حداقل امتیاز، ایده‌ای که هر شخص در سازمان شما باید حداقل امتیاز مورد نیاز برای انجام یک کار مشخص را داشته باشد، یک مفهوم امنیتی مهم است که باید در سیستم بکاپ شما پیاده‌سازی شود.

چالش اینجاست که سرپرست شبکه ، سیستم و پشتیبان‌گیری قدرت باورنکردنی دارند. اگر یکی از آنها اشتباه کند، یا بدتر از آن، عمداً سعی در آسیب رساندن به شرکت داشته باشد، محدود کردن میزان توان آنها میزان خسارت را وارد شده به سازمان را کاهش می دهد.

به عنوان مثال، شما باید به یک مدیر شبکه توانایی نظارت بر شبکه‌ها ، و به دیگری امکان ایجاد و / یا پیکربندی مجدد شبکه‌ها را بدهید. سرپرستهای امنیتی ممکن است وظیفه ایجاد و نگهداری کاربران مدیریت شبکه را داشته باشند بدون اینکه خود آنها ا این امتیازات را داشته باشند.

مدیران سیستم این کار را با محدود کردن افرادی که می توانند به عنوان root یا administrator لاگین شوند، و نیاز به ابزاری مانند “run as administrator” یا sudo که هر دو می‌توانند در هنگام نیاز به مدیران امتیازات مورد نیاز را بدهند، در حالی که یک لاگ از کارهایی که انجام می‌دهند ایجاد می‌کنند.

مانند بسیاری از موارد در دنیای امنیت ، تصویب حداقل امتیاز آسان نیست. ممکن است تعداد محصولاتی را که می توانید استفاده کنید محدود کند، زیرا شما فقط می‌توانید از محصولاتی که از این مفهوم پشتیبانی می‌کنند استفاده کنید.

محدود کردن امتیازات پشتیبان‌گیری

ایده حداقل امتیاز غالباً در فضای پشتیبان‌گیری نادیده گرفته می‌شود، جایی که یک فرد دارای قدرت زیادی است و در واقع می تواند با چند فشار کلید مقدار باورنکردنی خسارت به سیستم  وارد کند. اگر شما به طور هدفمند حداقل امتیاز را در سیستم پشتیبان خود اعمال نکنید، مدیر سیستم پشتیبان شما اساساً تمام قدرت را دارا خواهد بود.آنها می‌توانند به راحتی مقدار باورنکردنی داده را حذف کرده و یا تمام نسخه‌های پشتیبان آن را حذف کنند.

و با این وجود سیستم‌های پشتیبان به طرز مشهودی از اقدامات امنیتی در سراسر نقاط جهان عقب هستند. بسیاری از سیستم‌های پشتیبان به راحتی قادر به پشتیبانی از مفهوم حداقل امتیاز نیستند، این بدان معناست که احتمالاً هزاران شرکت وجود دارد که از این عمل پیروی نمی‌کنند.

این بدان معنی است که مدیران پشتیبان باید رمز عبور superuser را در سرور پشتیبان داشته باشند. این کاربر می‌تواند همان root، administrator یا کاربر دیگری با همان امتیازات است که می‌تواند به طور مستقیم به عنوان  superuser وارد سیستم شود و هیچ سابقه‌ای از ورود او به سیستم نباشد. این موضوع اغلب به کنسول فیزیکی محدود می‌شود، اما سرپرست‌های پشتیبان‌گیری در دیتاسنترها مستقر هستند و هیچ محدودیتی برای آنها نیست.

حتی اگر از آنها خواسته شود از چیزی مانند sudo برای تبدیل شدن به superuser استفاده کنند، هنگامی که رابط پشتیبان را به عنوان superuser اجرا می‌کنند، به معنای واقعی کلمه می توانند هر کاری را که می‌خواهند انجام دهند. به عنوان مثال، آنها می‌توانند اسکریپتی در سیستم پشتیبان‌گیری ایجاد کنند که هر کاری را که می‌خواهند انجام می‌دهد، از آن پشتیبان تهیه کرده و آن را به سیستمی که می‌خواهند بازگردانند.

آنها می توانند با این اسکریپت هر کاری را که ‌می‌خواهند انجام دهد، آن را بدون هیچ‌گونه پاسخگویی اجرا کنند، سپس خود آن را حذف کرده و تمام مدارک را از بین ببرند.

مدیریت مبتنی بر نقش

از دیدگاه امنیتی، مهمترین نکته در سیستم پشتیبان‌گیری ، عدم نیاز به ورود به عنوان superuser برای اجرای آن است. سیستم باید از مدیران پشتیبان بخواهد که با نام کاربری و رمز ورود خود وارد سیستم شوند. اگر سیستم پشتیبان شما فقط یک نام کاربری قدرتمند دارد که همه چیز را در سیستم بکاپ کنترل می کند، وقت آن است که یک سیستم بکاپ جدید دریافت کنید.

در عوض، سیستم پشتیبان شما باید از مدیریت مبتنی بر نقش پشتیبانی کند، جایی که شما به هر کاربر نقش یا قدرت مختلفی اختصاص می‌دهید. بسیار شبیه به شبکه و مدیریت سیستم که در بالا بحث شد، یک شخص ممکن است توانایی اجرای و نظارت بر بکاپ را داشته باشد، در حالی که دیگری توانایی پیکربندی نسخه‌های پشتیبان جدید یا حذف تنظیمات پشتیبان‌گیری قدیمی را دارد.

توانایی حذف نسخه پشتیبان اهمیت بیشتری دارد. بهترین حالت این است که هر فعالیت تخریبی احتیاج به احراز هویت دو نفره داشته باشد. به عنوان مثال، اگر می‌خواهید هرگونه پشتیبان‌گیری را حذف کنید، دو نفر باید اجازه ورود به سیستم را دهند تا این عمل مجاز شود.

اگر با مطالعه این مقاله ترسیدید هدف دقیقا همان بود. اکنون که فهمیدید یک مدیر پشتیبان چه قدرتی دارد، شاید وقت آن رسیده است که به پیکربندی امنیتی سیستم خود نگاهی بیندازید.