Veeam v11: Hardened Repository (Immutability) configurazione - pt.2

veeam-v11-hardened-repository-immutability-configuration-01

Per proteggere i backup contro cancellazioni, sovrascritture e ransomware, un Hardened Repository deve essere configurato in Veeam v11 per sfruttare la funzione di Immutability.

Rendere i backup immutabili è la soluzione più efficiente per la protezione dei dati del proprio business contro malintenzionati ed attacchi ransomware.

 

Blog Serie

Veeam v11: Hardened Repository (Immutability) installazione - pt.1
Veeam v11: Hardened Repository (Immutability) configurazione - pt.2
Veeam v11: Hardened Repository (Immutability) aggiungere MFA - pt.3

 

Configurare il Veeam repository

Aggiungere il nuovo Linux Server nell'infrastruttura Veeam. Posizionarsi nell'area Backup Infrastructure ed effettuare un click con il tasto destro del mouse su Managed Server. Selezionare la voce Add server.

hardened repository 1

Selezionare Linux come tipologia di server.

hardened repository 2

Inserire il DNS name or IP address e cliccare Next.

hardened repository 3

Cliccare Add e selezionare l'opzione Single-use credentials for hardened repository per evitare di salvare le credenziali in Veeam Backup & Replication.

hardened repository 4

Inserire le credenziali per connettersi al Repository Linux e cliccare OK.

hardened repository 5

Quando le credenziali sono state inserite, cliccare su Next.

hardened repository 6

Cliccare su Apply.

hardened repository 7

Quando il componente è stato installato, cliccare su Next.

hardened repository 8

Il nuovo Managed Server è stato aggiunto correttamente. Cliccare Finish per uscire dal wizard.

hardened repository 9

Poichè i servizi Veeam sono stati installati, l'utente locveeam creato nell'Hardened Repository deve essere rimosso dal gruppo sudo. Queste credenziali non sono salvate in Veeam Backup & Replication Server.

# sudo deluser locveeam sudo

hardened repository 10

Poichè SSH è necessario solo quando il Managed Server viene creato in Veeam, il servizio SSH può essere tranquillamente disabilitato nell'Hardened Repository per rinforzare la sicurezza.

 

Creare il nuovo repository

Accedere alla sezione Backup Repositories e cliccare sul bottone Add Repository.

hardened repository 11

Selezionare Direct attached storage.

hardened repository 12

Selezionare Linux come sistema operativo.

hardened repository 13

Inserire il Name per il nuovo Backup Repository e cliccare su Next.

hardened repository 14

Selezionare il Repository server configurato e cliccare su Populate. Dalla lista dei path, selezionare la partizione configurata nell'Hardened Repository per salvare i backup. Cliccare su Next.

hardened repository 15

Verificare se il Path to folder è corretto e cliccare su Populate per visualizzare Capacity e Free space. Abilitare le seguenti opzioni:

  • Use fast cloning on XFS volumes (per sfruttare la tecnologia Fast Cloning)
  • Make recent backups immutable for "xx" days specificando la retention richiesta

Cliccare Next.

hardened repository 16

Specificare il Mount server da usare e cliccare su Next.

hardened repository 17

Cliccare Apply per continuare.

hardened repository 18

Quando il repository è stato creato, cliccare Next.

hardened repository 19

Cliccare Finish per completare la procedura.

hardened repository 20

Il nuovo Hardened Repository è stato correttamente creato.

hardened repository 21

 

Creare un Backup Job

Dall'area Home, effettuare un click con il tasto destro del mouse su Backup e selezionare Backup > Virtual machine > VMware vSphere.

hardened repository 22

Inserire il Name del Backup Job e cliccare Next.

hardened repository 23

Cliccare Add e selezionare le VM da proteggere e cliccare su Add. Nell'esempio sono utilizzati i TAG.

hardened repository 24

Cliccare Next.

hardened repository 25

Selezionare l'Hardened Repository come Backup repository e specificare la Retention Policy. Da tenere presente che la retention specificata nel Backup Job deve essere più alta della retention dell'Immutability. Cliccare Next.

hardened repository 26

Potrebbe comparire il seguente errore.

hardened repository 27

Cliccare Advanced e verificare se l'opzione Create synthetic full backups periodically è abilitata.

hardened repository 28

Spuntare Enable application-aware processing se le VM necessitano di essere processate con VSS. Cliccare Next.

hardened repository 29

Configurare la Schedule desiderata e cliccare su Apply.

hardened repository 30

Selezionare l'opzione Run the job when I click Finish e cliccare Finish per salvare la configurazione del Backup Job.

hardened repository 31

Il Backup Job è stato creato correttamente ed avviato.

hardened repository 32

Il Backup Job viene processato da Veeam.

hardened repository 33

Dopo pochi minuti, il backup viene completato.

hardened repository 34

 

Testare l'Immutability

Per testare l'Immutability, proviamo a cancellare il backup.

Da Backups > Disk, espandere il Backup Job creato ed effettuare un click con il tasto destro del mouse sulla VM protetta. Selezionare l'opzione Delete from disk.

hardened repository 35

Cliccare su Yes per procedere.

hardened repository 36

Come previsto, la VM non può essere cancellata dovuto alla funzione di Immutability abilitata per il job specifico.

hardened repository 37

 

Verificare l'Immutability nel Repository

Per dare un'occhiata a come Veeam funziona con l'Immutability, effettuare il login al Repository Linux e posizionarsi nel folder del Backup Job.

Lanciare il seguente comando per vedere l'attributo "i" impostato nei file di backup. Questo è il parametro che rende il file immutabile.

# lsattr

hardened repository 38

Per una visualizzazione più semplice da comprendere eseguire lo stesso comando aggiungendo l'opzione -l alla fine:

# lsattr -l

hardened repository 39

Come si può notare tutti i file dei backup sono impostati come Immutable. Solo il file .VBM non ha questo attributo poichè deve poter essere modificato da Veeam durante le sessioni di backup.

 

Synthetic Full con Fast-Clone

Se il file system XFS è stato formattato abilitando l'opzione Reflink, durante l'operazione di Synthetic Full Veeam sfrutta la tecnologia Fast-Clone ottimizzando spazio e prestazioni.

veeam-v11-hardened-repository-immutability-configuration-42

 

Secure the Hardeneded Repository

Una volta che la configurazione è stata completata, l'Hardened Repository deve essere messo in sicurezza per evitare il rischio di accessi non autorizzati:

  • Verificare che l'account locveeam non sia membro del guppo sudo
  • Scollegare il systema di Remote Server Management (iDRAC, iLO, etc.) dalla rete
  • Disabilitare l'accesso SSH al repository

Per disabilitare il servizio SSH in Ubuntu, dalla console eseguire i seguenti comandi:

# sudo systemctl disable ssh.service
# sudo systemctl stop ssh.service

Nella parte 3 verrà spiegato come aggiungere l'MFA per i login in SSH nel caso il servizio non venga disattivato.

signature

One Response

  1. Andrea 25/05/2022