IBM Cloud Docs
Veeam Linux gehärtetes Repository

Veeam Linux gehärtetes Repository

Die wichtigste Lösungskomponente sowohl in der unveränderlichen Backup- als auch in der isolierten Recovery-Umgebung ist das Linux® gehärtete Repository.

Um Angriffe auf Backups zu verhindern, bietet Veeam® Backup and Replication die Funktion Linux hardened repository, die Backups für die erforderliche Anzahl von Tagen unveränderbar macht. Diese Maßnahme ermöglicht den Schutz vor Bedrohungen, wie Ransomware und Hackern.

Linux hardened repository
Linux hardened repository

Die Veeam Linux-Funktion für gehärtete Repositorys nutzt die Unveränderlichkeitsfunktionen des Linux-Betriebssystems. Das Dateiattribut Unveränderlichkeit wird für jede Sicherungsdatei gesetzt, wodurch der Inhalt der Datei gesichert wird. Die zugehörigen Metadaten sind nicht überschreibbar und nicht löschbar, bis das Datum "Unveränderbar bis" abgelaufen ist.

Nur die folgenden zwei Veeam-Dienste laufen auf dem Linux gehärteten Repository-Server:

  • Der Veeam Transport Service empfängt die Backup-Daten und weist den Veeam Immureposvc Service an, die Immutable Until Dates zu setzen. Dieser Dienst läuft als normaler Benutzer (nicht als root).
  • Der Veeam Immureposvc Service setzt das Unveränderbar-Flag für die Backup-Dateien, überwacht das Unveränderbar-Bis-Datum und entfernt das Unveränderbar-Flag, wenn es abgelaufen ist.

Der Veeam-Backup-Server verwendet eine Einweg-Anmeldeinformation, um das Linux gehärtete Repository zu konfigurieren. Diese Zugangsdaten werden von Veeam nicht gespeichert. Während der Erstkonfiguration wird eine zertifikatsbasierte Authentifizierung zwischen dem Veeam-Backup-Server und dem Veeam-Transportdienst eingerichtet.

Nach der Erstkonfiguration ist für den Betrieb von Veeam kein Secure Shell (SSH)-Zugang erforderlich. Er ist jedoch für Server-Updates und andere Wartungsaufgaben erforderlich, es sei denn, der gesamte Konsolenzugriff erfolgt über den IPMI-Port des Servers.

Wenn bei der Erstkonfiguration die Option Neueste Sicherung für x Tage unveränderbar machen gesetzt wird, werden alle kompatiblen neuen Sicherungen dieses Repositorys mindestens für die Anzahl von x Tagen unveränderbar. Die unveränderliche Zeit kann länger sein. So sind beispielsweise frühere inkrementelle Sicherungen in einer Sicherungskette länger unveränderbar. Diese Aktion stellt sicher, dass die gesamte Sicherungskette dieselbe unveränderliche Zeit hat, da die inkrementellen Sicherungsdateien in einer Sicherungskette voneinander abhängen.

Wenn keine Backups oder Wiederherstellungen laufen, ist nur der eingehende TCP 6162-Port auf dem Linux gehärteten Repository geöffnet, damit der Veeam Transport Service mit anderen Veeam-Komponenten kommunizieren kann.

ufw status
Status: active
To                         Action      From
--                         ------      ----
6162/tcp                   ALLOW       10.38.207.157              # Allow Veeam Mgmt from Veeam BUR server
6162/tcp                   ALLOW OUT   Anywhere                   # Veeam transport rule

Der Veeam Transport Service öffnet vorübergehend zusätzliche Ports, z. B. TCP 2500 - 3300. Diese Aktion ermöglicht den Empfang von Daten von den Proxyservern während der Sicherungs- und Wiederherstellungsprozesse.

ufw status
Status: active
To                         Action      From
--                         ------      ----
6162/tcp                   ALLOW       10.38.207.157              # Allow Veeam Mgmt from Veeam BUR server
2500/tcp                   ALLOW       Anywhere                   # Veeam rule 876f0752-7209-4e8b-8b34-fa0af7dbced4
2501/tcp                   ALLOW       Anywhere                   # Veeam rule 876f0752-7209-4e8b-8b34-fa0af7dbced4
6162/tcp                   ALLOW OUT   Anywhere                   # Veeam transport rule
2500/tcp                   ALLOW OUT   Anywhere                   # Veeam rule 876f0752-7209-4e8b-8b34-fa0af7dbced4
2501/tcp                   ALLOW OUT   Anywhere                   # Veeam rule 876f0752-7209-4e8b-8b34-fa0af7dbced4

caption-side=bottom"
Veeam

Bewährte Verfahren für ein Linux gehärtetes Repository

Der Bewertungsbericht zur Einhaltung der Vorschriften(von Cohasset) beschreibt die Einstellungen, die konfiguriert werden müssen, um die Einhaltung der folgenden Vorschriften zu gewährleisten:

  • FINRA-Regel 4511.
  • SEC-Regel 17a-4(f).
  • CFTC-Regel 1 .31 (c)-(d).

Der frühere Bewertungsbericht betrachtet die folgenden Details als Best Practice für ein Linux gehärtetes Repository:

  • Das Linux gehärtete Repository kann ein unabhängiges oder ein Scale-out-Backup-Repository sein. Ein Repository, das unveränderliche Backup-Dateien zur Einhaltung von SEC 17a-4(f) aufbewahrt, muss als eigenständiges Backup-Repository konfiguriert werden, da ein Veeam Scale-Out Backup-Repository nicht mit dieser Regel konform ist.
  • Es wird empfohlen, dass die Attribute name und description für das Repository das Wort "immutable" (unveränderlich) enthalten, wenn das Linux hardened repository feature aktiviert ist.
  • Um sich gegen die Möglichkeit des vorzeitigen Löschens von Sicherungsdateien zu schützen, die aus der Beschleunigung der Systemzeituhr resultieren kann, muss Linux OS so konfiguriert werden, dass es sich mit einer sicheren Zeitquelle synchronisiert. Zum Beispiel mit einer NTP-Uhr (Network Time Protocol).
  • Sorgen Sie für eine Aufgabentrennung, indem Sie die Verwaltung von Linux gehärteten Repositories einem anderen Team als den Backup-Administratoren zuweisen.
  • Veeam empfiehlt XFS aus Gründen der Leistung und der Platzersparnis (Unterstützung von Block Cloning).
  • Es werden nur Backup-Auftragskonfigurationen mit Forward Incremental mit Synthetik oder Active Full unterstützt. Vorwärts inkrementell mit synthetischer Vollsicherung ist die Standardeinstellung für Sicherungsaufträge.
  • Für Sicherungskopieaufträge muss GFS aktiviert sein.
  • Die Verschlüsselung von Sicherungsdateien ist wie folgt möglich:
    • Wenn in einem Backup-Auftrag konfiguriert, kann Veeam Backup and Replication eine 256-Bit-AES-Blockchiffrierung verwenden.
    • Für Daten im Transit kann eine globale Netzwerkverkehrsregel so konfiguriert werden, dass der gesamte Datenverkehr mit 256-Bit-AES-Verschlüsselung verschlüsselt wird. Wenn zwei Komponenten der Backup-Infrastruktur miteinander kommunizieren müssen, wird vom Backup-Server ein dynamischer Schlüssel generiert und über einen sicheren Kanal an jeden Knoten übermittelt. Mit diesem Schlüssel stellen die beiden Komponenten eine verschlüsselte Verbindung zueinander her. Die gesamte Kommunikation zwischen diesen beiden Komponenten für diese Sitzung wird unter Verwendung dieses Schlüssels verschlüsselt. Der Schlüssel wird nur einmal verwendet und nach Beendigung der Sitzung verworfen.