Le principe du moindre privilège-l'idée selon laquelle toute personne dans l’entreprise doit avoir le moins de privilèges possible pour accomplir une tâche donnée-est un concept de sécurité important qui gagnerait à être implementé dans les systèmes de backup. Le problème, c’est que les administrateurs de réseau, de système et de sauvegarde disposent tous de privilèges d’intervention énormes. Autrement dit, imaginons que l'un d'entre eux fasse une erreur, ou pire, qu’il tente intentionnellement de nuire à l'entreprise, sa capacité de provoquer des dommages devient alors importante. Limiter les privilèges de chacun permet de réduire leur degré de nuisance, involontaire ou pas. Par exemple, on peut confier à un administrateur réseau la tâche de surveiller les réseaux, et à un autre de les créer et/ou de les reconfigurer. Les administrateurs de sécurité pourraient être chargés de créer et de maintenir les utilisateurs en charge de l'administration du réseau sans disposer eux-mêmes de ces privilèges.
C’est ce que font les administrateurs système quand ils limitent le nombre de personnes pouvant se connecter avec des privilèges « root » ou « admin » et qu’ils exigent des outils comme « Exécuter en tant qu’administrateur » ou « sudo », qui peuvent l’un et l’autre accorder aux administrateurs les privilèges dont ils ont besoin quand ils en ont besoin, tout en générant un journal d'audit de ce qu'ils ont fait. Mais, comme beaucoup de choses touchant à la sécurité, le principe du moindre privilège n'est pas facile à promulguer. Déjà, l’application de ce principe peut limiter le choix de produits que l’entreprise peut utiliser, car tous ne respectent pas ce concept. Il implique aussi beaucoup plus de travail de configuration que pour accorder à tous de super privilèges. Mais cela fait longtemps que l'époque où l’on pouvait accorder des privilèges illimités à un tas de gens dans son environnement est révolue.
Restreindre les privilèges de sauvegarde
Le concept de moindre privilège est souvent ignoré dans le domaine de la sauvegarde. Pourtant, une personne dotée de super privilèges de backups peut provoquer d’énormes dégâts en quelques clics. Le fait de ne pas appliquer délibérément le principe de moindre privilège dans un système de sauvegarde revient tout simplement à accorder tout pouvoir à l'administrateur du système de sauvegarde. En particulier, celui-ci pourrait facilement supprimer une quantité phénoménale de données et effacer toutes les sauvegardes de ces données. Pourtant, les systèmes de sauvegarde sont notoirement et terriblement en retard sur les pratiques de sécurité couramment appliquées dans le reste du monde. De nombreux systèmes de sauvegarde sont incapables de supporter le concept de moindre privilège, ce qui signifie que des milliers d'entreprises n’ont probablement pas adopté cette pratique.
Cela signifie que les administrateurs des systèmes de sauvegarde doivent disposer du mot de passe de super-utilisateur du serveur de sauvegarde. Ce super-utilisateur est soit « root », soit « administrateur ». Á moins qu’un autre utilisateur ne dispose des mêmes privilèges et puisse se connecter directement à ce super-utilisateur sans laisser aucune trace de sa présence. Cette possibilité est souvent limitée à la console physique. Mais les administrateurs de sauvegarde étant localisés dans le datacenter, cette limitation ne les concerne pas vraiment. Même s'ils doivent utiliser une commande « sudo » pour obtenir les privilèges de super-utilisateur, à partir du moment où ils utilisent l'interface de sauvegarde en tant que super-utilisateur, ils peuvent faire littéralement tout ce qu'ils veulent.
Par exemple, ils peuvent créer un script sur le système de sauvegarde exécutant la fonction de leur choix, le sauvegarder et le restaurer sur un système qu'ils prévoient d’exploiter. Ensuite, ils peuvent exécuter ce script en tant que super-utilisateur via le logiciel de sauvegarde, en utilisant sa fonctionnalité pour exécuter des scripts avant et après une sauvegarde donnée. Ils peuvent demander au script d’exécuter n’importe quelle commande, librement et sans risque, lui demander de s’autodétruire et de supprimer toute preuve de son exécution. La seule protection contre les activités malveillantes pourrait se situer en dehors du système de sauvegarde lui-même. Par exemple, limiter les personnes pouvant se connecter en tant que « root » ou « admin », et exiger une commande « sudo ». Mais chacun de ces systèmes peut être contourné. Ce n'est pas ainsi que l'administration système devrait fonctionner, et ce n'est certainement pas ainsi que les systèmes de sauvegarde devraient fonctionner. Alors, si vous n’êtes pas au fait de la sécurité de votre système de sauvegarde, cela vaudrait la peine d’aller vérifier comment il fonctionne aujourd'hui.
Administration basée sur les rôles
Du point de vue de la sécurité, le plus important dans le cas d’un système de sauvegarde, c’est de ne pas avoir à se connecter en tant que super-utilisateur pour le faire fonctionner. Le système devrait exiger des administrateurs de sauvegarde qu'ils se connectent en tant qu'eux-mêmes avec leur propre nom d'utilisateur et mot de passe. Si votre système de sauvegarde n'a qu'un seul nom d'utilisateur tout puissant qui contrôle tout dans le système de sauvegarde, il est temps changer de système de sauvegarde. Á ma connaissance, aucun produit de sauvegarde sérieux ne fonctionne encore de cette manière, mais c’est peut-être le cas de l’ancienne version que vous utilisez.
Votre système de sauvegarde devrait plutôt permettre une administration basée sur les rôles, qui consiste à attribuer à chaque utilisateur différents rôles ou privilèges. De manière très similaire à l'administration du réseau et du système évoquée ci-dessus, une personne pourrait être autorisée à exécuter et à surveiller les sauvegardes, tandis qu'une autre pourrait avoir le droit de configurer de nouvelles sauvegardes ou de supprimer d'anciennes configurations de sauvegarde. La possibilité de supprimer les sauvegardes avant la période de conservation qui leur a été attribuée devrait être encore mieux protégée. Le meilleur scénario serait de valider toute activité de suppression par une authentification à deux facteurs.
Par exemple, si un administrateur veut supprimer des sauvegardes avant la période de conservation qui leur a été attribuée, la suppression ne pourrait avoir lieu que si deux personnes se connectaient en même temps pour autoriser cette action. En fait, l’idéal serait que le concept d'authentification à deux facteurs soit intégré à tous les niveaux où il y a une possibilité de suppression des données. Si vous avez eu peur à la lecture de cet article, c’est qu’il a atteint son but. Maintenant, vous comprenez le pouvoir de l’administrateur de sauvegarde. C’est peut-être le moment d’aller voir comment est configuré la sécurité de votre système de backup…