Vue d'ensemble de la cyber-reprise avec Predatar

Le diagramme suivant montre l'architecture de haut niveau :

1. Les machines virtuelles sur lesquelles sont installés les outils MVware, y compris l'agent Thin (également connu sous le nom de Guest Introspection), sont sauvegardées sur les serveurs de sauvegarde source.
2. Les données de sauvegarde sont répliquées depuis les serveurs de sauvegarde source vers les IBM Cloud serveurs de sauvegarde tertiaires hébergés.
3. Les métadonnées sont collectées à partir des serveurs de sauvegarde source et des serveurs de sauvegarde tertiaire par les agents Predatar et envoyées au nuage Predatar.
4. Predatar Cyber Recovery Orchestration est utilisé pour automatiser la récupération et le test des machines virtuelles et fournit des rapports et des notifications.
5. Dans la CleanRoom, les tests de restauration utilisent le type de restauration instantanée du serveur vSnap pour transmettre les fichiers de sauvegarde aux hôtes ESXi afin de restaurer rapidement la VM. Les tests de récupération peuvent être effectués avec ou sans orchestration d'une recherche de logiciels malveillants. Si vous utilisez IBM Spectrum Protect avec IBM Spectrum Protect for Virtual Environments, les restaurations se font à partir du VMware.
6. Si un test de récupération comprend une analyse de logiciels malveillants, des outils de détection de points finaux (EDR) sans agent sont utilisés pour analyser et nettoyer les charges de travail récupérées. Les outils EDR sont sélectionnés parmi les principales plateformes EDR du Gartner et utilisent une combinaison d'analyse des signatures de fichiers, d'apprentissage automatique, d'analyse en mémoire (pour l'identification des logiciels malveillants sans fichier), de protection contre les variantes, d'analyse comportementale et de surveillance des scripts, des injections et des logiciels rançonneurs pour vérifier la présence de menaces actives ou dormantes dans la charge de travail récupérée.
7. Les composants de l'EDR sont continuellement mis à jour et corrélés pour une protection automatique.
8. À la fin du test de récupération, les métriques de cette VM sont sauvegardées et deviennent disponibles pour la création de rapports.

Reprise après sinistre grâce à l'architecture Predatar

Le diagramme suivant présente plus en détail l'architecture de l'instance de serveur vCenter:

Centre de données principal ou secondaire :

• VMs sources - Les VMs clientes qui doivent être protégées par le service Predatar. Les VM nécessitent des agents légers VMware Tools qui font partie de VMware Endpoint Protection, également connus sous le nom de Guest Introspection, qui sont installés sur elles de sorte que lorsqu'elles sont récupérées dans la CleanRoom, elles peuvent être scannées. Pour plus d'informations, voir Protection des points finaux.
• Agent Thin - L'agent Thin, également connu sous le nom de pilote d'introspection de fichiers, est l'agent d'introspection de fichiers qui s'exécute à l'intérieur de la VM et qui fait partie de VMware Tools. Il s'agit d'un agent générique et léger qui facilite le déchargement des fichiers et des processus pour l'analyse.
• Serveurs de sauvegarde source - Ces serveurs font partie de l'environnement IBM Spectrum Protect du client avec IBM Spectrum Protect for Virtual Environments ou IBM Spectrum Protect Plus et sont configurés pour répliquer les sauvegardes vers le serveur de sauvegarde tertiaire.
• Appliance virtuelle Predatar - Consiste en.. :
  • VM – Une VM Microsoft Windows, version 2012 ou ultérieure, fournie par le client et utilisée pour héberger l'agent Predatar.
  • Predatar Agent - un client à faible encombrement qui est hébergé sur la machine virtuelle du client et qui envoie des requêtes à un ou plusieurs serveurs IBM Spectrum Protect/Spectrum Protect Plus et qui envoie les requêtes à Predatar Cloud.

Predatar Cloud :

• Predatar Cloud - Predatar est une solution cloud SaaS hébergée dans le Predatar Cloud. Predatar dispose actuellement de nuages à Dallas, Londres et Francfort. Ils sont tous fournis par IBM Cloud et sont utilisés pour contenir les métadonnées IBM Spectrum Protect et Protect Plus des clients.
• Métadonnées - Predatar stocke une quantité illimitée d'historiques de métadonnées dans son lac de données multitenant. Ces données sont utilisées par Predatar pour alimenter les capacités d'analyse et d'apprentissage automatique de la plateforme.
• Accès des clients - Les contrôles d'accès basés sur les rôles (RBAC) sont utilisés pour régir l'accès aux données et peuvent être configurés à un niveau granulaire pour les clients.

IBM Cloud compte :

• vCenter Instance de serveur - utilisée uniquement pour les tâches de cyber-recouvrement, déployée dans un compte IBM Cloud limité aux activités de cyber-recouvrement. Pour plus d'informations sur les instances de vCenter Server, voir Aperçu des VMware Solutions.

L'instance du serveur vCenter:

• Peut utiliser des magasins de données VMware vSAN ou NFS. Pour plus d'informations, voir Conception du stockage physique.

• N'héberge pas de charges de travail de production ou de reprise après sinistre, mais serait temporairement utilisé pour récupérer une machine infectée et la nettoyer dans la CleanRoom.

• Comprend un cluster de périphérie pour héberger l'un des éléments suivants afin de protéger les réseaux d'instances de serveurs vCenter:

  • Appareils Juniper vSRX.
  • FortiGate Dispositif de sécurité.
  • FortiGate Appliance virtuelle.
  • Apportez votre propre passerelle.

• Peut inclure n'importe laquelle des options du serveur vCenter, telles que Caveonix, Entrust et VMware vRealize Operations.

• En option, vous pouvez utiliser le cryptage avec Hyper Protect Crypto Services, Key Protect, et le VMware service KMIP. Pour plus d'informations, voir l'aperçu de KMIP pour VMware.

• Serveurs de sauvegarde tertiaires - Un ou plusieurs Red Hat Enterprise Linux IBM Cloud Bare Metal Servers pour héberger les composants suivants :

  • IBM Spectrum Protect avec IBM Spectrum Protect for Virtual Environments. Pour plus d'informations, voir IBM Storage Protect Cloud Blueprints.
  • IBM Spectrum Protect Plus vSnap serveurs. Pour plus d'informations, voir IBM Spectrum Protect Plus Blueprints.

• Appliance virtuelle Predatar - Consiste en.. :

  • VM – Un client a fourni une VM Microsoft Windows 2012 ou ultérieure qui est utilisée pour héberger l'agent Predatar.
  • Predatar Agent - un client à faible encombrement qui est hébergé sur la machine virtuelle du client et qui envoie des requêtes à un ou plusieurs serveurs IBM Spectrum Protect/Spectrum Protect Plus et qui envoie les requêtes à Predatar Cloud.

• Predatar CleanRoom- Le Predatar CleanRoom est un concept breveté qui rassemble l'informatique, le stockage et la mise en réseau virtualisés pour former une cible de récupération qui prend en charge à la fois les tests de récupération automatisés et l'analyse orchestrée des logiciels malveillants. L'instance de serveur vCenter avec VMware vSphere et NSX-T fournit le calcul, le stockage et le réseau virtualisés.

Comment utiliser Cyber recovery avec Predatar

Vous pouvez utiliser un compte IBM Cloud distinct pour déployer votre instance Predatar CleanRoom. Ce processus favorise la séparation des tâches entre la propriété de toute autre solution de production ou de reprise après sinistre que vous pourriez héberger dans IBM Cloud.

Le nombre minimum d'hôtes dans un cluster consolidé est de trois, et la configuration minimum des hôtes est de 128 Go de RAM et 20 cœurs à 2.2 GHz, ce qui donne un total de 384 Go de RAM et 132 GHz dans le cluster pour les charges de travail de gestion et des clients. Le nombre de grappes, le nombre d'hôtes dans la grappe et les cœurs et la mémoire vive des hôtes peuvent être modulés. Voir Modèle de CPU et RAM.

• Pour vSAN Storage, voir vSAN Storage.
• Pour le stockage NFS, voir NFS Stockage.

Le plus petit IBM Cloud serveur Classic Bare metal pour le IBM Spectrum Protect Plus vSnap est constitué de 4 disques de 1 To, ce qui donne 2 To en RAID 6. Le plus grand serveur unique est composé de 34 disques de 12 To, ce qui donne 384 To en RAID 6.

Pour plus d'informations sur les configurations de petite, moyenne et grande taille avec des modèles de hiérarchisation direct-to-cloud ou disk-to-cloud, voir IBM Spectrum Protect Cloud Blueprint pour IBM Cloud.

Pour créer votre Predatar CleanRoom à partir d'une instance VCF for Classic - Automated, suivez la procédure de commande d'une instance VCF for Classic - Automated:

1. À l'étape 4, sélectionnez Primaire.
2. À l'étape 6, commandez Réseaux privés.
3. À l'étape 7, commandez une grappe de passerelles périphériques avec l'option de pare-feu de votre choix :
   • Si vous sélectionnez Juniper vSRX, voir Commande de Juniper vSRX.
   • Si vous sélectionnez FortiGate, voir Commande FortiGate Appliance virtuelle.
   • Si vous sélectionnez l'option Apportez votre propre passerelle, consultez les instructions d'installation fournies par votre fournisseur de pare-feu.
   • Si vous sélectionnez FortiGate Security Appliance, voir Créer FortiGate Security Appliance 10 Gbps.

Une fois que votre instance de serveur vCenter est approvisionnée :

1. Configurez vos pare-feux en vous aidant de la documentation du fournisseur et des informations suivantes :

   • Plages IP IBM Cloud
   • Ports utilisés pour les opérations de déploiement et de jour 2
   • Ports utilisés par les composants VMware
   • Ports utilisés pour les services

2. Déployer une VM Windows.

3. Déployer l'agent Predatar.

Pour commander des serveurs Classic Bare Metal, voir Construction d'un serveur bare metal personnalisé.

1. Pour le fournisseur du système d'exploitation, sélectionnez Red Hat et pour la version, sélectionnez 8.x (64 bit).
2. Sélectionnez le profil de serveur requis.
3. Sélectionnez le nombre et la taille des disques nécessaires.
4. Veillez à sélectionner le même VLAN privé que celui sur lequel l'instance de serveur vCenter est déployée.

Liens connexes

• Modèle d'architecture pour l'utilisation de Transit Gateway avec un vCenter Server avec une instance NSX-T
• Modèle d'architecture pour l'utilisation d'IPsec sur Direct Link avec un serveur vCenter avec une instance NSX-T
• Modèle d'architecture pour l'utilisation de Direct Link avec NSX-T edge cluster en colocation
• Modèle d'architecture pour l'utilisation de Direct Link avec NSX-T et EVPN
• Réseau privé virtuel (VPN)
• Ajout d'une connexion entre comptes
• Prédatateur
• Orchestration cybernétique Predatar