Per proteggere i backup contro cancellazioni, sovrascritture e ransomware, un Hardened Repository deve essere configurato in Veeam v11 per sfruttare la funzione di Immutability.
Rendere i backup immutabili è la soluzione più efficiente per la protezione dei dati del proprio business contro malintenzionati ed attacchi ransomware.
Blog Serie
Veeam v11: Hardened Repository (Immutability) installazione - pt.1
Veeam v11: Hardened Repository (Immutability) configurazione - pt.2
Veeam v11: Hardened Repository (Immutability) aggiungere MFA - pt.3
Configurare il Veeam repository
Aggiungere il nuovo Linux Server nell'infrastruttura Veeam. Posizionarsi nell'area Backup Infrastructure ed effettuare un click con il tasto destro del mouse su Managed Server. Selezionare la voce Add server.
Selezionare Linux come tipologia di server.
Inserire il DNS name or IP address e cliccare Next.
Cliccare Add e selezionare l'opzione Single-use credentials for hardened repository per evitare di salvare le credenziali in Veeam Backup & Replication.
Inserire le credenziali per connettersi al Repository Linux e cliccare OK.
Quando le credenziali sono state inserite, cliccare su Next.
Cliccare su Apply.
Quando il componente è stato installato, cliccare su Next.
Il nuovo Managed Server è stato aggiunto correttamente. Cliccare Finish per uscire dal wizard.
Poichè i servizi Veeam sono stati installati, l'utente locveeam creato nell'Hardened Repository deve essere rimosso dal gruppo sudo. Queste credenziali non sono salvate in Veeam Backup & Replication Server.
# sudo deluser locveeam sudo
Poichè SSH è necessario solo quando il Managed Server viene creato in Veeam, il servizio SSH può essere tranquillamente disabilitato nell'Hardened Repository per rinforzare la sicurezza.
Creare il nuovo repository
Accedere alla sezione Backup Repositories e cliccare sul bottone Add Repository.
Selezionare Direct attached storage.
Selezionare Linux come sistema operativo.
Inserire il Name per il nuovo Backup Repository e cliccare su Next.
Selezionare il Repository server configurato e cliccare su Populate. Dalla lista dei path, selezionare la partizione configurata nell'Hardened Repository per salvare i backup. Cliccare su Next.
Verificare se il Path to folder è corretto e cliccare su Populate per visualizzare Capacity e Free space. Abilitare le seguenti opzioni:
- Use fast cloning on XFS volumes (per sfruttare la tecnologia Fast Cloning)
- Make recent backups immutable for "xx" days specificando la retention richiesta
Cliccare Next.
Specificare il Mount server da usare e cliccare su Next.
Cliccare Apply per continuare.
Quando il repository è stato creato, cliccare Next.
Cliccare Finish per completare la procedura.
Il nuovo Hardened Repository è stato correttamente creato.
Creare un Backup Job
Dall'area Home, effettuare un click con il tasto destro del mouse su Backup e selezionare Backup > Virtual machine > VMware vSphere.
Inserire il Name del Backup Job e cliccare Next.
Cliccare Add e selezionare le VM da proteggere e cliccare su Add. Nell'esempio sono utilizzati i TAG.
Cliccare Next.
Selezionare l'Hardened Repository come Backup repository e specificare la Retention Policy. Da tenere presente che la retention specificata nel Backup Job deve essere più alta della retention dell'Immutability. Cliccare Next.
Potrebbe comparire il seguente errore.
Cliccare Advanced e verificare se l'opzione Create synthetic full backups periodically è abilitata.
Spuntare Enable application-aware processing se le VM necessitano di essere processate con VSS. Cliccare Next.
Configurare la Schedule desiderata e cliccare su Apply.
Selezionare l'opzione Run the job when I click Finish e cliccare Finish per salvare la configurazione del Backup Job.
Il Backup Job è stato creato correttamente ed avviato.
Il Backup Job viene processato da Veeam.
Dopo pochi minuti, il backup viene completato.
Testare l'Immutability
Per testare l'Immutability, proviamo a cancellare il backup.
Da Backups > Disk, espandere il Backup Job creato ed effettuare un click con il tasto destro del mouse sulla VM protetta. Selezionare l'opzione Delete from disk.
Cliccare su Yes per procedere.
Come previsto, la VM non può essere cancellata dovuto alla funzione di Immutability abilitata per il job specifico.
Verificare l'Immutability nel Repository
Per dare un'occhiata a come Veeam funziona con l'Immutability, effettuare il login al Repository Linux e posizionarsi nel folder del Backup Job.
Lanciare il seguente comando per vedere l'attributo "i" impostato nei file di backup. Questo è il parametro che rende il file immutabile.
# lsattr
Per una visualizzazione più semplice da comprendere eseguire lo stesso comando aggiungendo l'opzione -l alla fine:
# lsattr -l
Come si può notare tutti i file dei backup sono impostati come Immutable. Solo il file .VBM non ha questo attributo poichè deve poter essere modificato da Veeam durante le sessioni di backup.
Synthetic Full con Fast-Clone
Se il file system XFS è stato formattato abilitando l'opzione Reflink, durante l'operazione di Synthetic Full Veeam sfrutta la tecnologia Fast-Clone ottimizzando spazio e prestazioni.
Secure the Hardeneded Repository
Una volta che la configurazione è stata completata, l'Hardened Repository deve essere messo in sicurezza per evitare il rischio di accessi non autorizzati:
- Verificare che l'account locveeam non sia membro del guppo sudo
- Scollegare il systema di Remote Server Management (iDRAC, iLO, etc.) dalla rete
- Disabilitare l'accesso SSH al repository
Per disabilitare il servizio SSH in Ubuntu, dalla console eseguire i seguenti comandi:
# sudo systemctl disable ssh.service
# sudo systemctl stop ssh.service
Nella parte 3 verrà spiegato come aggiungere l'MFA per i login in SSH nel caso il servizio non venga disattivato.
Ciao Paolo
una informazione ho configurato dei backup copy job verso un repo immutabile abilitando la policy di GFS ad una settimana, ma ho notato che nonostante io abbia impostato la retention a 7 giorni ci sono più punti di backup nel repo immutabile.
Come mai non scodano?