IBM Cloud Docs
Référentiel Veeam Linux renforcé

Référentiel Veeam Linux renforcé

Le composant de solution clé dans les architectures de solutions d'environnement de reprise isolé et de sauvegarde non modifiable est le référentiel Linux® renforcé.

Pour prévenir les attaques sur les sauvegardes, Veeam® Backup and Replication offre la fonctionnalité de référentiel renforcé Linux, qui rend les sauvegardes immuables pendant le nombre de jours requis. Cette action permet de protéger contre les menaces telles que les ransomware et les pirates.

Linux hardened repository
Linux hardened repository

La fonction de référentiel renforcé Veeam Linux utilise des fonctions d'immuabilité dans le système d'exploitation Linux. L'attribut de fichier d'immuabilité est défini pour chaque fichier de sauvegarde, ce qui garantit le contenu du fichier. Ses métadonnées associées sont conservées comme non réinscriptibles et non effacables jusqu'à l'expiration d'une date d'expiration immuable appliquée.

Seuls les deux services Veeam suivants s'exécutent sur le serveur de référentiel durci Linux:

  • Le service de transport Veeam reçoit les données de sauvegarde et charge le service Veeam Immureposvc de définir les dates d'immuabilité. Ce service s'exécute en tant qu'utilisateur normal (non root).
  • Le service Veeam Immureposvc définit l'indicateur non modifiable pour les fichiers de sauvegarde, surveille les dates d'immuabilité et supprime l'indicateur d'immuabilité lorsqu'il est arrivé à expiration.

Des données d'identification à usage unique sont utilisées par le serveur de sauvegarde Veeam pour configurer initialement le référentiel Linux renforcé. Ces données d'identification se sont pas stockées par Veeam. Lors de la configuration initiale, une authentification par certificat est établie entre le serveur de sauvegarde Veeam et le service de transport Veeam.

Après la configuration initiale, l'accès SSH (Secure Shell) n'est pas requis pour les opérations Veeam. Toutefois, il est requis pour les mises à jour du serveur et d'autres tâches de maintenance, sauf si tous les accès de console sont effectués via le port IPMI du serveur.

Lors de la configuration initiale, si l'option Rendre les sauvegardes récentes immuables pendant x jours est activée, toutes les nouvelles sauvegardes compatibles avec ce référentiel deviennent immuables pendant au moins x jours. Le délai d'immuabilité peut être plus long. Par exemple, les sauvegardes incrémentielles antérieures dans une chaîne de sauvegarde sont immuables pendant plus longtemps. Cette action garantit que l'ensemble de la chaîne de sauvegarde dispose de la même heure immuable, car les fichiers de sauvegarde incrémentielle dépendent les uns des autres dans une chaîne de sauvegarde.

Lorsqu'aucune sauvegarde ou restauration n'est exécutée, seul le port entrant TCP 6162 est ouvert sur le référentiel Linux renforcé pour permettre au service de transport Veeam de communiquer avec d'autres composants Veeam.

ufw status
Status: active
To                         Action      From
--                         ------      ----
6162/tcp                   ALLOW       10.38.207.157              # Allow Veeam Mgmt from Veeam BUR server
6162/tcp                   ALLOW OUT   Anywhere                   # Veeam transport rule

Le service de transport Veeam ouvre des ports supplémentaires, tels que TCP 2500 à 3300, temporairement. Cette action permet de recevoir des données des serveurs proxy lors des processus de sauvegarde et de restauration.

ufw status
Status: active
To                         Action      From
--                         ------      ----
6162/tcp                   ALLOW       10.38.207.157              # Allow Veeam Mgmt from Veeam BUR server
2500/tcp                   ALLOW       Anywhere                   # Veeam rule 876f0752-7209-4e8b-8b34-fa0af7dbced4
2501/tcp                   ALLOW       Anywhere                   # Veeam rule 876f0752-7209-4e8b-8b34-fa0af7dbced4
6162/tcp                   ALLOW OUT   Anywhere                   # Veeam transport rule
2500/tcp                   ALLOW OUT   Anywhere                   # Veeam rule 876f0752-7209-4e8b-8b34-fa0af7dbced4
2501/tcp                   ALLOW OUT   Anywhere                   # Veeam rule 876f0752-7209-4e8b-8b34-fa0af7dbced4

caption-side=bottom"
Veeam

Meilleures pratiques pour un référentiel Linux renforcé

Le rapport d'évaluation de la conformité(par Cohasset) décrit les paramètres qui doivent être configurés pour se conformer aux réglementations suivantes :

  • Règle FINRA 4511.
  • Règle SEC 17a-4(f).
  • Règle CFTC 1.31 (c) à (d).

Le précédent rapport d'évaluation considère les détails suivants comme étant les meilleures pratiques pour un référentiel Linux renforcé :

  • Le référentiel Linux renforcé peut être un référentiel de sauvegarde indépendant ou évolutif. Un référentiel qui conserve des fichiers de sauvegarde non modifiables pour la conformité avec SEC 17a-4(f) doit être configuré en tant que référentiel de sauvegarde autonome car un référentiel de sauvegarde d'extension Veeam n'est pas conforme à cette règle.
  • Il est recommandé que les attributs de nom et de description du référentiel incluent le mot "non modifiable" lorsque la fonction de référentiel Linux renforcé est activée.
  • Pour éviter la suppression prématurée des fichiers de sauvegarde pouvant résulter d'une accélération de l'horloge système, le système d'exploitation Linux doit être configuré pour être synchronisé avec une source de temps sécurisée. Par exemple, avec une horloge NTP (Network time Protocol).
  • Veillez à séparer les tâches en affectant la gestion des référentiels Linux renforcés à une équipe autre que les administrateurs de sauvegarde.
  • Veeam recommande XFS pour des raisons de performance et d'efficacité de l'espace (prise en charge du clonage par blocs).
  • Seules les configurations de tâches de sauvegarde avec progression incrémentielle synthétique ou active complète sont prises en charge. La progression incrémentielle avec synthétique complète est le paramètre du travail de sauvegarde par défaut.
  • Pour les travaux de copie de sauvegarde, GFS doit être activé.
  • Le chiffrement des fichiers de sauvegarde est disponible comme suit :
    • Lorsqu'ils sont configurés dans un travail de sauvegarde, Veeam Backup et Replication peuvent utiliser le chiffrement par blocs AES 256 bits.
    • Pour les données en transit, une règle de trafic réseau global peut être configurée pour permettre le chiffrement de tout le trafic par un chiffrement AES 256 bits. Lorsque les composants de l'infrastructure de sauvegarde doivent communiquer, une clé dynamique est générée par le serveur de sauvegarde et communiquée à chaque nœud par un canal sécurisé. Les deux composants établissent une connexion chiffrée entre eux à l'aide de cette clé. Toutes les communications entre ces deux composants pour cette session sont chiffrées à l'aide de cette clé. La clé n'est utilisée qu'une seule fois et est supprimée lorsque la session est terminée.