Veeam v12.1 novità - pt.1

veeam-v12-1-whats-new-pt-1-01

Veeam ha annunciato la nuova versione Veeam v12.1 che offre nuove e straordinarie funzionalità e miglioramenti, incentrati principalmente sulla sicurezza.

In questa nuova versione una delle novità più interessanti è probabilmente l'Inline Malware Detection che consente agli amministratori di garantire backup malware free durante l'esecuzione di un Backup Job.

 

Blog Serie

Veeam v12.1 novità - pt.1
Veeam v12.1 novità - pt.2

 

Veeam v12.1 novità

Veeam v12.1 offre diverse nuove funzionalità con particolare attenzione ai problemi di sicurezza.

 

Inline Malware Detection

Quando un'infrastruttura subisce un'intrusione malware, ci sono alcuni scenari che potrebbero verificarsi mettendo a rischio i propri dati:

  • Un malware può entrare nell'infrastruttura e mettersi in uno stato di malware dormiente.
  • Un malware può crittografare i dati nella rete senza cancellarsi.
  • Un malware può crittografare i dati e cancellarsi o rimanere in memoria.
  • I dati possono essere crittografati in remoto tramite share SMB o NFS.

Per proteggere i backup da possibili infezioni da malware, Veeam Backup and Replication v11 aveva già introdotto il Secure Restore in SureBackup per consentire agli amministratori di scansionare i backup contro i malware prima di eseguire l'operazione di restore.

Con Veeam v12.1 è ora possibile analizzare i dati a livello di blocco durante il backup sfruttando la nuova funzionalità Inline Malware Detection. È possibile abilitare questa funzione dal menu Settings > Malware Detection.

veeam-v12-1-whats-new-pt-1-02

Durante l'operazione di backup, Veeam raccoglie metadati e statistiche e i dati vengono correlati in modo incrociato. Una volta completato il backup, il file dei metadati del malware viene archiviato nel catalogo VBR e i metadati attuali e precedenti del malware vengono confrontati per identificare possibili modifiche non volute.

La dimensione incrementale del backup, la crittografia (dimensione assoluta e percentuale), la compressione, i dati rimossi e i dati appena crittografati sono i valori analizzati per identificare se un backup è infetto.

Quando la correlazione incrociata tra valori attuali e storici produce un punteggio elevato di valori combinati, il backup viene contrassegnato come sospetto.

veeam-v12-1-whats-new-pt-1-03

 

Onion Link

La funzionalità Inline Malware Detection è anche in grado di analizzare documenti di testo e trovare gli onion link (generalmente composti da 56 simboli: [2-7] e [a-z] + .onion).

Gli onion link sono collegamenti a siti web nel dark web che utilizzano l'estensione .onion come dominio di primo livello invece dei tradizionali .com, .net, .gov e così via. I siti onion utilizzano il software The Onion Router (Tor) per crittografare le loro connessioni e rendere la comunicazione anonima. Anche gli identificatori come posizione, ownership e così via vengono nascosti.

veeam-v12-1-whats-new-pt-1-04

L'Inline Malware Detection è supportato per i seguenti sistemi:

  • VMware vSphere e Cloud Director, Hyper-V (VM Windows e Linux)
  • Veeam Agents for Windows gestiti da Veeam Server (incluso cloud nativo)
  • NTFS, file system ext4

 

File Index scan

Per rilevare se i dati precedentemente non crittografati vengono crittografati nelle immagini disco processate (tipico indicatore di un attacco ransomware), è possibile utilizzare l'In-Guest Index detection per trovare file crittografati e file binari malware.

Per attivare questa nuova funzionalità, andare nella sezione Settings > Malware Detection e selezionare le opzioni Enable inline entropy analysis e Enable file system activity analysis dalla pagina General.

veeam-v12-1-whats-new-pt-1-05

Per sfruttare questa funzionalità, è necessario abilitare l'opzione Enable guest file system indexing nella pagina Guest Processing durante la configurazione del Backup Job.

veeam-v12-1-whats-new-pt-1-06

La In-Guest Index scan è supportata per i seguenti sistemi:

  • VMware vSphere e Vcloud Director, Hyper-V (VM Windows e Linux)
  • Veeam Agent for Windows gestito e standalone
  • Tutti i file system

 

Regole YARA

Per un'analisi più approfondita per meglio rilevare possibili infezioni malware, Veeam v12.1 sfrutta le regole YARA, modelli completamente personalizzabili utilizzati per identificare attacchi mirati e minacce alla sicurezza.

veeam-v12-1-whats-new-pt-1-07

Quando sono scaricate o personalizzate, le regole YARA devono essere salvate nel folder C:\Program Files\Veeam\Backup and Replication\Backup\YaraRules.

veeam-v12-1-whats-new-pt-1-08

 

Scansioni automatizzate di malware e contenuti

La scansione antivirus e YARA può essere automatizzata tramite SureBackup senza utilizzare i Virtual Labs. Questa funzionalità consente di eseguire la scansione di interi Backup Jobs o di macchine specifiche.

veeam-v12-1-whats-new-pt-1-09

Abilitare l'opzione Scan backup content with the following YARA rule e specificare la regola YARA da utilizzare. Per eseguire l'operazione di scansione del backup, Veeam v12.1 utilizza il Mount Server.

veeam-v12-1-whats-new-pt-1-10

Anche il classico SureBackup con Virtual Lab può essere configurato per scansionare il contenuto del backup con regole YARA o antivirus.

veeam-v12-1-whats-new-pt-1-11

I backup possono essere scansionati su richiesta facendo click con il pulsante destro del mouse su un backup specifico e selezionando l'opzione Scan backup.

veeam-v12-1-whats-new-pt-1-12

Specificare lo Scan mode e Scan engine da utilizzare e cliccare su OK.

veeam-v12-1-whats-new-pt-1-13

L'avviso per il rilevamento di malware viene attivato dalle seguenti operazioni:

  • Inline scan
  • Guest-index scan
  • SureBackup (scheduled jobs, scan now)
  • Secure Restore
  • Incident API

Per identificare facilmente i backup infetti, i backup sospetti sono contrassegnati con un'icona bug.

veeam-v12-1-whats-new-pt-1-14

Quando viene rilevato un malware, l'avviso può essere visualizzato in History > Malware Detection o notificato tramite e-mail, Syslog, SNMPWindows Event.

In caso di falsi positivi, cliccare con il pulsante destro del mouse sul backup e selezionare Mark as clean per rimuovere l'avviso associato a quella VM nell'Inventario.

veeam-v12-1-whats-new-pt-1-15

È anche possibile contrassegnare un backup come infetto o pulito selezionando l'opzione corrispondente in Backups.

veeam-v12-1-whats-new-pt-1-16

 

Supporto KMS

Per aumentare il livello di sicurezza nell'infrastruttura Veeam, Veeam v12.1 fornisce il supporto per i Key Management Server (KMS). Per configurare il KMS Server, posizionarsi su Settings > Credentials & Passwords e selezionare l'opzione Key Management Servers .

veeam-v12-1-whats-new-pt-1-17

Cliccare su Add ed inserire i dettagli del KMS Server. Cliccare su OK.

veeam-v12-1-whats-new-pt-1-18

Questa soluzione porta diversi vantaggi in termini di sicurezza:

  • Le password possono essere modificate automaticamente con una certa regolarità evitando il rischio che Veeam utilizzi password vecchie e deboli.
  • Per implementare KMS, Veeam supporta KMIP versione 1.2+.

Durante la configurazione del Backup Job, gli amministratori possono ora crittografare i Backup Job con un livello di sicurezza più elevato sfruttando la funzionalità KMS inserendo l'FQDN del KMS anziché la password.

veeam-v12-1-whats-new-pt-1-19

Attualmente la funzionalità KMS di Veeam v12.1 non è supportata per le seguenti VM:

  • Managed by Agent policies
  • Standalone agents
  • Veeam Backup for AHV, RHV, AWS, Azure, Google
  • Backup della configurazione
  • Database plugins

 

Four-eyes authorization

Per impedire la cancellazione dei backup (accidentale o non autorizzata), è ora disponibile in Veeam v12.1 la possibilità di richiedere una seconda autorizzazione prima di poter eseguire l'operazione.

Da Settings > Users & Roles selezionare la pagina Authorization e abilitare l'opzione Require additional approval for sensitive operations e specificare il periodo di reject.

veeam-v12-1-whats-new-pt-1-20

Quando la funzione four-eyes authorization è abilitata in Veeam v12.1, è necessaria una seconda approvazione da parte di un Backup Administrator per eseguire le seguenti attività:

  • Cancellazione di backup, repository, storage snapshot, Veeam Cloud Service Provider
  • Disabilitazione della four-eyes authentication
  • Modifica di utenti e ruoli

Quando si tenta di eliminare un Backup, ad esempio, è necessario creare una richiesta di cancellazione che deve essere approvata da un altro Backup Administrator.

veeam-v12-1-whats-new-pt-1-21

Il report per le operazioni con la seconda approvazione abilitata può essere trovato in Home (Pending approvals), Veeam History, Windows event log o inviato via email.

veeam-v12-1-whats-new-pt-1-22

Quando si utilizza la four-eyes authorization, è da tenere presente quanto segue:

  • Nessuna eliminazione tramite PowerShell o API REST.
  • Nessuna eliminazione tramite Enterprise Manager (incluso il portale Cloud Director).
  • Licenza scaduta: è possibile gestire gli eventi esistenti, ma non crearne di nuovi.

Integrazione con Sistemi SIEM

In Veeam v12.1 è ora possibile centralizzare tutti gli eventi inviando i log Veeam ai sistemi Syslog utilizzando i protocolli standard UDP, TCP, TLS e port.

Syslog può essere configurato da Settings > General Options > SIEM Integration. In Syslog servers, cliccare su Add e specificare il Server da utilizzare, quindi cliccare su OK.

veeam-v12-1-whats-new-pt-1-23

 

Security & Compliance Analyzer

Il Best Practice Analyzer introdotto con la versione 12 è stato rinominato e ora offre funzionalità aggiuntive.

veeam-v12-1-whats-new-pt-1-24

Per avviare il Security & Compliance Analyzer, l'operazione può essere schedulata accedendo alla finestra Schedule Settings.

veeam-v12-1-whats-new-pt-1-25

 

Warning sulle password troppo corte

Veeam v12.1 effettua un controllo sulla lunghezza delle password (sono richiesti un minimo di 12 caratteri) per evitare l'utilizzo di password troppo corte.

Il sistema analizza solo la lunghezza della password e non la complessità (nell'esempio la password è 123456).

veeam-v12-1-whats-new-pt-1-26

Nella parte 2 continua l'esplorazione delle nuove funzionalità disponibili in Veeam Backup & Replication v12.1, come i miglioramenti nell'Immutability, Continuous Data Protection (CDP), SureBackup e molte altre.

signature

2 Comments

  1. Giordano Colombo 08/11/2023
    • Paolo Valsecchi 09/11/2023

Leave a Reply