Immutable backup – Suomeksi ne voisivat kulkea nimellä muuttumaton varmuuskopio. Kartoittaessa sopivaa varmuuskopiointituotetta omaan ympäristöön on aina huomioitava, että kyberhyökkäykset ja haittaohjelmat eivät jätä varmuuskopioita rauhaan. Tilanne on itseasiassa päinvastoin: matojen ja viruksien lisäksi APT-hyökkäykset kohdistuvat ensivaiheessa monesti juuri varmuuskopioihin, jonka jälkeen seuraavaksi tuhotut tai kryptatut tuotantojärjestelmät eivät enää ole palautuskelpoisia. APT, tai advanced persistent threat (edistynyt pitkäkestoinen hyökkäys) on uhka, jossa motivoituneella hyökkääjällä on kärsivällisyyttä ja aikaa tunkeutua kohdeympäristöön, tavoitteenaan pidempikestoinen ”oleskelu” ympäristössä. Kyse ei ole enää ohimennen saastuneesta järjestelmästä, jossa haittaohjelma aiheuttaa yksittäisiä ongelmia, vaan laajamittaisesta, harkitusta ja kohdistetusta hyökkäyksestä. Tämänkaltaisen hyökkäyksen tavoitteena on taloudellinen haitanteko, rahallisen hyödyn saavuttaminen tai esimerkiksi yrityksen arkaluontoisen datan varastaminen.
Edellisessä kirjoituksessamme puhuttiin DRaaS:ista. Se on hyvä alku, joka suojaa oikein verkotettuna monelta päänvaivalta. Vedenpitävä se ei kuitenkaan ole, jos hyökkääjä pääsee syvälle järjestelmiin. Järkevällä verkkosuunnittelulla voidaan rajoittaa sivuttaisliikennettä, mutta järjestelmien ja helppokäyttöisen palautumisen toiminnan varmistamiseksi verkkoja on venytettävä tuotannon ja DR-ympäristön välillä. Vanha mantra on, että tietoturva on tasapainottelua käytettävyyden ja turvallisuuden välillä. Varmuuskopiot ja DR eivät ole poikkeus.
Tutkitaanpa hieman tarkemmin, miten asia hoidettiin aikaisemmin ja millaisia ratkaisuja tänä päivänä on mahdollista tuottaa. Historiassa puhuttiin offline-varmistuksista. Näitä voivat olla esimerkiksi edelleen täysin käyttökelpoiset LTO-pohjaiset nauhavarmistukset. Monet hyperscalerit käyttävät muitakin medioita kuten blu-ray-levyjä, mutta myönnetään, ne ovat hieman epätavallisempia. Näissä tapauksissa turva muodostuu siitä, että tuo fyysinen media ei ole kirjoitus- ja lukuoperaatioiden lisäksi kenenkään saatavilla (ilman fyysistä pääsyä niiden säilytyspaikkaan). Fyysisen tietoturvan ja median käsittelykäytäntöjen ollessa kunnossa, saadaan tätä kautta erittäin pitävää suojaa datalle. Fyysisen median käsittely tuo kuitenkin myös omat haasteensa ja aina se ei ole käytännöllistä. Varmuuskopio on hyödyllinen vain, jos se on palautettavissa. Varsinkin erillisen fyysisen median kanssa palautustestauksista ja datan eheydestä tulee pitää huoli. Tätä testausta on myös vaikea automatisoida, jos se vaatii median fyysistä liikuttelua. Tämän takia se monesti unohtuukin ja syntyy vain mielikuva hyvistä varmistuksista, jotka ovat siellä paloturvakaapissa turvassa.
Kelataan muutamia vuosia eteenpäin. Nykyään puhutaan muuttumattomista varmistuksista. Toteutusperiaate on samankaltainen kuin muinaisissa offline-varmistuksissa, mutta monesti koskemattomuus luodaan sovellusohjatusti. Varmistusohjelmistovalmistajat kuten Veeam ja Dell EMC ovat jo jonkin aikaa kehittäneet tapoja luoda muuttumattomia varmistuksia. Puretaanpa muutamia moderneja toteutusmenetelmiä muuttumattoman varmuuskopioinnin osalta.
Yksi tapa on luoda ohjelmistohallittuja konfiguraatioita, jossa ohjelmallinen air gap – ilmarako – on käytössä aina kun varmistuksia ei käsitellä. Air gap estää siis kokonaan liikennöinnin varmuuskopiointidataan. Toinen tapa on lukita tallennetut tiedostot ohjelmallisesti (esim. Retention lock ja vastaavat tekniikat) siten, ettei niitä voida muokata tai poistaa kunnes määrätty aikamääre täyttyy. Edellä mainittu tarkoittaa, että ei ole yhtäkään käyttäjää, joka voisi tiedostoja tuhota. Ei edes se super-järjestelmänvalvoja tai järjestelmän sisäänrakennettu käyttäjä, jota ei ollut dokumentoitu tai tiedostettu.
Kevyempiäkin toteutuksia on olemassa. Pelkästään huolellisella käyttöoikeuksien määrittelyllä ja roolipohjaisella pääsynhallinnalla voidaan rajoittaa hyökkääjän tekemää tuhoa. Tyypillisesti järjestelmiin on määritelty turhan laveita oikeuksia. Välillä on hyvä pysähtyä tarkastelemaan tarvitsevatko esimerkiksi kaikki IT-tiimin jäsenet pääsyä varmuuskopiointijärjestelmiin? Tai parhaimmassa tapauksessa voiko organisaatiossa olla pääsy järjestelmiin IT-tiimin ulkopuolelta? Jos pääsylle kuitenkin on tarvetta, onko heidän tarpeellista kyetä suorittamaan kaikkia toiminteita? Monelle käyttäjälle riittää käyttöoikeus katsoa, että varmistukset ovat menneet läpi (toisaalta tämä toteutetaan myös usein valvonnan tai sähköpostiraporttien kautta, jolloin tuotakaan käyttöoikeutta ei tarvita kaikille). Vielä useammalle riittää pääsy palauttaa tiedostoja ilman oikeutta muokata tai poistaa varmuuskopioita. Jos on vain yksi käyttäjätunnus, jolla on oikeudet tehdä näitä hieman dramaattisempia toiminteita, on hyökkääjällä jo huomattavasti kapeampi rajapinta toteuttaa tihutyönsä.
Totuuden nimissä on hyvä mainita, että moni sovellushaavoittuvuus on niin sanottu ”privilege escalation” -tyyppinen, jossa hyökkääjä voi ohjelmistossa olevan virheen takia nostaa matalammat käyttöoikeudet korkeammiksi. Mutta kaikki toimenpiteet, jotka vaikeuttavat hyökkääjän työtä, ovat aina kotiinpäin.
Tiedon suojauksessa puhutaan monesti käsitteestä ”defense in depth” jossa suojaus muodostuu kerroksittaisista toimista, eikä jostain yksittäisestä asetuksesta. Käytettävyyskin on hyvä muistaa: vaikka turvallisin järjestelmä on bunkkeriin lukittu palvelin, jonka avain on hävitetty, se ei aina ole se käyttäjäystävällisin vaihtoehto. Aina välillä on hyvä pysähtyä tarkastelemaan, että IT palvelee liiketoimintaa parhaalla mahdollisella tavalla.
Muun muassa tällaisten projektien kanssa on viime aikoina työskennelty. Katsotaan mitä seuraavaksi eteen tulee ja kirjoitetaan lisää. Kiitos kun luit.