IBM Cloud Docs
Repositorio protegido de Veeam Linux

Repositorio protegido de Veeam Linux

El componente clave de la solución en las arquitecturas de la solución de entorno de copia de seguridad inmutable y recuperación aislada es el repositorio protegido de Linux®.

Para evitar ataques a las copias de seguridad, Veeam® Backup and Replication ofrece la función de repositorio reforzado Linux, que hace que las copias de seguridad sean inmutables durante el número de días necesario. Esta acción habilita la protección contra amenazas, como el ransomware y los hackers.

Linux hardened repository
Linux hardened repository

La característica de repositorio protegido de Veeam Linux utiliza características de immutabilidad en el sistema operativo Linux. El atributo de archivo de inmutabilidad se establece para cada archivo de copia de seguridad, que garantiza el contenido del archivo. Sus metadatos asociados se mantienen como no regrabables y no borrables hasta que caduque una fecha Inmutable hasta aplicada.

Sólo los siguientes dos servicios de Veeam se ejecutan en el servidor de repositorio reforzado Linux:

  • El servicio de transporte de Veeam recibe los datos de copia de seguridad e indica al servicio Immureposvc de Veeam que establezca las fechas de Inmutable hasta. Este servicio se ejecuta como un usuario normal (no root).
  • El servicio Immureposvc de Veeam establece el distintivo inmutable de los archivos de copia de seguridad, supervisa las fechas de Inmutable hasta y elimina el distintivo inmutable cuando ha caducado.

El servidor de copia de seguridad Veeam utiliza una credencial de uso único para configurar inicialmente el repositorio protegido de Linux. Esta credencial no está almacenada por Veeam. Durante la configuración inicial, la autenticación basada en certificados se establece entre el servidor de copia de seguridad Veeam y el servicio de transporte Veeam.

Después de la configuración inicial, el acceso de Secure Shell (SSH) no es necesario para las operaciones de Veeam. Sin embargo, es necesario para las actualizaciones de servidor y otras tareas de mantenimiento, a menos que se realice el acceso a la consola a través del puerto IPMI del servidor.

Durante la configuración inicial, cuando se establece la opción Hacer inmutable la copia de seguridad reciente durante x días, todas las nuevas copias de seguridad compatibles de este repositorio se vuelven inmutables durante al menos el número de x días. El tiempo inmutable puede ser más largo. Por ejemplo, las copias de seguridad incrementales anteriores de una cadena de copia de seguridad son inmutables durante más tiempo. Esta acción garantiza que toda la cadena de copias de seguridad tenga la misma hora inmutable, ya que los archivos de copias de seguridad incrementales dependen unos de otros en una cadena de copias de seguridad.

Cuando no se ejecutan copias de seguridad ni restauraciones, solo se abre el puerto de entrada TCP 6162 en el repositorio protegido de Linux para permitir que el servicio de transporte Veeam se comunique con otros componentes de Veeam.

ufw status
Status: active
To                         Action      From
--                         ------      ----
6162/tcp                   ALLOW       10.38.207.157              # Allow Veeam Mgmt from Veeam BUR server
6162/tcp                   ALLOW OUT   Anywhere                   # Veeam transport rule

El servicio de transporte de Veeam abre temporalmente puertos adicionales, como TCP 2500-3300. Esta acción permite que se reciban datos de los servidores proxy durante los procesos de copia de seguridad y restauración.

ufw status
Status: active
To                         Action      From
--                         ------      ----
6162/tcp                   ALLOW       10.38.207.157              # Allow Veeam Mgmt from Veeam BUR server
2500/tcp                   ALLOW       Anywhere                   # Veeam rule 876f0752-7209-4e8b-8b34-fa0af7dbced4
2501/tcp                   ALLOW       Anywhere                   # Veeam rule 876f0752-7209-4e8b-8b34-fa0af7dbced4
6162/tcp                   ALLOW OUT   Anywhere                   # Veeam transport rule
2500/tcp                   ALLOW OUT   Anywhere                   # Veeam rule 876f0752-7209-4e8b-8b34-fa0af7dbced4
2501/tcp                   ALLOW OUT   Anywhere                   # Veeam rule 876f0752-7209-4e8b-8b34-fa0af7dbced4

caption-side=bottom"
Veeam

Procedimientos recomendados para un repositorio protegido de Linux

El informe de evaluación de la conformidad(elaborado por Cohasset) describe los parámetros que deben configurarse para cumplir las siguientes normativas:

  • FINRA art. 4511.
  • Regña SEC 17a-4(f).
  • Regla CFTC 1.31 (c)-(d).

El informe de evaluación anterior considera los detalles siguientes como procedimientos recomendados para un repositorio protegido de Linux:

  • El repositorio Linux reforzado puede ser un repositorio de copia de seguridad independiente o escalable. Un repositorio que conserva archivos de copia de seguridad inmutables para la conformidad con SEC 17a-4(f) debe configurarse como un repositorio de copia de seguridad autónomo, como un repositorio de copia de seguridad de escalado horizontal de Veeam que no cumple con esta regla.
  • Se recomienda que los atributos de nombre y descripción para el repositorio incluyan la palabra "inmutable" cuando la característica de repositorio protegido de Linux esté habilitada.
  • Para protegerse frente a la posibilidad de una supresión prematura de los archivos de copia de seguridad como resultado de la aceleración del reloj de tiempo del sistema, el sistema operativo Linux debe configurarse para sincronizarse con un origen de tiempo seguro. Por ejemplo, con un reloj de protocolo de tiempo de red (NTP).
  • Asegúrese de la separación de funciones asignando la gestión de repositorios protegidos de Linux a un equipo distinto de los administradores de copia de seguridad.
  • Veeam recomienda XFS por razones de rendimiento y eficiencia de espacio (soporte de clonación de bloques).
  • Solo se admiten configuraciones de trabajos de copia de seguridad con copia incremental hacia adelante con copias sintéticas o activas completas. El valor de trabajo de copia de seguridad predeterminado es el incremental hacia adelante con sintético completo.
  • En el caso de los trabajos de copia de seguridad, se debe habilitar GFS.
  • El cifrado de archivos de copia de seguridad está disponible del siguiente modo:
    • Cuando se configura en un trabajo de copia de seguridad, Veeam Backup and Replication puede utilizar cifrado de de bloques AES de 256 bits.
    • Para los datos en tránsito, se puede configurar una regla de tráfico de red global para permitir que todo el tráfico se cifre a través del cifrado AES de 256 bits. Cuando la habilitación y dos componentes de infraestructura de copia de seguridad necesitan comunicarse, el servidor de copia de seguridad genera una clave dinámica y se comunica con cada nodo a través de un canal seguro. Los dos componentes establecen una conexión cifrada entre sí utilizando esta clave. Todas las comunicaciones entre estos dos componentes para esa sesión se cifran utilizando esta clave. La clave es de uso único y se descarta cuando se ha completado la sesión.