Netzwerkarchitektur einer isolierten Wiederherstellungsumgebung
In diesen Lösungsarchitekturen ist eine Sandbox als isolierte Netzwerkumgebung definiert, in der auf Kopien von Backups zugegriffen werden kann oder die zum Starten virtueller Maschinen (VMs) verwendet werden kann. Sie sind von der Produktionsumgebung isoliert, so dass doppelte IP-Adressen, die durch VMs mit denselben IP-Adressen verursacht werden, nicht miteinander kollidieren oder wiederhergestellte VMs mit Produktions-VMs interagieren.
Während Veeam® DataLabs das Sandbox-Konzept ermöglicht, ist es für VMware NSX-T™ Umgebungen noch nicht aktiviert, da es die Zuordnung von NSX-T Segmenten zu isolierten Segmenten nicht ermöglicht. Daher ermöglichen diese Lösungsarchitekturen eine Sandbox mit dem Einsatz sowohl von Veeam als auch von VMware NSX-T Technologien:
- Veeam vPower NFS Dienst - Ermöglicht das Starten von VMs direkt aus den Backup-Dateien.
- Veeam Datenintegrations-API - Ermöglicht das Einbinden der Backup-Dateien in ein Dateisystem.
- NSX-T Overlay-Segmente - Ermöglicht die Verbindung von VMs mit virtuellen Netzwerken, die von physischen Netzwerken abstrahiert sind.
- NSX-T T1- Bietet Routing- und Gateway-Firewall-Funktionen.
- NSX-T verteilte Firewall - Die verteilte Firewall ermöglicht Firewall-Funktionen für Ost-West-Verkehr auf VMs.
Die isolierte Wiederherstellungsumgebung verwendet auch vSRX-Appliances, die zusammen mit einer Management-VM auf einem Gateway-Cluster gehostet werden, um eine Air-Gaped-Umgebung bereitzustellen. Im Normalbetrieb ist der einzige eingehende Datenverkehr auf den Zugriff auf die VMs in der DMZ-Zone beschränkt.
{: caption="das Netzwerk der isolierten WiederherstellungsumgebungÜbersicht über " caption-side="bottom"} Netzwerk der isolierten Wiederherstellungsumgebung
Das vorherige Diagramm zeigt die Netzwerke, die mit einem konsolidierten Cluster der Instanz VMware Cloud Foundation for Classic – Automated verbunden sind, die für eine isolierte Wiederherstellungsumgebung verwendet wird. Der Kundenauftrag lautet:
- Ein privates Netzwerk nur VCF for Classic – Automated Instanz mit Gateway-Cluster und Juniper® vSRX Firewalls.
- Der Veeam-Dienst auf einem Bare-Metal-Server.
- Ein Bare-Metal-Server, auf dem Ubuntu 20.04 LTS läuft.
Wenn das IaaS bereitgestellt ist, wird der Kunde:
- Löscht die Mustersegmente, die während des Bereitstellungsprozesses erstellt wurden.
- Behält die Arbeitsbelastung T0 und T1 bei.
- Wechselt nicht zu den Diensten T0.
- Erstellt ein DMZ-Segment und stellt mehrere Microsoft® Windows® Jump-Hosts und Linux® Bastion-Hosts bereit. Diese Maßnahmen ermöglichen dem Cyberteam den Zugang zur Umgebung und sorgen gleichzeitig für Isolierung.
- Konfiguriert den vSRX:
- Systemdienste und lokaler Administratorzugriff.
- Verwaltungsdienste, wie NTP, DNS, SNMP und syslog.
- Schnittstellen und Zonen.
- Adressbücher, Dienste und Sicherheitsrichtlinien.
- NAT, Routing und VPN.
- Verbindet und routet die VCF for Classic – Automated Instanz-VLANs mit den IBM Cloud®-Gateway-Geräten, die die ESXi-Hosts im Gateway-Cluster sind.
Die vSRX-Sicherheitsrichtlinien ermöglichen die in der folgenden Tabelle aufgeführten Ziele:
| Regelname | Quellen | Ziele | Services | Aktion |
|---|---|---|---|---|
| Zugang zur DMZ zulassen | Cyber-Admins IPs | DMZ-Subnetze | SSH, RDP | Zulassen |
| Zugriff auf Instance Management zulassen | DMZ | Instanzmanagement | SSH, HTTPS, TCP-9392, DNS | Zulassen |
| Erlauben Sie Veeam den Zugriff auf die Produktionsumgebung | Veeam-Sicherungsserver-IP | Produktions- vSphere Management-Netzwerke | HTTPS | Zulassen |
| Veeam den Zugriff auf Proxys erlauben | Veeam-Sicherungsserver-IP | Proxy-Netz für die Produktion | SSH, TCP-6162, TCP-2500- 3300 | Zulassen |
| Erlaube Proxy-Zugriff auf Linux gehärtetes Repository | Proxy-Netz für die Produktion | Linux Gehärtete Repository-IP | TCP-2500- 3300 | Zulassen |
| ADDNS-Zugang zu den Diensten IBM Cloud zulassen | ADDNS-IPs | DNS- und NTP-IPs | TCP/UDP-53, UDP-123 | Zulassen |
| Zugriff zwischen VCF for Classic – Automated Subnetzen erlauben | VCF for Classic – Automated Teilnetze | VCF for Classic – Automated Teilnetze | Any | Zulassen |
| Erlaube vCenter zu KMIP | vCenter-IP | IBM Cloud-Endpunktservicenetz | TCP 5696 | Zulassen |
- TCP-9392- TCP-Portnummer, die von der Veeam Remote Console für den Zugriff auf den Veeam-Server verwendet wird.
- In dieser Lösungsarchitektur sind die Veeam-Backup-Proxys Linux. Daher sind die folgenden Schritte erforderlich:
- Backup-Server zu Proxies, wie SSH, TCP-6162 (Veeam Data Mover-Port) und TCP-2500 bis 3300 (Veeam-Datenübertragungskanäle).
- Proxy zum Backup-Server, z. B. TCP-2500 bis 3300 (Veeam-Datenübertragungskanäle).
- Der Zugriff des Veeam-Backup-Servers auf das isolierte vCenter und die Hosts erfolgt über verbundene Netzwerke.
- Der Zugriff des Veeam Backup-Servers auf das Linux gehärtete Repository erfolgt über das angeschlossene Netzwerk.
- Die Regel Erlaube Proxy-Zugriff auf Linux gehärtetes Repository kann zwischen "Erlauben" und "Verweigern" umgeschaltet werden, um den Abstand zu erleichtern.
- Wenn NFS verwendet wird, umgeht diese Aktion das vSRX, da das Speicher-VLAN nicht mit den IBM Cloud-Gateway-Geräten verbunden ist, die die vSRX-Appliances hosten.
- Wenn die Regel Zugriff zwischen VCF for Classic – Automated Subnetzen zulassen weiter eingeschränkt werden muss, finden Sie weitere Informationen unter Ports, die von VMware Solutions verwendet werden.
- Wenn Verschlüsselung verwendet wird, benötigt vCenter Zugriff auf den KMIP-Dienst. Der Zugriff auf diesen Dienst erfolgt über das IBM Cloud Endpunkt-Dienstnetz 166.8.0.0/14.
- Wenn automatisierte Tag-2-Vorgänge auf der VCF for Classic – Automated-Instanz erforderlich sind, finden Sie weitere Informationen unter Ports, die für die Bereitstellung und Tag-2-Vorgänge verwendet werden.
Um den Luftspalt zu aktivieren, muss der Kunde:
- Erstellt ein T1 mit dem Namen
Cyber-Tools-T1und verknüpft es mit dem Workload T0. DerCyber-T1ist so konfiguriert, dass er verbundene Segmente ankündigt. Diese Aktion ermöglicht das Routing des Datenverkehrs zu und von VMs auf verbundenen Segmenten. - Erstellt ein Segment für ihre Verwaltungs-VM.
- Erstellt eine Management-VM, auf der Linux und Ansible laufen. Die Management-VM ändert die Sicherheitsrichtlinie auf den vSRX-Appliances zu den gewünschten Zeitpunkten.
- Verwendet einen Cron-Job auf dem Automatisierungsserver, um die Ausführung eines Ansible-Playbooks zu planen, das die eingehende Firewall-Regel von "Verweigern" in "Zulassen" ändert. Nach dem Backup-Fenster ändert der Kunde die eingehende Firewall-Regel von "Zulassen" auf "Verweigern".
Um ein Cyberbackup der Produktionsumgebung zu ermöglichen, muss der Kunde:
- Befolgt die vorausgesetzten Aufgaben auf dem Bare-Metal-Server, um den Server auf seine Rolle als Linux gehärtetes Repository vorzubereiten.
- Verwendet den Veeam Backup Server, der das Linux gehärtete Repository aktiviert hat.
- Entfernt die isolierte Wiederherstellungsumgebung vCenter aus der Veeam Backup Server-Konfiguration.
- Fügt das produktive vCenter zur Veeam Backup Server-Konfiguration hinzu.
- Erstellt die Veeam VMware Proxy-Server und stellt sie in der Produktionsumgebung bereit.
- Erzeugt Cyber-Backup-Aufträge für die erforderlichen Produktions-VMs.
Um cyberbezogene Aufgaben auf den Cyberbackups zu ermöglichen, wie z. B. das Scannen von Backup-Dateien auf Malware und die Wiederherstellung von VMs aus Backups in isolierten Netzwerken, muss der Kunde:
- Schafft ein Segment für ihre Cybertoolsets, zu denen auch die Malware-Scanner gehören.
- Erstellt ein T1 mit dem Namen
Isolated-NW-T1und verbindet es mit dem Workload T0.Isolated-NW-T1wird so konfiguriert, dass er nur alle NAT-IP-Adressen bekannt gibt. Diese Aktion stoppt die Anzeige der verbundenen Segmente und zeigt nur die NAT-IP-Adressen der Segmente an. - Erstellt die folgenden zwei verteilten Firewall-Gruppen:
- Name: Cyber-Tools-Segmente, Kategorie: Segmente, Mitglieder: cybertools
- Name: Cyber-Isolierte-Segmente, Kriterium: Segment Tag Equals Isolated-Segments, Bereich: Cyber
- Erstellt eine verteilte Firewall-Richtlinie mit dem Namen Cyber-Isolated, die die folgenden Regeln enthält, um die Isolierungsanforderungen zu erfüllen:
| Regelname | Quellen | Ziele | Services | Aktion |
|---|---|---|---|---|
| Zugang zu Isoliert zulassen | Cyber-Tools-Segmente | Cyber-Isolierte-Segmente | Alle | Zulassen |
| Erlaubt den Zugang zwischen Isolierten | Cyber-Isolierte-Segmente | Cyber-Isolierte-Segmente | Alle | Zulassen |
| Zugang zu Isoliert verweigern | Any | Cyber-Isolierte-Segmente | Alle | Ablehnen |
| Zugriff von Isoliert verweigern | Any | Cyber-Isolierte-Segmente | Alle | Ablehnen |
Wenn eine Sandbox erforderlich ist, verwendet der Kunde sein bevorzugtes Skripting-Tool, um sie automatisch zu erstellen:
- Erstellen Sie logische Segmente, die mit dem Isolated-NW-T1 verbunden sind, indem Sie die IP-Adresse des Standardgateways dieses Netzes auf dem T1 verwenden. Im folgenden Diagramm sehen Sie die beiden Segmente Isolated-NW2 und Isolated-NW3 mit Subnetzen, die NW2 und NW3 entsprechen. Diese Segmente werden mit Tags und Scopes erstellt, z. B. Scope: Cyber und Tag: Isolierte-Segmente. Diese Tags und Bereiche werden in den verteilten Firewall-Gruppen und -Regeln verwendet, die in der vorherigen Tabelle aufgeführt sind.
- Erstellen Sie Ziel-NAT-Regeln, die Ziel-Subnetze auf übersetzte Subnetze für IP-Pakete mit einer Quelladresse aus dem cyber-tools-Segment abbilden. Beispiel:
Src=172.16.67.2->Dst=172.16.68.2 => Src=172.16.67.2->Dst=172.16.253.2.
Der erforderliche Verkehrsfluss ist in der folgenden Abbildung dargestellt:
- Grün kennzeichnet den erlaubten Verkehrsfluss.
- Rot bedeutet, dass der Verkehrsfluss gesperrt ist.
