Ciberrecuperación con Predatar

El siguiente diagrama muestra la arquitectura de alto nivel:

1. Las máquinas virtuales con VMware, incluido el agente Thin (también conocido como Guest Introspection) instalado, se copian en los servidores de copia de seguridad de origen.
2. Los datos de copia de seguridad se replican desde los servidores de copia de seguridad de origen a los IBM Cloud servidores de copia de seguridad terciarios alojados.
3. Los metadatos se recogen de los servidores de copia de seguridad de origen y los servidores de copia de seguridad terciarios por los Agentes Predatar y se envían a la Nube Predatar.
4. Predatar Cyber Recovery Orchestration se utiliza para automatizar la recuperación y las pruebas de las máquinas virtuales y proporciona informes y notificaciones.
5. En el CleanRoom, las pruebas de recuperación utilizan el tipo de restauración de montaje instantáneo del servidor vSnap para transmitir los archivos de copia de seguridad a los hosts ESXi para restaurar rápidamente la VM. Las pruebas de recuperación pueden realizarse con o sin orquestación de un escaneado de malware. Si utiliza IBM Spectrum Protect con IBM Spectrum Protect for Virtual Environments, las recuperaciones se realizan desde el almacén de datos VMware.
6. Si una prueba de recuperación incluye un análisis de malware, se utilizan herramientas End-point Detection Response (EDR) sin agente para analizar y limpiar las cargas de trabajo recuperadas. Las herramientas EDR se seleccionan entre las plataformas EDR líderes de Gartner y utilizan una combinación de análisis de firmas de archivos, aprendizaje automático, análisis en memoria (para la identificación de malware sin archivos), protección de variantes, análisis de comportamiento y supervisión de scripts, inyección y ransomware para comprobar si hay amenazas activas o latentes en la carga de trabajo recuperada.
7. Los componentes EDR se actualizan y correlacionan continuamente para una protección automática.
8. Al finalizar la prueba de recuperación, las métricas de esa máquina virtual se guardan y están disponibles para la generación de informes.

Ciberrecuperación con arquitectura Predatar

El siguiente diagrama muestra más detalles de la arquitectura de instancia del Servidor vCenter:

Centro de datos primario o secundario:

• VMs de Origen - Las VMs cliente que necesitan ser protegidas por el servicio Predatar. Las VM requieren VMware Tools agentes finos que forman parte de VMware Endpoint Protection, también conocido como Guest Introspection, que se instalan en ellas para que cuando se recuperen en el CleanRoom se puedan analizar. Para obtener más información, consulte Protección de punto final.
• Agente Thin: el agente Thin, también conocido como controlador de introspección de archivos, es el agente de introspección de archivos que se ejecuta dentro de la VM, que forma parte de VMware Tools. Se trata de un agente genérico y ligero que facilita la descarga de archivos y procesos para su escaneado.
• Servidores de copia de seguridad de origen: estos servidores forman parte del IBM Spectrum Protect del cliente con IBM Spectrum Protect for Virtual Environments o IBM Spectrum Protect Plus y están configurados para replicar copias de seguridad en el servidor de copia de seguridad terciario.
• Predatar Virtual Appliance - Consiste en:
  • VM: Una máquina virtual ( Microsoft Windows ) proporcionada por el cliente, de 2012 o posterior, que se utiliza para alojar el Agente Predatar.
  • Agente de Predatar: un cliente de pequeño tamaño que se aloja en la máquina virtual del cliente y envía consultas a uno o varios servidores IBM Spectrum Protect/Spectrum Protect Plus y envía las consultas a Predatar Cloud.

Nube Predatar:

• Predatar Cloud - Predatar es una solución SaaS en la nube que se aloja en Predatar Cloud. Predatar cuenta actualmente con nubes en Dallas, Londres y Fráncfort. Todos ellos son proporcionados por IBM Cloud y se utilizan para mantener los metadatos de IBM Spectrum Protect y Protect Plus de los clientes.
• Metadatos: Predatar almacena una cantidad ilimitada de historial de metadatos en su lago de datos multiusuario. Predatar utiliza estos datos para potenciar las capacidades de análisis y aprendizaje automático de la plataforma.
• Acceso de clientes: los controles de acceso basados en roles (RBAC) se utilizan para gobernar el acceso a los datos y pueden configurarse a nivel granular para los clientes.

IBM Cloud cuenta:

• vCenter Instancia de servidor - utilizada únicamente para tareas de ciber-recuperación, desplegada en una cuenta IBM Cloud restringida a actividades de ciber-recuperación. Para obtener más información sobre las instancias de vCenter Server, consulte Overview of VMware Solutions.

La instancia de vCenter Server:

• Puede utilizar VMware vSAN o NFS almacenes de datos. Para obtener más información, consulte Diseño de almacenamiento físico.

• No aloja cargas de trabajo de producción o recuperación de desastres, pero se utilizaría temporalmente para recuperar una máquina infectada y luego limpiarla en el CleanRoom.

• Incluye un clúster de borde para alojar su elección de uno de los siguientes para proteger vCenter Redes de instancias de servidor:

  • Dispositivos Juniper vSRX.
  • FortiGate Dispositivo de seguridad.
  • FortiGate Dispositivo virtual.
  • Traiga su propio dispositivo de puerta de enlace.

• Puede incluir cualquiera de las opciones de vCenter Server, como Caveonix, Entrust y VMware vRealize Operations.

• Opcionalmente, puede utilizar el cifrado con Hyper Protect Crypto Services, Key Protect y el servicio VMware KMIP. Para más información, consulte KMIP para VMware overview.

• Servidores de copia de seguridad terciarios: uno o varios Red Hat Enterprise Linux IBM Cloud Bare Metal Servers reforzados para alojar los siguientes componentes:

  • IBM Spectrum Protect con IBM Spectrum Protect for Virtual Environments. Para obtener más información, consulte IBM Storage Protect Cloud Blueprints.
  • IBM Spectrum Protect Plus vSnap servidores. Para obtener más información, consulte IBM Spectrum Protect Plus Blueprints.

• Predatar Virtual Appliance - Consiste en:

  • VM: un cliente proporcionó un VM de Microsoft Windows 2012 o posterior que se utiliza para alojar el agente Predatar.
  • Agente de Predatar: un cliente de pequeño tamaño que se aloja en la máquina virtual del cliente y envía consultas a uno o varios servidores IBM Spectrum Protect/Spectrum Protect Plus y envía las consultas a Predatar Cloud.

• Predatar CleanRoom- Predatar CleanRoom es un concepto patentado que reúne computación virtualizada, almacenamiento y redes para formar un objetivo de recuperación que admite tanto pruebas de recuperación automatizadas como análisis orquestado de malware. La instancia de servidor vCenter con VMware vSphere y NSX-T proporciona la computación virtualizada, el almacenamiento y las redes.

Cómo utilizar la recuperación cibernética con Predatar

Puede utilizar una cuenta IBM Cloud independiente para implementar su instancia de Predatar CleanRoom. Este proceso promueve la separación de funciones entre la propiedad de cualquier otra solución de producción o recuperación ante desastres que pueda alojar en IBM Cloud.

El número mínimo de hosts en un clúster consolidado es de tres, y la configuración mínima de host es de 128 GB de RAM y 20 núcleos a 2.2 GHz, lo que da un total de 384 GB de RAM y 132 GHz en el clúster tanto para las cargas de trabajo de gestión como de cliente. Se puede escalar el número de clusters, el número de hosts en el cluster y los núcleos y RAM en los hosts. Ver Modelo de CPU y RAM.

• Para vSAN, véase vSAN.
• Para el almacenamiento NFS, véase NFS.

El servidor IBM Cloud Classic Bare metal más pequeño para el servidor IBM Spectrum Protect Plus vSnap es de 4 discos de 1 TB, lo que da 2 TB en RAID 6. El servidor individual más grande tiene 34 discos de 12 TB, lo que da 384 TB en RAID 6.

Para obtener más información sobre configuraciones pequeñas, medianas y grandes con modelos de niveles directos a la nube o de disco a nube, consulte IBM Spectrum Protect Cloud Blueprint para IBM Cloud.

Para crear su Predatar CleanRoom a partir de una instancia VCF for Classic - Automated, siga el procedimiento para solicitar una instancia VCF for Classic - Automated:

1. En el paso 4, seleccione Primario.
2. En el paso 6, solicite Redes privadas.
3. En el paso 7, solicite un clúster de puerta de enlace perimetral con la opción de cortafuegos que prefiera:
   • Si selecciona Juniper vSRX, consulte Pedir Juniper vSRX.
   • Si selecciona FortiGate, consulte Pedir FortiGate.
   • Si selecciona Traiga su propio dispositivo de puerta de enlace, consulte las instrucciones de instalación proporcionadas por su proveedor de cortafuegos.
   • Si selecciona FortiGate Security Appliance, consulte Crear FortiGate Security Appliance 10 Gbps.

Una vez aprovisionada su instancia de vCenter Server:

1. Configure sus cortafuegos utilizando la documentación del proveedor como guía y la siguiente información:

   • Rangos de IP de IBM Cloud
   • Puertos que se utilizan para el despliegue y las operaciones del día 2
   • Puertos utilizados por los componentes VMware
   • Puertos para servicios

2. Despliegue de una máquina virtual Windows.

3. Despliegue el Agente Predatar.

Para solicitar IBM Cloud servidores Classic Bare Metal, consulte Construir un servidor bare metal personalizado.

1. Para el proveedor del sistema operativo, seleccione Red Hat y para la versión seleccione 8.x (64 bits).
2. Seleccione el perfil de servidor deseado.
3. Seleccione el número y el tamaño de los discos.
4. Asegúrese de seleccionar la misma VLAN privada en la que está desplegada la instancia del servidor vCenter.

Enlaces relacionados

• Patrón de arquitectura para utilizar Transit Gateway con una instancia de vCenter Server con NSX-T
• Patrón de arquitectura para utilizar IPsec sobre Direct Link con un vCenter con instancia NSX-T
• Patrón de arquitectura para utilizar Direct Link con clúster de borde NSX-T en colocación
• Patrón de arquitectura para utilizar Direct Link con NSX-T y EVPN
• Redes privadas virtuales (VPN)
• Adición de una conexión entre cuentas
• Predatar
• Orquestación cibernética de Predatar