, um festzustellen, was besonders ist an den Veränderungen. Einzelne Informationen, werden in Blöcke unterteilt, dann komprimiert und symmetrisch mit einem lokalen, privaten Schlüssel verschlüsselt. 2. Die verschlüsselte Information fließt durch ungesicherte Netze zu mehreren Zielen, wie von einem Administrator festgelegt. Das ist sicher, weil der private Schlüssel dritten unbekannt ist. 3. Die Daten verbleiben verschlüsselt auf der Festplatte am Zielort. Entschlüsselung erfolgt nur, wenn eine autorisierte Person das Passwort eingibt, um die Daten wiederherzustellen. 4. Die Wiederherstellung von CrashPlan PRO beginnt, wenn der Benutzer oder Administrator Dateien auswählt, um sie wieder herzustellen. Die Schritte 1 & 2 werden umgekehrt ausgeführt. Verschlüsselte Blöcke werden vom Client empfangen, die nun mit Hilfe des lokalen privaten Schlüssels entschlüsselt werden, dekomprimiert und ausgeschrieben auf die lokale Festplatte zur kompletten Wiederherstellung der Dateien.

3 1. Technologie CrashPlan PRO Client und Server werden innerhalb der Grenzen des sicheren Java Virtual Machine ausgeführt. Alle kryptographischen Funktionen unterliegen dem Industrie-Standard Cryptographic Extensions (JCE). Es gibt eine Vielzahl von Sicherheitsvorteilen, die dies einschließt. Typsichere Ausführung: Typsicher Bytecode werden zum Schutz gegen Buffer-Overflows und ähnliche Fehler ausgeführt, die üblicherweise von Angreifern ausgenutzt werden. Open Model: Eher als sich auf "security through obscurity" zu verlassen sind die Eckpfeiler unseres Sicherheits-Frameworks verfügbar über Open-Source für fachliche Überprüfung. Umfassende Sicherheitskonstruktion: Der JCE wurde vielfach überarbeitet und in zahllosen Unternehmens anwendungen eingesetzt. 2. Konten-Sicherheit Alle CrashPlan PRO Kunden haben ein CrashPlan Konto, welches sie eindeutig in der CrashPlan Datenbank identifiziert. Konten können erstellt und gepflegt werden innerhalb des CrashPlan PRO Servers (ein "internes Konto" setup) oder delegiert werden an ein aussenstehendes Identity-Management-System (ein "externes Konto" setup) via LDAP. Rollen: In CrashPlan PRO kann ein Benutzerkonto mit den fünf untenstehenden Rollen zugelassen werden, aufgelistet von den seltensten bis zu den häufigsten Vereinbarungen: CrashPlan Desktop: (CPD) - Erlaubnis zur Sicherung auf einen CrashPlan PRO Server (Standard). CrashPlan PRO Server: (CPP) Genehmigung auf die CrashPlan PRO Admin- Konsole zugreifen zu dürfen. Der Zugang ist beschränkt auf die Computer der Nutzer und ihre Daten. (Standard) Manager: Read Only Zugriff für alle Nutzer in ihrer jeweiligen Organisation und alle untergeordneten Organisationen Admin: Read und Write für alle Nutzer in ihrer jeweiligen Organisation und alle untergeordneten Organisationen Admin_Restore: Berechtigt Benutzer auf Daten im Auftrag von anderen Nutzern zuzugreifen, innerhalb deren Organisation oder einer Tochterorganisation. Sysadmin: Lese- und Schreib-Zugriff für alle Benutzer, alle Organisationen, alle Tochterorganisationen und alle Server.

4 Interne Konten: Konten können von Endbenutzern ohne das Eingreifen der IT erstellt werden, vorausgesetzt sie verfügen über folgende Informationen: Freischaltcode (Aka Organisation ID) Ein einzigartiges und sicheres GUID (Globally Unique Identifier) mit 16 Buchstaben. Und / oder Zahlen, die kryptografisch gesichert sind, um eine Brute-Force Angriff im Wörterbuch-Stil zu verhindern. CrashPlan PRO Server hostname Der Auflösbare Hostname auf die IP-Adresse des CrashPlan PRO Servers. Konten, die mit dieser Methode erstellt wurden, sind begrenzt auf CrashPlan Desktop User (CPD) und CrashPlan Web User (CPP) Rollen. Diese Rollen haben keine Verwaltungs-oder Management-Berechtigung. Externe Konten: Identity-Management innerhalb eines Unternehmens, kann die Sicherheit wesentlich erhöhen. CrashPlan PRO unterstützt diesen Ansatz durch Kommunikation über einen Proxy, zusätzlich zu Ihrem Identität Management-System für Benutzerinformationen und Zugang. Benutzerkonto Statusanzeigen können in Echtzeit (pushed), verzögert (pulled), oder aktualisiert werden, abhängig von dem Identity-Management-System, das genutzt wird. Durch dieses Vorgehen, speichert CrashPlan keine Benutzer Login-Daten in seinem Server. Dieses Modell gewährt die höchste Stufe an Sicherheit für das Benutzer Konto. Account Lebenszyklen: Accounts können sich von einem Status zum anderen bewegen. Aktiv: Das Konto kann mit Ihren Daten und Computer (n) interagieren Inaktiv: Das Konto wird nicht mehr als in Gebrauch angesehen aber Benutzer können es selbst wieder aktivieren. Blockiert: Das Konto wird als inaktiv angesehen und ist blockiert in allen Belangen. Benutzer können es nicht selbständig reaktivieren.. Aus Sicherheitstechnischer Sicht könnte dieser Zustand als vordefiniert zur Löschung angesehen werden. ZB. wenn der Status eines Mitarbeiters inaktiv wird. CrashPlan Pro akzeptiert keine weiteren Backups mehr von diesem Benutzer, bis dieser reaktiviert wird. Die Daten werden für 30 Tage aufbewart, danach werden sie gelöscht oder sicher vernichtet.

5 3. Password Sicherheit Es gibt zwei Arten von Passwörtern in CrashPlan PRO: Konto Passwort: Das Kontopasswort wird nie in klar Textform auf dem CrashPlan Pro Server gespeichert oder dorthin übertragen. Die daraus resultierende Hash wird dann mit einer 64-Bit Zufallszahl gesalzen.der sicherheits Hash und das Salz werden dann verwendet, um den Benutzer zu identifizieren, mit der Versicherung, daß das Kennwort des Benutzers niemals auf den Pro Server übertragen wird. Ein Konto- Passwort wird nicht verwendet um Backup-Daten zu verschlüsseln und kann beliebig verändert oder zurückgesetzt werden ohne die bestehenden Backup-Daten zu beeinflussen. Persönliches Daten Passwort: Backup-Daten werden mit einem 448-Bit-Schlüssel verschlüsselt. Dieser Schlüssel wird in der Regel auf dem CrashPlan PRO Server hinterlegt, damit Administratoren leicht im Auftrag des Nutzers die Daten wiederherstellen können. Allerdings, wenn zusätzliche Sicherheit erforderlich ist, dann kann der Benutzer wählen, den Daten Schlüssel symmetrisch mit einem Kennwort zu versehen. Der daraus resultierende verschlüsselte Daten Schlüssel, kann dann auf dem PRO Server lagern, das private Datenpasswort aber nicht. Dies bietet den Komfort und die Sicherheit der Schlüssellagerung, während Administratoren davon abgehalten werden geschützte Daten wiederherzustellen. Wenn das private Daten Kennwort vergessen wird, kann die Sicherung von niemandem jemals wiederhergestellt werden. Da das Verlieren des privaten Datenpassworts die Backup-Daten unzugänglich macht, ermöglicht CrashPlan PRO dem Administrator die Möglichkeit, diese Funktion für einzelne Benutzer oder für das gesamte Unternehmen zu deaktivieren. 4. Verschlüsselungsicherheit Der Schlüssel muss auf einem System vorhanden sein, vor der ersten Sicherung. Typischerweise wird der Schlüssel zum Zeitpunkt der Installation erstellt, entweder unter Verwendung des eingebauten Algorithmus in dem CrashPlan Client oder es ist ein benutzerdefinierter Schlüssel, bereitgestellt durch die IT-Abteilung. Schlüssel Erstellung: Die Schlüssel werden mit einer sicheren Zufallszahl von Sun Microsystems Java Cryptography Extensions generiert. Diese Konstruktion ist eine Open Source Implementierung welche geprüftermaßen den Industrie-Standard überschreitet. Lagerung des Schlüssels auf dem Client: Die Lagerung des Schlüssels, der zur Sicherung von Daten verwendet wird, lokal auf dem Rechner selbst in einer unsicheren Umgebung. Dies ist akzeptabel, da die Daten selbst nicht gesichert sind. Wenn man Zugriff auf den Schlüssel hat, hat man vermutlich auch Zugriff auf die Daten. Eine Ausnahme von dieser Regel ist, wenn Sie Mac OS X oder Windows File Vault Full Disk Encryption benutzen. In diesem Fall ist der Schlüssel in dem Home- Verzeichnis des Benutzers gespeichert und nutzt die vorhandenen Disk-basierte Verschlüsselung.

6 Lagerung des Schlüssels auf dem Server: Die Schlüssel sind innerhalb des CrashPlan PRO Servers hinterlegt und optional in jedem Backup-Archiv (verschlüsselt) am Bestimmungsort. Die Schlüssel verbleiben dort, bis sie für eine Wiederherstellung, verändert oder angefordert werden. Die Schlüssel können sicher oder unsicher aufbewahrt werden, je nach den Erfordernissen eines Unternehmens. Diese Richtlinieneinstellung können auf einen einzelnen Computer angewandt werden, einen Benutzer, eine Gruppe von Benutzern oder ein ganzes Unternehmen Schlüssel Hinterlegung: Eine Installation erfordert einen Zugriff der IT-Abteilung auf die Daten der Nutzer. (also die Möglichkeit, Dateien für Benutzer wiederherzustellen), was der Standardmäßigen Schlüsselhinterlegungs Richtlinie entspricht. Diese Richtlinie wird typischerweise angewandt, wenn PRO Server innerhalb einer bestehenden Infrastruktur geschützt ist. Dies ist die bequemste Methode, während die Sicherheit aufrechterhalten bleibt Sichere Schlüssel Hinterlegung: Beim Ausführen von PRO Server in einer unsicheren Umgebung (zb Daten Dritter) macht es Sinn, eine gesicherte Schlüsselhinterlegungs Vereinbarung zu nutzen (oder gar keine Vereinbarung). Mit der gesicherten Schlüsselhinterlegungs Vereinbarung, wird der Schlüssel verschlüsselt mittels eines privaten Kennwortes vor der Übertragung auf dem CrashPlan PRO Server gespeichert. Diese Richtlinie schafft einen Ausgleich zwischen Benutzerfreundlichkeit und Sicherheit Keine Schlüsselhinterlegung: Um 100% sicher zu sein in nicht vertrauenswürdigen feindlichen Umgebungen, die nicht unter direkter Kontrolle einer IT Abteilung stehen, mögen Sie sich entscheiden den Schlüssel überhaupt gar nicht zu hinterlegen. Hierfür müssen Sie Ihren eigenen Schlüssel manuell verwalten. Dies bietet aber Gewähr dass keiner die Möglichkeit hat auf Ihre Daten zugreifen zu können. Dies ist die sicherste und am wenigsten bequemste Möglichkeit. 5. Ausgewogenheit zwischen Sicherheit und Bequemlichkeit CrashPlan PROs Multi-Layer Security bietetdie Möglichkeit, den Mittelweg den Sie brauchen zu finden, während Sie auf drei Arten geschützt werden. Verschlüsselungstechnik schützt Ihre Daten Passwortschutz verhindert unerlaubte Wiederherstellungen Kontosicherheit kontrolliert den Zugriff von Nutzern

7 6. Sichere Datenübertragung Die gesamte Kommunikation der Backup Software zwischen PRO Client und PRO Server ist mit einer speziellen Session spezifischen 448bit-Verschlüsselung verschlüsselt. Die Schritte und Technologien die für die Erstellung der Verbindung genutzt werden, werden detailliert wie folgt erläutert: 1. Aufbau von einer TCP-Verbindung Eine seperate TCP-Verbindung wird zu einem einzelnen Port, in der Regel Port 443 für die Kommunikation, genutzt. 2. Kommunikations Sitzung Kurzlebige Kommunikations-Sitzungen werden zwischen Server und Client aufgebaut 3. Sicherer Datenaustausch Eine spezielle 512bit Verschlüsselung (Hellman-Schlüsselaustausch) wird für die Sitzung generiert, um das Abhören der Kommunikation durch Dritte zu verhindern. 4. Identitätsprüfung PRO Client und PRO Server werden beide validiert mit kryptografisch sicheren, eindeutigen Identitäten, um "man in the middle"-attacks zu verhindern. 5. Client Versions Überprüfung Pro-Client benötiget als Minimum einige Versionsvoraussetzungen, um eine Datenintegrität sicherstellen zu können, bevor die Validierung der Identität des Nutzers vom Pro Server erlaubt wird. 6. Benutzer Identitätsüberprüfung Die Anmeldeinformationen der Benutzer und die Computeridentität werden auf der Anwendungsebene, überprüft, bevor weitere Operationen zugelassen werden. 7. Einrichtung der Anwendungssitzung Wenn Benutzer und Computer alle Tests durchlaufen haben, wird eine Sitzung zugelassen, die einen Backup oder eine Wiederherstellung ermöglicht.

8 Physische Verbindung: Alle Backups und die Steuerung der Kommunikation zwischen PRO Client und PRO Server laufen über einen einzigen TCP-Port, traditionell Port 443. Das Protokoll, das genutzt wird, ist ein gesichertes Binärprotokoll speziell für CrashPlan. Die Vorteile dieses Protokolls sind: Effizienz: Die Nachrichten werden komprimiert und übertragen in einem unidirektionalen Modus, um Anwendungslatenz während der Kontrolle und des Backup zu reduzieren Konsistenz: Überprüfung der Integrität werden jeder Nachricht hinzugefügt, zusätzlich zu denen, die duch TCP angewendet werden. Sicherheit: Enge Session Kontrollen werden durchgeführt, um DOS-Attacken zu verhindern und Eingänge auf der Anwendungsebene zu bereinigen. (z. B. Begrenzung der Ressourcen, die beim Einrichten eines sicheren Kanals verwendet werden). Kommunikationssitzungen einrichten: Sobald eine TCP-Verbindung hergestellt ist, wird eine lightweight stateful session sowohl im Client als auch im Server erstellt. Im Gegensatz zu herkömmlichen TCP-Servern, die Opfer von DOS- Angriffen sind, wurde darauf geachtet, die Anzahl der Ressourcen für die Schaffung und Verwaltung von Kommunikationssitzungen zu begrenzen. Ein einzelner lightweight thread, der über 300 Sitzungen / sec einrichten kann, verwaltet die Sitzungen. Ungültige Sessions werden schnell vom PRO Server verworfen. Sichere Sitzungen: Sobald eine gültige Communikationssitzung zustandegekommen ist, wird ein einzigartiger 512-Bit-Schlüssel generiert mit Hilfe des JCE framework's, der Hellman key exchange implementation. Diese "shared secret" zwischen dem Client und dem Server wird für die Dauer der Sitzung verwendet. Jede Sitzung hat einen einzigartigen 512-Bit-Schlüssel, der niemals wieder verwendet wird. Da die Generierung der Schlüssel eine nennenswerte Menge der CPU-Ressourcen erfordert, wurde darauf geachtet, den Server durch eine Begrenzung der Anzahl von Initialisierungen von sicheren Sitzungen die pro Sec. zugelassen werden, zu schützen. Sobald der Schlüssel auf beiden Seiten erzeugt wurde, wird eine 448bit Blowfish Cipher instanziiert und verwendet, um alle Daten in beiden Richtungen zu verschlüsseln. Diese Cipher wird nicht verwendet, um eigentliche Backup Daten zu verschlüsseln, es wird lediglich zum Schutz der Kommunikationskontrolle zwischen Client und Server genutzt.

9 Identitätsprüfung : man in the middle"-attacken gesichert. Zu diesem Zeitpunkt ist der Pro-Client-und PRO Server noch als" nicht vertrauenswürdig " eingestuft und hat keine Rechte ausser einer zusätzlichen Überprüfung. Der erste Schritt ist, dass der Client seinen kryptographisch einzigartigen 64bit Identitätsschlüssel, auf den Nun, da die Sitzung vor "Lauschangriffen" durch Dritte gesichert ist, wird sie gegen nicht vertrauenswürdigen PRO Server überträgt. Der PRO-Server überprüft nun anhand folgender Kriterien: Gültig: Ist das eine gültige Identität? Aktiv: Ist es eine Identität, die erlaubt sich zu verbinden? Einzigartig: Ist diese Identität bereits verbunden mit dem Unternehmen? Wenn irgendeiner der oben genannten Punkte false ist, wird der Client sofort getrennt. Da alle Aspekte zutreffen müssen. Wenn die Identität gültig ist, erkennt der PRO Server dies durch die Rücksendung der einzigartigen kryptografischen 64bit Identität an den Pro-Client. Der Pro-Client überprüft, ob dies die Identität ist: Gültig: Ist dies die erwartete Identität dieses PRO Servers? Wenn der Test fehlschlägt, wird der Pro-Client einen potenziellen "man in the middle"-angriff in der History loggen und die Verbindung zum PRO Server trennen. Der Pro-Client versucht automatisch wieder zu verbinden. Das Intervall ist eine zufällige Zeitspanne zwischen 1 und 15 Minuten. Versions Verification: Nun, da die Kommunikations-Session vor "Abhören" und "man in the middle"-attacken, zusätzlich gesichert wurde, werden zusätzliche Schritte unternommen, um die Security Ebene der Anwendung zu überprüfen. PRO Client stellt zusätzliche Informationen über sich selbst dem PRO Server bereit. darunter: Version: Welche Version des Pro-Client läuft? OS: Auf welcher OS-und VM-Umgebung läuft der Pro-Client? IP-Adresse: Welches ist die IP-Adresse des PRO-Client? TimeZone: In welcher Zeitzone ist der Computer?

10 Der Pro-Client muss zusätzliche Informationen über sich selbst liefern, bevor ein Login-Versuch, akzeptiert wird. Der PRO Server logget die eingegangenen Informationen und überprüft deren Integrität. Ungültige Daten ergeben eine Trennung. Gültige Daten ergeben ein "Weiterführen der Nachrichten an denpro- Client. Benutzer Identitäts Überprüfung: Wenn PRO Client grünes Licht erhällt, hat er nun einen sicheren Kommunikationskanal, über den er kommunizieren kann. Beachten Sie, dass bis jetzt keine Berechtigung zum Bach Up (oder irgendetwas zu tun) erteilt worden ist.. Der PRO Client erfragt nun Kontoerstellung / login mit den folgenden Informationen: Registrierungsschlüssel: Kryptographisch gesicherte eindeutige Kennung für die Beantragung eines Bereichs zum Back Up Benutzername: Identität des Benutzers Kennwort: Secure Hash & Salt von Benutzer-Kennwort, oder das tatsächliche Kennwort, wenn LDAP im Client aktiviert ist. GUID: Globally Unique Identifier of Computer. Latente anfordern: Antrag auf Anmeldung für diesen Computer aufschieben.(server muss OK) Konfigurations Version: Version, die der PRO-Client verwendet. PRO Server erhält obige Informationen und überprüft. Wenn alle Angaben korrekt sind, werden die Berechtigungen zugewiesen, basierend auf den Benutzerdefinierten Rollen. Neue Benutzer haben lediglich das Recht Daten zu sichern. Die Validierung ist vollständig und konsistent basierend auf der PRO Server-Konfiguration, wenn sie folgendem entspricht: Freischaltcode: Ist dieser Registrierungsschlüssel gültig? Bekannt? Wenn nicht. Trennen. LDAP: Wenn der Registrierungsschlüssel vom LDAP-Dienst bereitgestellt wird, wird das Identity Management verzögert, um den Identity Management-Server in Echtzeit zu kontrollieren GUID: Versucht ein Anwender mit Hilfe einer GUID auf ein Konto zuzugreifen, welches auf einen anderen Benutzer zugelassen ist? Das wäre illegal / nicht möglich. Trennen Benutzer Status: Wird dieser Benutzer als gültig und aktiv innerhalb des Unternehmens eingestuft? Oder sind seine Rechte aufgehoben worden? Computer Status?: Ist dieser Computer noch als "aktiv" und in der Lage zu sichern eingestuft? Wenn nicht, ergreife Maßnahmen ihn zu verschrieben (z.b.ihn dauerhaft vom PRO Client zu trennen)

11 Latente anfordern: Ermöglicht dieser Registrierungsschlüssel einen ungültigen Login? Wenn nicht, Trennen. Wenn alle Kriterien einschließlich der optionalen Abhängigkeit von einem Dritten Identity-Management-System zutreffen, dann wird dem Pro-Client die Erlaubnis erteilt Sicherungen und Wiederherstellungen durchzuführen. Bitte beachten Sie, dass zu diesem Zeitpunkt keine zusätzlichen Berechtigungen erteilt sind. Die Anwendung erzwingt, das die Daten "Sandbox" einzigartig für den spezifischen Nutzer ist.. Letztendlich, nachdem alle Prüfungen bestanden sind, hat der Client bloß das Recht Backup-Daten am Zielort zu speichern. Einrichtung einer Anwendungssitzung Nun, da die Client-Authentizität, Benutzer Identität und die Identität des Computers festgestellt wurden, wird der Sitzung der Zugang zu der Backup-und Konfigurations- Ebene gestattet. Die Client-Konfigurations Version wird überprüft und validiert. Client UI Settings: Alle Elemente des Desktop-UI ermöglichen die Einstellung und / oder Verriegelung der verschiedenen Einstellungen. Destinations: Beide, die zulässig und erforderlich Destinationen werden gestattet. Dies sorgt für die administrative Kontrolle über "Was" gesichert wird und "Wo". Die Anwendungs Session Ebene bleibt stabil verbunden für die Dauer der Sitzung. Der Vorteil hiervon sind zusätzliche Konfigurationen und / oder Statistiken, welche in Echtzeit verschoben werden können, unabhängig von dem Backup-Layer. Revision CrashPlan PRO Sicherheit Copyright 2009 Code 42 Software, Inc. Alle Rechte vorbehalten.