Veeam Hardened Repository (VHR) ist eine Option für eine sichere, unveränderliche Backup-Speicherung und eine beliebte Wahl unter Veeam-Unternehmenskunden. Allerdings sind IT-Sicherheits- und Linux-Kenntnisse erforderlich, um VHR ordnungsgemäß zu implementieren und langfristig zu verwalten. Daher ist es keine geeignete Option für Umgebungen, in denen es an internen IT-Sicherheitskenntnissen mangelt. Diese Blog-Post-Serie soll einen Überblick über die Vor- und Nachteile sowie technische und betriebliche Überlegungen bei der Auswahl von VHR für Ihre Umgebung geben.   

Ransomware hat das Spiel der Datensicherung verändert. Es reicht nicht mehr aus, nur ein Backup Ihrer Daten zu erstellen. Stattdessen müssen Sie auch Ihre gesamte Backup-Umgebung vor Angriffen schützen. Die Erklärung für diesen Wandel ist einfach: Kriminelle und Hacker haben erkannt, dass sie ihrem Ziel die Möglichkeit nehmen müssen, gesicherte Daten wiederherzustellen, damit ihre Erpressungsversuche erfolgreich sind. Es ist nicht weit hergeholt anzunehmen, dass diese bösartigen Akteure sogar so weit gingen, sich für verschiedene Backup-Lösungen zertifizieren zu lassen, um ihre Kompetenz bei der Kompromittierung dieser Systeme zu verbessern.

Veeam hat eine Lösung entwickelt, um dieser wachsenden Bedrohung zu begegnen. Das Veeam Hardened Repository kann den Schutz vor Ransomware erhöhen, indem es Backup-Daten effektiv sichert, ohne die Leistung zu beeinträchtigen. Die Lösung nutzt das Linux XFS-Dateisystem, das das Klonen von Daten unterstützt, um eine ähnliche Platzersparnis wie bei Windows REFS-Dateisystemen zu erzielen. 
Das Veeam Hardened Repository basiert auf zwei soliden Sicherheitsprinzipien: Einmalige Zugangsdaten und Unveränderlichkeit. Die Anmeldedaten für die Bereitstellung der Veeam-Software werden nur einmal während der Installation der Veeam-Komponenten verwendet, danach werden sie verworfen und nicht in der Anmeldedatenbank von Veeam gespeichert. Unveränderlichkeit bedeutet, dass Dateien geschrieben und als unveränderlich markiert werden und nicht geändert oder gelöscht werden können, bis die Unveränderlichkeitssperre aufgehoben wurde [ solange der Root-Zugang des Servers nicht gefährdet ist]. Die Unveränderbarkeit wird erreicht, indem das XFS-Dateisystem das Unveränderbarkeitsbit in der Datei nutzt. Diese Technologie ist nicht neu, hat aber seit dem Aufkommen von Ransomware erheblich an Bedeutung gewonnen. Es ist wichtig, daran zu denken, dass jeder, der über Root-Rechte auf dem Server verfügt, die Unveränderlichkeitseinstellung ändern/entfernen und dann die Daten löschen oder modifizieren kann. Das macht die Absicherung und Einschränkung des Root-Zugriffs und des physischen Serverzugriffs zu einer wichtigen Priorität bei der Gestaltung der Umgebung. Jedes Eindringen in den Zugang des Administrators macht die Lösung anfällig für Datenzerstörung. Es ist auch wichtig zu erwähnen, dass virtuelle VHR-Setups unsicher sind. Sie können zwar unveränderliche Backups in den Repositories erstellen, bieten aber auch eine große Angriffsfläche auf der Ebene des Hypervisors und des Speicherzugriffs. Was die Hardware betrifft, so sind die meisten Serverkonfigurationen, einschließlich Dell, HPE und Cisco, für einen VHR geeignet - denken Sie nur daran, den Konsolen- und Firmware-Zugang vollständig abzusichern. Achten Sie genau auf zusätzliche Management- oder Überwachungssoftware, da diese die Angriffsfläche für Angriffe weiter vergrößert.

Das Veeam Hardened Repository kann eine hervorragende Lösung sein, aber die ordnungsgemäße Installation und Wartung erfordert  Linux- und Sicherheitsexpertise. Veeam bietet detaillierte Setup-Anweisungen, um das VHR zum Laufen zu bringen. Dennoch müssen das Betriebssystem, der physische Zugriff und der Konsolenzugriff durch Tools wie IPMI und ILO/IDRAC weiter gehärtet und kontinuierlich auf Software-Updates, Schwachstellen und Exploits überwacht werden.  Wenn Software-Änderungen an der VHR-Umgebung vorgenommen werden, müssen diese getestet werden, um den kontinuierlichen ordnungsgemäßen Betrieb des VHR und seine Sicherheit zu gewährleisten. Die Backup-Administratoren sollten daher Hand in Hand mit dem internen Sicherheitsteam arbeiten, um sicherzustellen, dass die Bereitstellung sicher ist, kontinuierlich überwacht wird und für den Backup-Betrieb gut funktioniert.

Für viele große Unternehmen mit dem notwendigen IT-Sicherheitspersonal können die für VHR erforderlichen Verfahren kontinuierlich durchgeführt werden; für andere Umgebungen wird das Veeam Hardened Repository jedoch zu einer betrieblichen und sicherheitstechnischen Herausforderung. In solchen Fällen sind Lösungen von Anbietern wie Object First's Ootbi (was für "Out-of-the-box immutability" steht) besser geeignet, da die Verantwortung für die Wartung und Gewährleistung der Sicherheit des Backup-Repositorys größtenteils auf den Anbieter und nicht ausschließlich auf die Backup-Administratoren verlagert wird. Ootbi ist sicher, einfach und leistungsstark und bietet ein gehärtetes Objektspeicherziel mit optimaler Leistung, das speziell für Veeam entwickelt wurde. Administratoren können unveränderliche Daten nicht löschen oder ändern, ebenso wenig wie Cyberkriminelle, wenn sie sich Zugang zu den Anmeldedaten des Administrators verschaffen. Unveränderlichkeit kann in 15 Minuten für Ihre Veeam Data Protection-Umgebungen erreicht werden, mit viel weniger Aufwand und Verantwortung für Ihr IT-Team.

In dieser Serie beschreibe ich ein detailliertes Verfahren zum Einrichten eines Veeam-gehärteten Repositorys und schlage Möglichkeiten zum Härten des Betriebssystems und der Hardware vor. Ich werde auch Links zu anderen Anleitungen und der offiziellen Veeam-Dokumentation bereitstellen, damit diese verglichen und die beste Vorgehensweise gewählt werden kann. Kein Netzwerk gleicht dem anderen, und wenn Sie Ihr Backup-Repository aufbauen, müssen Sie sicherstellen, dass die von Ihnen gewählte Implementierung des Veeam Hardened Repository zu Ihrer Umgebung passt und dass Sie alle Compliance-Vorschriften einhalten.

Im letzten Blog dieser Reihe werde ich eine Ootbi-Installation detailliert beschreiben und die Fragen und Probleme erläutern, die es im Zusammenhang mit den Herausforderungen des VHR löst.
 

3 Reasons Object First Is Best For Veeam