L'imminente rilascio del nuovo Veeam Backup & Replication 10 include la nuova funzione Cloud Tier - Immutability per rafforzare la sicurezza dei backup salvati nel cloud object storage AWS S3.
L'integrità del backup è diventata ormai uno dei punti chiave nella strategia di protezione dei dati poichè hacker e malware hanno concentrato i loro sforzi nel compromettere anche i dati di backup. Da tenere ben presente che l'unico modo per proteggere efficientemente il proprio business si basa su un valido design dell'infrastruttura di backup.
Amazon S3 Object Lock
La funzione Veeam Cloud Tier - Immutability si appoggia ad una nuova feature fornita da AWS per salvaguardare l'integrità dei dati: Amazon S3 Object Lock.
Amazon S3 Object Lock è basato sul modello WORM (Write Once Read Many) e previene gli storage object dall'essere cancellati o sovrascritti per un determinato periodo di tempo (retention). Questa funzione aggiunge un ulteriore strato di sicurezza contro le modifiche e le cancellazioni degli oggetti.
Per la protezione degli stored object, sono forniti da Amazon S3 Object Lock due modalità di retention:
- Governance mode - questa modalità previene un object version dall'essere sovrascritto o cancellato ma la protezione non presenta un periodo di retention e può essere rimosso in qualsiasi momento da qualsiasi utente che possegga il permesso s3:PutObjectLegalHold.
- Compliance mode - i dati salvati con questa modalità di retention non possono essere sovrascritti o cancellati da nessun utente incluso l'account di root in AWS. Non c'è nessuna possibilità di variare la modalità di retention o di accorciare il periodo di retention. Questa modalità garantisce la disponibilità e l'integrità dell'object version protetta per la durata del periodo di retention.
Creare un nuovo Bucket S3
Per salvare i backup in AWS S3 deve essere creato un nuovo bucket. Effettuare il login alla console AWS ed accedere all'area S3.
Cliccare Create Bucket per creare un nuovo bucket che sarà utilizzato per proteggere i dati dei backup.
Specificare il Bucket name e la Region poi cliccare su Next.
Sotto la voce Versioning abilitare l'opzione Keep all versions of an object in the same bucket.
Effettuare lo scroll della finestra per visualizzare la sezione Object Lock. Abilitare Permanently allow objects in this bucket to be locked e cliccare su Next.
Abilitare Block all public access e cliccare su Next.
Nella pagina di Review cliccare su Create Bucket.
Il bucket AWS S3 è stato creato correttamente.
Per poter proteggere automaticamente le versioni degli oggetti salvati nel bucket, è necessario specificare il periodo di retention.
Abilitare la modalità di retention del bucket
Cliccare sul bucket appena creato e posizionarsi nella sezione Properties.
Sotto la voce Advanced Settings cliccare Object Lock.
Per attivare automaticamentela retention di default del bucket alle versioni degli oggetti salvati, specificare la retention mode (modalità governance o compliance) e il Retention period. Cliccare su Save.
Digitare confirm e cliccare su Confirm.
Le impostazioni sono state salvate correttamente. Ora il bucket è protetto contro la cancellazione e non può essere sovrascritto.
Configurare la Veeam Cloud Tier Immutability
Una volta che il bucket AWS S3 è stato creato e opzionalmente potetto, va creato un nuovo Veeam S3 Repository su cui salvare i backup da proteggere.
Creare un nuovo Object Storage Repository
Dall'area Backup Infrastructure, accedere alla sezione Backup Repositories e cliccare su Add Repository.
Selezionare Object storage come tipologia di repository.
Selezionare Amazon S3 come tipologia di object storage.
Inserire un Name per il repository e opzionalmente una Description. Cliccare Next.
Specificare le Credentials per accedere al bucket AWS S3 e la Data center region. Cliccare Next.
Scegliere la Data center region da utilizzare e il Bucket. Cliccare su Browse per specificare il folder corretto da utilizzare in cui salvare i backup.
Cliccare New Folder e specificare il nome del folder. Cliccare OK.
E' possibile abilitare l'opzione Limit object storage consumption per tenere i costi di storage sotto controllo. Abilitare Make recent backups immutable for x days per utilizzare le funzioni native degli object storage e specificare la retention in giorni. Cliccare Next.
Cliccare Finish per salvare la configurazione.
Il nuovo Repository S3 è stato creato correttamente.
Configurare un repository Scale-Out
Veeam Cloud Tier Immutability si appoggia sull'Object Storage Repository configurato come Capacity Tier Extent nello Scale-out Backup Repository fornendo un repository scalabile e sicuro.
Dall'area Backup Infrastructure, accedere alla sezione Scale-out Repositories e cliccare su Add Scale-out Repository per crearne uno nuovo.
Inserire un Name ed opzionalmente una Description. Cliccare su Next.
Cliccare Add per specificare il Performance Tier Extent. Selezionare il Repository da utilizzare e cliccare OK.
Quando il Performance Tier è stato selezionato, cliccare Next.
Selezionare Data locality come Placement Policy quindi cliccare Next.
Abilitare l'opzione Extend Scale-out repository capacity with object storage e specificare il Repository S3 precedentemente creato. Impostare un time/age per definire quando i vecchi backup possono essere spostati nell'object storage con lo scopo di archiviare dati che richiedono retention lunghe. Per default questo valore è impostato a 30 giorni. E' presente inoltre l'opzione Encrypt data uploaded to object storage per rafforzare il livello di sicurezza. Cliccare su Apply.
Cliccare Finish per creare lo Scale-out Repository.
Lo Scale-out Repository appena creato.
Creare un Backup Job
Creare un nuovo Backup Job per sfruttare la funzione di Immutability. Nel wizard di configurazione bisogna selezionare dal menu a tendina Backup repository lo Scale-out Repository appena creato e cliccare su Next. Seguire poi le istruzioni per completare la configurazione del Backup Job.
Quando la configurazione è stata salvata, effettuare un click con il tasto destro del mouse sul Backup Job creato e selezionare Start per avviare il backup immediatamente.
Durante la prima esecuzione viene effettuato un Full Backup.
Se si vuole testare il processo di archiviazione verso il bucket protetto, dopo il Full Backup iniziale, bisogna effettuare alcuni backup supplementari. Almeno tre Backup Incrementali ed un altro Active Full Backup.
Spostare i backup nel Cloud Tier Immutability
Per spostare i backup immediatamente nell'Object Storage (S3) selezionato, accedere all'area Backup Infrastructure ed espandere la sezione Scale-out Repositories. Editare lo Scale-out Repository configurato in precedenza ed impostare il campo Move backup files older than a 0 nella sezione Capacity Tier. Click Finish per salvare la configurazione.
Premere CTRL e click con il tasto destro sullo Scale-out Backup Repository e selezionare la voce Run tiering job now.
Il processo di offload viene eseguito e i backup sono spostati nell'Object Storage S3.
Quando il processo è stato completato, è possibile trovare i restore point disponibili nell'Object Storage sotto la voce Backups.
Il backup può essere inoltre trovato nel bucket AWS S3 specificato.
Testare la funzione di Immutability
Per testare se la funzione di Immutability funziona come previsto, effettuare un click con il tasto destro del mouse sul backup effettuato e selezionare l'opzione Delete from disk.
Cliccare Yes per confermare la cancellazione.
Il backup dovrebbe essere cancellato dal disco ma dovuto alla funzione di Immutability e alla specifica retention attivate, il backup non può essere cancellato ed un messaggio di errore viene visualizzato.
Poichè la modalità di retention è stata abilitata ed applicata al bucket AWS S3 selezionato, non solo i dati salvati sono protetti contro la cancellazione ma anche il bucket stesso non può essere cancellato.
L'opzione di Cloud Tier Immutability è decisamente una funzione interessante che permette di rinforzare la sicurezza e di mantenere i dati dei backup "intoccabili" fino a quando il periodo di retention scade.
Il rilascio di Veeam Backup & Replication 10 è atteso entro la fine dell'anno.
No Responses