Creare un caveau sicuro per i prodotti di backup
Questa esercitazione guida alla creazione di un vault di dati sicuro e immutabile in IBM Cloud® Object Storage da utilizzare con soluzioni di backup aziendali come IBM Storage Defender Data Protect, Veeam Backup & Replication e Commvault.
Panoramica
Le soluzioni di backup aziendali richiedono un target di archiviazione a oggetti sicuro e affidabile che protegga i dati di backup dall'eliminazione accidentale, dagli attacchi ransomware e dagli accessi non autorizzati. Configurando Object Storage con criteri di immutabilità e restrizioni basate sul contesto, si crea un caveau di dati protetto che soddisfa i requisiti di conformità e fornisce una solida protezione dei dati.
Obiettivi
- Creare un bucket Object Storage configurato per i carichi di lavoro di backup
- Abilita l'immutabilità (WORM) per proteggere i dati di backup da modifiche o cancellazioni
- Configurare restrizioni basate sul contesto per limitare l'accesso a reti e servizi autorizzati
- Recuperare le credenziali e le informazioni di connessione richieste dal prodotto di backup
Architettura
L'architettura del caveau sicuro è composta da:
- Object Storage bucket- La destinazione di archiviazione per i dati di backup
- Politica di immutabilità- Protezione WORM (Write Once Read Many) che impedisce la modifica dei dati
- Restrizioni basate sul contesto- Controlli di accesso basati sulla rete e sui servizi
- Credenziali di servizio- chiavi HMAC (chiave di accesso e chiave segreta) per l'accesso a S3-compatible
Prima di iniziare
Assicurati di disporre dei seguenti prerequisiti.
- Un conto IBM Cloud con un metodo di pagamento valido.
- Un'istanza di IBM Cloud® Object Storage.
- Autorizzazioni IAM appropriate.
- Ruolo di manager sull'istanza Object Storage per creare i bucket e impostare i criteri.
- Ruolo di amministratore sull'account per configurare le restrizioni basate sul contesto.
- Informazioni sulla connettività di rete dell'infrastruttura di backup (intervalli IP, sottoreti).
- Il prodotto di backup installato e pronto per la configurazione ( IBM Storage Defender, Veeam o Commvault).
Creare un bucket per i dati di backup
Creare un bucket dedicato per i carichi di lavoro di backup con classe di archiviazione e impostazioni appropriate.
Utilizzo della console
- Accedere alla console IBM Cloud.
- Selezionate l'istanza di Object Storage dall'elenco delle risorse.
- Fai clic su Crea bucket.
- Selezionare Personalizza il secchio.
- Configurare le impostazioni del bucket.
- Nome del secchio: inserire un nome unico e descrittivo (ad esempio,
company-backup-vault-prod). - Resilienza: Selezionare Cross Region o Regional in base alle proprie esigenze.
- Posizione: Scegliere una sede vicina alla propria infrastruttura di backup.
- Classe di archiviazione: Selezionare Standard per i backup ad accesso frequente o Vault per la conservazione a lungo termine.
- Nome del secchio: inserire un nome unico e descrittivo (ad esempio,
- Fai clic su Crea bucket.
Utilizzo della CLI
ibmcloud cos bucket-create \
--bucket company-backup-vault-prod \
--ibm-service-instance-id <your-cos-instance-crn> \
--region us-south \
--class standard
Il CRN dell'istanza IBM Cloud Object Storage si trova nella console IBM Cloud, nella sezione Credenziali di servizio dell'istanza Object Storage.
Configurare l'immutabilità (protezione WORM)
L'immutabilità aiuta a garantire che i dati di backup non possano essere modificati o eliminati fino alla scadenza del periodo di conservazione. Questo protegge da ransomware, cancellazioni accidentali e insider malintenzionati.
L'immutabilità non può essere disabilitata una volta abilitata su un bucket. Pianificare attentamente i periodi di conservazione prima di abilitare questa funzione.
Comprendere i periodi di conservazione
Object Storage l'immutabilità utilizza tre impostazioni del periodo di conservazione:
| Impostazione | Descrizione |
|---|---|
| Ritenzione minima | Il tempo più breve in cui un oggetto deve essere conservato. Gli oggetti non possono essere eliminati prima della scadenza di questo periodo. |
| Ritenzione predefinita | Applicato agli oggetti quando non viene specificato un periodo di conservazione durante il caricamento. |
| Ritenzione massima | Il periodo di conservazione più lungo che può essere impostato su qualsiasi oggetto nel bucket. |
Abilitare l'immutabilità utilizzando la console
- Passare al bucket di backup nella console Object Storage.
- Fai clic sulla scheda Configurazione.
- Spostarsi su Immutabile Object Storage e fare clic su Aggiungi criterio di conservazione.
- Configurare i periodi di conservazione.
- Periodo minimo di conservazione: Impostare in base al requisito di conservazione del backup più breve (ad esempio, 7 giorni).
- Periodo di conservazione predefinito: Impostare la conservazione standard dei backup (ad esempio, 30 giorni).
- Periodo di conservazione massimo: Impostare il requisito di conservazione più lungo (ad esempio, 365 giorni o 7 anni per la conformità).
- Fare clic su Salva.
Abilitare l'immutabilità utilizzando la CLI
ibmcloud cos bucket-protection-configuration-put \
--bucket company-backup-vault-prod \
--protection-configuration '{
"status": "Retention",
"minimum_retention": {"days": 7},
"default_retention": {"days": 30},
"maximum_retention": {"days": 365}
}'
Configurare le restrizioni basate sul contesto
Le restrizioni basate sul contesto (CBR) aggiungono un ulteriore livello di sicurezza limitando le reti, i servizi e gli endpoint che possono accedere al bucket di backup. Anche se le credenziali sono compromesse, l'accesso viene negato a meno che la richiesta non provenga da un contesto approvato.
Pianificare le regole di accesso
Prima di configurare il CBR, individuare quanto segue:
- Indirizzi IP o sottoreti del server di backup: Gli intervalli di rete in cui viene eseguito il software di backup
- Accesso agli endpoint privati o pubblici: Preferire endpoint privati per i carichi di lavoro di produzione
- Accesso da servizio a servizio: Se altri servizi di IBM Cloud necessitano di accesso
Crea una zona di rete
Una zona di rete definisce le reti di origine consentite per l'accesso.
- Passare alle restrizioni basate sul contesto nella console IBM Cloud.
- Fare clic su Crea zona.
- Inserire un nome descrittivo (ad esempio,
backup-infrastructure-zone). - Aggiungere le fonti di rete consentite.
- Indirizzi IP: Aggiungere gli IP del server di backup (ad esempio,
10.240.0.0/24). - VPC: selezionare la VPC se i server di backup vengono eseguiti in IBM Cloud.
- Riferimenti ai servizi: Aggiungere tutti i servizi di IBM Cloud che necessitano di accesso.
- Indirizzi IP: Aggiungere gli IP del server di backup (ad esempio,
- Fai clic su Crea.
Creare una regola CBR
- Spostarsi su Regole di restrizione basate sul contesto.
- Fai clic su Crea regola.
- Configurare la regola.
- Descrizione:
Restrict backup bucket to authorized infrastructure. - Servizio: Selezionare Cloud Object Storage.
- Ambito: Selezionare l'istanza Object Storage e il bucket di backup specifico.
- Contesti: Aggiungere la zona di rete creata.
- Applicazione: Iniziare con Solo rapporti per testare, quindi passare a Abilitato.
- Descrizione:
- Fai clic su Crea.
Testare a fondo le regole CBR in modalità solo report prima di abilitare l'applicazione. Controllare i registri di Activity Tracker per verificare che il traffico di backup legittimo corrisponda alle regole.
Regola CBR utilizzando la CLI
# Create a network zone
ibmcloud cbr zone-create \
--name backup-infrastructure-zone \
--addresses 10.240.0.0/24,10.241.0.0/24
# Create a CBR rule for the backup bucket
ibmcloud cbr rule-create \
--description "Restrict backup bucket access" \
--service-name cloud-object-storage \
--resource-attributes "accountId=<account-id>,serviceName=cloud-object-storage,resource=company-backup-vault-prod" \
--zone-id <zone-id> \
--enforcement-mode enabled
Creare credenziali di servizio con chiavi HMAC
I prodotti di backup utilizzano le API di S3-compatible per connettersi a Object Storage. Ciò richiede le credenziali HMAC (chiave di accesso e chiave segreta).
Utilizzo della console
- Navigate nella vostra istanza di Object Storage nel sito IBM Cloud console.
- Fare clic su Credenziali di servizio nella navigazione a sinistra.
- Fai clic su New credential.
- Configurare la credenziale.
- Nome: Inserire un nome descrittivo (ad esempio,
veeam-backup-credentials). - Ruolo: Selezionare Writer per le operazioni di backup (o Manager se il prodotto di backup deve gestire le impostazioni del bucket).
- Credenziale HMAC: Attivare (è fondamentale per la compatibilità con S3 ).
- Nome: Inserire un nome descrittivo (ad esempio,
- Fai clic su Aggiungi.
- Espandere la nuova credenziale per visualizzarne i dettagli.
Utilizzo della CLI
ibmcloud resource service-key-create veeam-backup-credentials Writer \
--instance-name my-cos-instance \
--parameters '{"HMAC": true}'
Recuperare le credenziali HMAC
Dopo aver creato la credenziale del servizio, espandetela per trovare le chiavi HMAC:
{
"apikey": "...",
"cos_hmac_keys": {
"access_key_id": "1a2b3c4d5e6f7g8h9i0j",
"secret_access_key": "AbCdEfGhIjKlMnOpQrStUvWxYz1234567890abcd"
},
"endpoints": "https://control.cloud-object-storage.cloud.ibm.com/v2/endpoints",
"iam_apikey_description": "...",
"resource_instance_id": "crn:v1:bluemix:public:cloud-object-storage:global:..."
}
Registrare i seguenti valori per la configurazione del prodotto di backup:
| Campo | Descrizione | Esempio |
|---|---|---|
access_key_id |
La chiave di accesso per l'autenticazione S3 | 1a2b3c4d5e6f7g8h9i0j |
secret_access_key |
La chiave segreta per l'autenticazione S3 | AbCdEfGhIjKlMnOpQrStUvWxYz... |
Conservare la chiave segreta in modo sicuro. Non può essere recuperata dopo la creazione della credenziale.
Recuperare gli URL degli endpoint
Object Storage fornisce più endpoint in base alla resilienza e al tipo di accesso.
Individuare l'endpoint
- Passare al proprio bucket nella console Object Storage.
- Fai clic sulla scheda Configurazione.
- Spostarsi su Endpoint per vedere gli endpoint disponibili per la posizione del bucket.
Tipi di endpoint
| Immettere | Descrizione | Caso d'uso |
|---|---|---|
| Pubblico | Accessibile via Internet | Siti di backup remoti, backup cloud-nativo |
| Privato | Accessibile solo all'interno di IBM Cloud | Server di backup in IBM Cloud VPC |
| Diretto | Connessione ad alta larghezza di banda per i servizi di IBM Cloud | IBM Cloud integrazioni di servizio |
URL endpoint comuni
Punti finali regionali (esempio Stati Uniti del Sud):
| Immettere | URL endpoint |
|---|---|
| Pubblico | s3.us-south.cloud-object-storage.appdomain.cloud |
| Privato | s3.private.us-south.cloud-object-storage.appdomain.cloud |
| Diretto | s3.direct.us-south.cloud-object-storage.appdomain.cloud |
Endpoint interregionali (esempio USA):
| Immettere | URL endpoint |
|---|---|
| Pubblico | s3.us.cloud-object-storage.appdomain.cloud |
| Privato | s3.private.us.cloud-object-storage.appdomain.cloud |
| Diretto | s3.direct.us.cloud-object-storage.appdomain.cloud |
Per un elenco completo degli endpoint, vedere Endpoint e posizioni di archiviazione.
Configurare il prodotto di backup
Utilizzare le informazioni raccolte per configurare il repository di archiviazione degli oggetti del prodotto di backup.
Valori di configurazione richiesti
Prima di configurare il prodotto di backup, raccogliere le seguenti informazioni:
| Parametro | Valore | Dove trovare |
|---|---|---|
| Chiave di accesso | L'ID della chiave di accesso HMAC | Credenziali del servizio |
| Chiave segreta | La chiave di accesso segreta HMAC | Credenziali del servizio |
| Nome bucket | Il nome del bucket di backup | Elenco di oggetti nella console di Object Storage |
| URL endpoint | Punto finale regionale o interregionale | Scheda di configurazione del secchio |
| Regione | Il codice regionale (ad esempio, us-south) |
Scheda di configurazione del secchio |
IBM Storage Defender Protezione dei dati
IBM Storage Defender Data Protect supporta il tiering e l'archiviazione nel cloud su S3-compatible, compreso Object Storage. Il processo di configurazione prevede la registrazione di un target esterno S3 e la creazione di criteri di protezione.
Per le fasi di configurazione dettagliate, consultare il Redbook IBM Storage Defender, che copre le versioni di Data Protect 7.1.1 e successive.
Registrare un target esterno S3
- Accedere all'interfaccia di gestione di IBM Storage Defender Data Protect.
- Spostarsi su Configurazione del sistema > Archiviazione esterna.
- Fare clic su Aggiungi destinazione esterna.
- Selezionare Cloud come tipo di destinazione, quindi selezionare S3 Compatible Storage.
- Configurare la connessione a S3.
- Nome: Inserire un nome descrittivo (ad esempio,
ibm-cos-backup-vault). - Endpoint URL: Inserire l'endpoint Object Storage (ad esempio,
https://s3.us-south.cloud-object-storage.appdomain.cloud). - Chiave di accesso: Inserire l'HMAC
access_key_id. - Chiave segreta: Inserire l'HMAC
secret_access_key. - Nome del bucket: Inserire il nome del bucket di backup.
- Nome: Inserire un nome descrittivo (ad esempio,
- Fare clic su Prova connessione per convalidare la configurazione
- Fare clic su Salva per registrare il target esterno
Creare un criterio di protezione per l'archiviazione di S3
- Passare a Protezione > Criteri.
- Creare o modificare un criterio di protezione.
- Nella configurazione del criterio, attivare Cloud Tiering o Cloud Archive.
- Selezionare il target esterno S3 registrato.
- Configurare le regole di conservazione e di tiering come necessario.
- Salvare il criterio e assegnarlo ai carichi di lavoro di backup.
Data Protect supporta l'uso del server IBM Storage Protect come interfaccia S3. Se si dispone di un'infrastruttura Storage Protect esistente, è possibile sfruttarla come destinazione S3 per i cluster Data Protect.
Veeam Backup & Replication
Veeam Backup & Replication supporta Object Storage come destinazione di archiviazione a oggetti S3-compatible. Utilizzare la procedura guidata Nuovo repository Object Storage per aggiungere il bucket Object Storage.
Per una documentazione completa, vedere Aggiunta di S3 compatibile con Object Storage nel Veeam Help Center.
Passo 1: Avvio della procedura guidata
- Aprire la console di Veeam Backup & Replication.
- Passare alla vista Infrastruttura di backup.
- Nel riquadro dell'inventario, fare clic con il pulsante destro del mouse su Repository di backup.
- Selezionare Aggiungi repository di backup.
- Nella finestra di dialogo Aggiungi repository di backup, selezionare Object Storage > S3 Compatibile > S3 Compatibile.
Passo 2: specificare il nome
- Nel campo Nome, inserire un nome descrittivo per il repository (ad esempio,
IBM-COS-Backup-Vault). - Inserire facoltativamente una Descrizione.
- Selezionare Limita attività concorrenti a N se si desidera limitare le operazioni in parallelo.
- Fai clic su Next.
Passo 3: specificare l'account
- Nel campo Punto di servizio, inserire l'endpoint Object Storage URL (ad esempio,
s3.us-south.cloud-object-storage.appdomain.cloud). - Nel campo Regione, inserire il codice della regione (ad esempio,
us-south). - Dal menu a tendina Credenziali, fare clic su Aggiungi per creare nuove credenziali.
- Nel campo Chiave di accesso, inserire l'HMAC
access_key_id. - Nel campo Chiave segreta, inserire la chiave HMAC
secret_access_key. - Fai clic su OK.
- Nel campo Chiave di accesso, inserire l'HMAC
- Selezionare la modalità di connessione.
- Diretto: I dati vengono trasferiti direttamente allo storage a oggetti (consigliato per la maggior parte delle implementazioni).
- Attraverso un server gateway: Utilizzare un server gateway se si hanno restrizioni di rete.
- Fai clic su Next.
Passo 4: specificare il secchio
- Dal menu a tendina Bucket, selezionare il bucket di backup.
- Fare clic su Sfoglia per selezionare o creare una cartella all'interno del bucket per i dati Veeam.
- Configurare facoltativamente i limiti di archiviazione:
- Limitare il consumo di memoria degli oggetti: Impostare una capacità massima.
- Rendere immutabili i backup recenti per X giorni: Abilita la protezione dell'immutabilità.
- Fai clic su Next.
Passo 5: specificare il server di montaggio
- Selezionare il server di montaggio da utilizzare per le operazioni di ripristino.
- Configurare la cartella della cache di scrittura del ripristino istantaneo.
- Fai clic su Next.
Fase 6: revisione e conclusione
- Rivedere il riepilogo della configurazione.
- Fare clic su Fine per creare il repository di archiviazione degli oggetti.
Affinché l'immutabilità di Veeam funzioni, il bucket Object Storage deve avere il blocco degli oggetti S3 abilitato. Si noti che S3 Object Lock è una funzione diversa dal criterio di conservazione Object Storage Immutable Object Storage. Per maggiori dettagli, verificare la compatibilità di S3 Object Lock.
Commvault
Commvault supporta Object Storage come destinazione di archiviazione cloud S3-compatible. È possibile configurarlo attraverso il Centro di comando per le operazioni di backup e archiviazione.
Per la documentazione completa, vedere Guida introduttiva a IBM Cloud Object Storage e Configurazione per IBM Cloud Object Storage nella documentazione di Commvault.
Aggiungere le credenziali di archiviazione cloud
- Accedere a Commvault Command Center.
- Spostarsi su Gestione > Sicurezza.
- Fare clic su Credential vault (o su Manage credentials nelle versioni precedenti).
- Fare clic su Aggiungi per creare una nuova credenziale.
- Configurare la credenziale:
- Nome della credenziale: inserire un nome descrittivo (ad esempio,
ibm-cos-credentials). - Account utente: Immettere
access_key_iddalle credenziali del servizio Object Storage. - Password/chiave API: Immettere
secret_access_keydalle credenziali del servizio Object Storage.
- Nome della credenziale: inserire un nome descrittivo (ad esempio,
- Fai clic su Save
Quando si creano le credenziali del servizio nella console IBM Cloud, assicurarsi che l'opzione Includi credenziale HMAC sia abilitata. access_key_id e secret_access_key si trovano nella sezione
cos_hmac_keys del JSON delle credenziali.
Configurare il cloud storage
- Nel Centro di comando, spostarsi su Archiviazione > Cloud.
- Fare clic su Aggiungi cloud storage.
- Selezionare IBM Cloud Object Storage (o S3 Compatibile se IBM Cloud® Object Storage non è presente nell'elenco).
- Configurare le impostazioni di archiviazione:
- Nome: Inserire un nome descrittivo per il cloud storage.
- Host di servizio/Endpoint: Inserire l'endpoint di Object Storage (ad esempio,
s3.us-south.cloud-object-storage.appdomain.cloud). - Credenziali: Selezionare la credenziale creata in precedenza.
- Dall'elenco MediaAgent selezionare il sito MediaAgent che accede al cloud storage.
- Configurare il DDB MediaAgent per la deduplicazione (può essere lo stesso o un altro MediaAgent ).
- Fai clic su Save
Aggiungere un pool di archiviazione per i backup
- Spostarsi su Archiviazione > Cloud.
- Selezionare il sito IBM Cloud Object Storage.
- Fare clic su Aggiungi pool di archiviazione o configurare le impostazioni del bucket.
- Selezionare o inserire il nome del bucket.
- Configurare le impostazioni di conservazione e deduplicazione come necessario.
- Associare il pool di archiviazione ai piani di backup.
Per la WORM/immutabilità con Commvault, configurare Object Lock sul bucket Object Storage e abilitare le impostazioni di conformità corrispondenti nella configurazione dello storage di Commvault.
Verifica della configurazione
Dopo aver configurato il prodotto di backup, verificare la configurazione:
Test delle operazioni di backup
- Create un piccolo lavoro di backup di prova nel vostro prodotto di backup.
- Eseguire il backup e verificare che venga completato correttamente.
- Verificare che i dati di backup vengano visualizzati nel bucket Object Storage.
Verificare l'immutabilità
- Tentativo di eliminare un oggetto di cui è stato eseguito il backup di recente direttamente nella console Object Storage.
- L'eliminazione deve essere negata con un errore di politica di conservazione.
- Verificare in Activity Tracker che il tentativo di cancellazione sia stato registrato.
Verificare che il CBR funzioni
- Controllare Activity Tracker per eventuali richieste negate dall'esterno delle zone di rete approvate.
- Tentare l'accesso da una rete non approvata per verificare che sia bloccata (se è sicuro farlo).
- Esaminare le valutazioni delle regole CBR nella console IBM Cloud.
Procedure consigliate
Consigli per la sicurezza
- Utilizzare endpoint privati: Se possibile, instradare il traffico di backup sulla rete privata IBM Cloud.
- Ruotare regolarmente le credenziali: Creare periodicamente nuove credenziali HMAC e aggiornare il prodotto di backup.
- Monitoraggio con Activity Tracker: Abilitare Activity Tracker per registrare tutte le operazioni del bucket.
- Applicare il minimo privilegio: Concedere solo i ruoli IAM minimi richiesti alle credenziali di backup.
- Abilitare il versioning: Considerare la possibilità di attivare il versioning per una maggiore protezione contro le sovrascritture.
Raccomandazioni sull'immutabilità
- Allineare la conservazione ai criteri di backup: Impostare una conservazione minima che corrisponda ai requisiti di conservazione dei backup più brevi.
- Pianificare la conformità: Se si è soggetti a normative (HIPAA, SEC, GDPR), impostare i periodi di conservazione di conseguenza.
- Testare le procedure di ripristino: Verificate regolarmente la possibilità di ripristinare da backup immutabili.
Raccomandazioni sulle prestazioni
- Scegliere la classe di archiviazione appropriata: Utilizzare Standard per i backup attivi, Vault o Cold Vault per gli archivi.
- Attivare l'accelerazione del trasferimento: Per i backup di grandi dimensioni su lunghe distanze, prendere in considerazione il trasferimento ad alta velocità all'indirizzo Aspera.
- Dimensionare correttamente le connessioni simultanee: La maggior parte dei prodotti di backup consente di sintonizzare i flussi di upload simultanei.
Passi successivi
Ora che il vostro caveau sicuro è configurato:
- Impostare le pianificazioni di backup: Configurare il prodotto di backup con pianificazioni di backup appropriate.
- Configurare gli avvisi: Impostare le notifiche per gli errori di backup o le violazioni dei criteri.
- Documentare le procedure di ripristino: Creare runbook per le operazioni di ripristino.
- Pianificare il ripristino di emergenza: Considerare la possibilità di replicare i backup critici in una regione secondaria.
- Rivedere periodicamente gli accessi: Verificare regolarmente le politiche IAM e le regole CBR.