Procedura completa per l'installazione e configurazione di un Hardened Repository in Veeam Backup & Replication v12.
Per avere backup immutabili, Veeam sfrutta l'Hardened Repository per proteggere i backup da sovrascrittura, cancellazione accidentale, attacchi ransomware e intrusi interni.
VIDEO: Veeam v12: configurare un Hardened Repository
Il video è in Italiano ma puoi cliccare sul pulsante CC per abilitare i sottotitoli in Inglese.
Se il video ti è piaciuto, Iscriviti al mio canale YouTube IT TechPills.
Veeam Backup & Replication v12 è disponibile per il download come 30-day trial.
Buongiorno, innanzitutto complimenti per il sito, utile e ben fatto un vero punto di riferimento.
Per i backup immutabili non esiste una configurazione che non preveda una machcina fisica Linux? Vorrei riutilizzare una SAN che attualmente è vuota e che è collegata come risorsa disco per esempio a una VM ubuntu.
Usando storage s3 non è possibile inviare i dati senza usare una VM? Cioè come repository?
Grazie!
Non è neccessario che il server sia fisico, puoi configurarlo anche virtuale ma è chiaro che abbassi il livello di sicurezza. Puoi creare una VM virtuale montando poi la LUN della SAN... anche se non è l'ideale, funziona.
Se hai uno Storage S3, con Veeam v12 puoi fare backup diretto su Object Storage senza dover creare uno Scale-out repository.
Grazie mille Paolo e complimenti ancora!
Ciao Paolo,
innanzitutto complimenti per la chiarezza con cui esponi questi progetti/lab e per la tua disponibilità e competenza.
Approfitto per chiederti se il repository immutabile basato su Ubuntu (nel mio caso sarà una macchina fisica con a bordo 2 adattatori Emulex 01CV842 16Gb FC Dual-port HBA) è in grado di leggere i dati da backuppare direttamente dallo Storage senza veicolarli sulla rete Ethernet.
Oggi i miei backup vengono eseguiti con Veeam 12 e finiscono su di un repository che è un Windows Server fisico collegato in FC e i dati vengono letti dal repository Server direttamente dallo Storage tramite la fibra:
14/07/2023 16:02:26 :: Using backup proxy Proxy-Ita for disk Hard disk 1 [san] .
Grazie mille.
Se connetti il server Linux via FC, come fai a proteggere il repository visto che ci accedi direttamente dal Server Veeam? Se bucano il server arrivano al repository.
Il normale setup di un Hardened Repository prevede una connessione via rete (due o più schede in bond) in modo da isolare il repository (SSH disabilitato e iDRAC/iLO sconnesse) facendolo accedere dal Veeam Server solamente tramite un account privo di qualsiasi permesso, cioè non membro del gruppo sudo.
Oggi Il Server Veeam è una VM - il Repository invece attualmente è un Windows Server fisico connesso in rete per dialogare con il Veeam Server e connesso in fibra agli switch Brocade dove sono agganciati anche gli storage, vede le LUN degli storage per poter eseguire i salvataggi direttamente, senza veicolarli dalla rete. Se sostituisco il Server fisico Windows con un Harden Repository Ubuntu, lasciando inalterata la connessione alle LUN solo per leggere i dati da salvare rimango comunque esposto?
Ovviamente l'Ubuntu avrebbe SSH e ILO disabilitati.
Grazie per la delucidazione.
Mi accorgo che non ho ben specificato che i dati saranno presi dalle LUN e salvati localmente sui dischi fisici interni alla macchina Ubuntu.
Se ho inteso correttamente la tua configurazione (Direct SAN Access Mode), questa non è supportata per implementare un Hardened Repository. Devi utilizzare dei sistemi staccati/isolati tra di loro dove l'unico aggancio "via rete" è tramite l'utente non-root utilizzato da Veeam (le credenziali non sono salvate nel DB di configurazione) che utilizza il File System XFS del repo per gestire l'immutabilità. Ho fatto una demo in questo video. Utilizzando invece il "Direct SAN Access Mode" per effettuare il backup, si ha come prerequisito che il Proxy utilizzato abbia l'accesso diretto allo storage di produzione per leggere e di scrittura nelle LUN dove sono presenti i dischi delle VM per poter fare il restore... Corretto? Se fosse così cosa succede se buco il Server Veeam? Correggimi se non ho inteso correttamente la tua configurazione.