Veeam v11: Hardened Repository (Immutability) installazione - pt.1

veeam-v11-hardened-repository-immutability-01

Il nuovo Veeam Backup & Replication 11 include la funzione di creare backup immutabili sfruttando le potenzialità Linux con gli Hardened Repository.

Già introdotta nella versione Veeam 10 per salvare i backup negli Object Storage S3 con l'opzione Object Lock abilitata, la funzione di Immutability protegge i backup contro la sovrascrittura, cancellazioni accidentali, attacchi ransomware e malintenzionati interni.

Un buon design di backup è la chiave per un'efficiente strategia di protezione dei dati per evitare potenziali perdite di dati che possono compromettere il business. Se i dati non vengono protetti in maniera adeguata, un attacco ransomware, ad esempio, potrebbe essere devastante ed un vero e proprio incubo per gli amministratori.

 

Blog Serie

Veeam v11: Hardened Repository (Immutability) installazione - pt.1
Veeam v11: Hardened Repository (Immutability) configurazione - pt.2
Veeam v11: Hardened Repository (Immutability) aggiungere MFA - pt.3

 

Prerequisiti

Per configurare l'Immutability per i dati dei backup, è necessario soddisfare alcuni requisiti:

  • Veeam Backup & Replication v11.
  • Anche se la soluzione può essere implementata su una virtual machine, una macchina fisica è fortemente raccomandata per motivi di sicurezza.
  • Utilizzare una distribuzione 64bit Linux per configurare il repository. E' consigliata la distribution Ubuntu 20.04 LTS o successive per la migliore qualità di reflink, RHEL/CentOS 8.2 o successive, SLES 15 SP2 e Debian 10.
  • Il Server Linux deve supportare XFS (abilita l'utilizzo della tecnologia Veeam fast cloning) ed è il file system raccomandato da utilizzare.

Poichè i backup non possono essere modificati per via dell'Immutability, solo i backup forward incremental con periodic synthetic o active full sono supportati. Per Backup Copy Jobs, NAS backup, log shipping, RMAN/SAP HANA/SAP su backup Oracle non possono sfruttare l'opzione di Immutability ma possono essere salvati sullo stesso repository.

Backup Copy Job configurati con la GFS retention policy possono utilizzare la funzione di Immutability.

Per l'implementazione degli Hardened Repository, i componenti Veeam accedono i Linux Repository solamente con credenziali non-root e solo la porta TCP 6162 è necessaria la comunicazione tra Proxy e Repository (TCP 2500 a 3300 vengono assegnate a richiesta).

veeam-v11-hardened-repository-immutability-02

 

Rinforzare la sicurezza per gli Hardened Repository

Per proteggere meglio i dati dei backup, è opportuno seguire alcune linee guida per rafforzare la sicurezza:

  • Nonostante possano essere usate delle credenziali persistenti, è consigliato l'utilizzo della nuova opzione Single-use credentials for hardened repository durante l'installazione per evitare di salvare le credenziali in Veeam Backup & Replication.

veeam-v11-hardened-repository-immutability-03

  • SSH dovrebbe essere disabilitato
  • iDRAC, iLO o altre soluzioni di gestione remota dovrebbero essere disabilitate o hardened
  • L'orario dovrebbe essere sincronizzato con un Server NTP affidabile per evitare modifiche dell'orario da un potenziale malintenzionato. Le variazioni dell'orario possono alterare la retention dell'Immutability.

 

Installare il Server Ubuntu

Per questa procedura viene utilizzata la distribuzione Linux Ubuntu per implementare l'Hardened Repository. Scaricare il file .ISO per Ubuntu Server 20.04 LTS ed effettuare il boot della macchina per eseguire il wizard di installazione.

Selezionare il language da utilizzare e premere Enter.

veeam-v11-hardened-repository-immutability-04

Specificare il keyboard layout da utilizzare, selezionare Done poi premere Enter.

veeam-v11-hardened-repository-immutability-05

Per default il NIC è impostato per utilizzare il DHCP. Per assegnare un indirizzo IP statico, selezionare il NIC e premere Enter. Selezionare poi Edit IPv4 dalle opzioni disponibili.

veeam-v11-hardened-repository-immutability-06

Selezionare Manual come IPv4 Method e premere Enter.

veeam-v11-hardened-repository-immutability-07

Compilare tutte le informazioni richieste, poi selezionare Save e premere Enter.

veeam-v11-hardened-repository-immutability-08

Quando l'indirizzo IP statico è stato impostato, selezionare Done e premere Enter.

veeam-v11-hardened-repository-immutability-09

Se non è utilizzato nessun Proxy, selezionare Done e premere Enter.

veeam-v11-hardened-repository-immutability-10

Lasciare il valore di default, selezionare Done e premere Enter.

veeam-v11-hardened-repository-immutability-11

Selezionare Custom storage layout per creare uno schema di partizioni personalizzato. Selezionare poi Done e premere Enter.

veeam-v11-hardened-repository-immutability-12

In questo esempio, lo storage utilizzato presenta due dischi locali:

  • Un disco per l'OS
  • Un disco per salvare i backup

Selezionare il primo disco /dev/sda e marcarlo come disco per il boot selezionando la voce Use As Boot Device.

veeam-v11-hardened-repository-immutability-13

Aggiungere una nuova partizione al primo disco. Selezionare il disco locale e successivamente la voce Add GPT Partition. Da notare la presenza della nuova tipologia di partizione bios_grub.

veeam-v11-hardened-repository-immutability-14

Impostare la Size per la partizione e il Format. Nell'esempio il file system utilizzato è ext4. Selezionare Create e premere Enter.

veeam-v11-hardened-repository-immutability-15

Ora selezionare il secondo disco /dev/sdb e selezionare la voce Add GPT Partition.

veeam-v11-hardened-repository-immutability-16

Specificare la Size e utilizzare xfs come Format. Creare una Mount point personalizzato (nell'esempio veeamrepo) e premere Enter per confermare. XFS con Reflink funziona più o meno nello stesso modo come ReFS per ottimizzare le prestazioni e il consumo del disco (la dimensione delle synthetic copy sono ridotte e il processo più veloce). Veeam chiama questa tecnologia Fast Clone.

veeam-v11-hardened-repository-immutability-17

Una volta che lo schema di partizione è stato completato, selezionare Done e poi premere Enter.

veeam-v11-hardened-repository-immutability-18

Selezionare Continue.

veeam-v11-hardened-repository-immutability-19

Inserire il Name, Server name, Username e Password the select Done.

veeam-v11-hardened-repository-immutability-20

Selezionare l'opzione Install OpenSSH Server per abilitare SSH. Selezionare Done.

veeam-v11-hardened-repository-immutability-21

Non è necessario installare funzioni aggiuntive. Selezionare Done e premere Enter per avviare l'installazione dell'OS.

veeam-v11-hardened-repository-immutability-22

L'OS Linux viene installato nel sistema.

veeam-v11-hardened-repository-immutability-23

Quando l'installazione è stata completata, selezionare Reboot Now.

veeam-v11-hardened-repository-immutability-24

 

Configurare il Repository

Effettuare il login utilizzando l'account configurato durante l'installazione dell'OS (nell'esempio administrator) ed inserire la password.

veeam-v11-hardened-repository-immutability-25

Per mantenere il sistema aggiornato, installare gli ultimi aggiornamenti tramite il comando:

# sudo apt-get upgrade

veeam-v11-hardened-repository-immutability-26

Verificare che il file system utilizzato per la partizione che sarà usata da Veeam per salvare i backup. Nell'esempio, veeamrepo è la partizione dedicata e formattata come xfs.

# df -Th

veeam-v11-hardened-repository-immutability-27

 

Creare un account local

E' necessario creare un account locale con i permessi corretti in modo che il Veeam Transport Service possa effettuare il mount di Veeam.

Creare il nuovo account utilizzato da Veeam creando la password.

# sudo useradd locveeam --create-home -s /bin/bash
# sudo passwd locveeam

veeam-v11-hardened-repository-immutability-28

E' necessario abilitare temporaneamente il nuovo utente per eseguire i comandi come root per installare i servizi richiesti da Veeam. L'utente viene aggiunto al gruppo sudo.

# sudo usermod -a -G sudo locveeam

veeam-v11-hardened-repository-immutability-29

 

Configurare il mount point

Ora è necessario creare il mount point per la partizione sotto /mnt per renderla disponibile a tutti gli utenti.

# sudo mkdir -p /mnt/veeamrepo

veeam-v11-hardened-repository-immutability-29

Editare il file /etc/fstab e modificare il mount point da /veeamrepo a /mnt/veeamrepo e salvare il file.

# sudo vi /etc/fstab

veeam-v11-hardened-repository-immutability-31

Eseguire il comando mount per effettuare il mount del file system senza effettuare il reboot del sistema.

# sudo mount -a

veeam-v11-hardened-repository-immutability-32

Assegnare la partition ownership all'utente locveeam creato.

# sudo chown -R locveeam:locveeam /mnt/veeamrepo/

veeam-v11-hardened-repository-immutability-33

Verificare l'ownership assegnata alla partizione veeamrepo.

# cd /mnt/veeamrepo
# ls -ld

veeam-v11-hardened-repository-immutability-34

Modificare i permessi nel folder /mnt/veeamrepo.

# sudo chmod 700 /mnt/veeamrepo

veeam-v11-hardened-repository-immutability-35

Verificare i permessi assegnati.

# ll /mnt

veeam-v11-hardened-repository-immutability-36

 

Abilitare XFS con Reflink

Se si vuole sfruttare la tecnologia Fast-Clone (Fast Clone si basa su Reflink) per ottimizzare spazio e prestazione durante le operazioni di Synthetic Full, per default Ubuntu non abilita Reflink quando la partizione è formattata XFS durante la fase di installazione. Veeam necessita che il file system sia formattato con l'opzione Reflink abilitata per poter sfruttare la funzionalità Fast Clone.

Accedere all'hardened repository e recuperare la lista dei dischi installati in Ubuntu per identificare il disco utilizzato come repository.

# sudo fdisk -l

veeam-v11-hardened-repository-immutability-37

Poichè la partizione è stata montata durante la procedura di installazione, è necessario effettuare prima l'unmount della partizione.

# sudo umount /mnt/veeamrepo

veeam-v11-hardened-repository-immutability-38

Una volta rimossa la partizione, bisogna formattare la partizione con i parametri richiesti da Veeam per sfruttare la tecnologia Fast-Clone: reflink ed abilitare CRC.

# sudo mkfs.xfs -b size=4096 -m reflink=1,crc=1 /dev/sdb -f

veeam-v11-hardened-repository-immutability-39

Poichè l'UUID è cambiato dovuto all'operazione effettuata, è necessario recuperare il nuovo UUID e modificare il file /etc/fstab per montare la partizione automaticamente.

# sudo blkid /dev/sdb

veeam-v11-hardened-repository-immutability-40

Aggiornare il file /etc/fstab con il nuovo UUID.

# sudo vi /etc/fstab

veeam-v11-hardened-repository-immutability-41

Ricaricare le partizioni configurate.

# sudo mount -a

veeam-v11-hardened-repository-immutability-42

Assegnare nuovamente i permessi al folder /mnt/veeamrepo.

# sudo chown -R locveeam:locveeam /mnt/veeamrepo/
# sudo chmod 700 /mnt/veeamrepo

veeam-v11-hardened-repository-immutability-43

Verificare i permessi assegnati.

# ll /mnt

veeam-v11-hardened-repository-immutability-44

La configurazione dell'Hardened Repository fisico è ora completa. La parte 2 illustrerà la configurazione di Veeam Backup & Replication v11 per sfruttare la funzione di Immutability.

signature

2 Comments

  1. Carlo 28/05/2021

Leave a Reply