IBM Cloud Docs
빔 Linux 강화 리포지토리

빔 Linux 강화 리포지토리

변경 불가능한 백업과 격리된 복구 환경 솔루션 아키텍처의 핵심 솔루션 구성 요소는 Linux® 강화 리포지토리입니다.

백업에 대한 공격을 방지하기 위해 Veeam® 백업 및 복제는 필요한 일수 동안 백업을 변경할 수 없도록 하는 Linux 강화된 리포지토리 기능을 제공합니다. 이 조치를 통해 랜섬웨어 및 해커와 같은 위협으로부터 보호할 수 있습니다.

Linux hardened repository
Linux hardened repository

Veeam의 강화된 리포지토리 기능은 Linux OS의 불변성 기능을 사용합니다. 불변성 파일 속성은 각 백업 파일에 대해 설정되어 파일의 내용을 보장합니다. 관련 메타데이터는 적용된 변경 불가 기한이 만료될 때까지 다시 쓸 수 없고 지울 수 없는 상태로 유지됩니다.

다음 두 가지 Veeam 서비스만 Linux 강화된 리포지토리 서버에서 실행됩니다:

  • Veeam 전송 서비스는 백업 데이터를 수신하고 Veeam Immureposvc 서비스에 변경 불가 기한을 설정하도록 지시합니다. 이 서비스는 일반 사용자(비루트)로 실행됩니다.
  • Veeam Immureposvc 서비스는 백업 파일에 대해 변경 불가 플래그를 설정하고, 변경 불가 기한을 모니터링하며, 만료되면 변경 불가 플래그를 제거합니다.

일회용 자격 증명은 Veeam 백업 서버에서 Linux 강화된 리포지토리를 처음 구성하는 데 사용됩니다. 이 자격 증명은 Veeam에 저장되지 않습니다. 초기 구성 중에 Veeam 백업 서버와 Veeam 전송 서비스 간에 인증서 기반 인증이 설정됩니다.

초기 구성 후에는 Veeam 작업에 보안 셸(SSH) 액세스가 필요하지 않습니다. 그러나 모든 콘솔 액세스가 서버 IPMI 포트를 통해 이루어지지 않는 한 서버 업데이트 및 기타 유지 관리 작업에는 필요합니다.

초기 구성 중에 최근 백업을 x일 동안 변경 불가능하게 설정하기이 설정되면 이 리포지토리에 호환되는 모든 새 백업은 최소 x 일 수만큼 변경할 수 없게 됩니다. 불변 시간은 더 길어질 수 있습니다. 예를 들어, 백업 체인의 초기 증분 백업은 더 오랫동안 변경할 수 없습니다. 이 작업은 증분 백업 파일이 백업 체인에서 서로 의존하기 때문에 전체 백업 체인이 동일한 불변 시간을 갖도록 합니다.

백업 또는 복원이 실행되지 않는 경우, Linux 강화된 리포지토리에서 TCP 6162 인바운드 포트만 열어서 Veeam 전송 서비스가 다른 Veeam 구성 요소와 통신할 수 있도록 합니다.

ufw status
Status: active
To                         Action      From
--                         ------      ----
6162/tcp                   ALLOW       10.38.207.157              # Allow Veeam Mgmt from Veeam BUR server
6162/tcp                   ALLOW OUT   Anywhere                   # Veeam transport rule

Veeam 전송 서비스는 TCP 2500 - 3300과 같은 추가 포트를 일시적으로 개방합니다. 이 작업을 통해 백업 및 복원 프로세스 중에 프록시 서버에서 데이터를 수신할 수 있습니다.

ufw status
Status: active
To                         Action      From
--                         ------      ----
6162/tcp                   ALLOW       10.38.207.157              # Allow Veeam Mgmt from Veeam BUR server
2500/tcp                   ALLOW       Anywhere                   # Veeam rule 876f0752-7209-4e8b-8b34-fa0af7dbced4
2501/tcp                   ALLOW       Anywhere                   # Veeam rule 876f0752-7209-4e8b-8b34-fa0af7dbced4
6162/tcp                   ALLOW OUT   Anywhere                   # Veeam transport rule
2500/tcp                   ALLOW OUT   Anywhere                   # Veeam rule 876f0752-7209-4e8b-8b34-fa0af7dbced4
2501/tcp                   ALLOW OUT   Anywhere                   # Veeam rule 876f0752-7209-4e8b-8b34-fa0af7dbced4

caption-side=bottom"
빔

강화된 리포지토리에 대한 모범 사례 Linux

컴플라이언스 평가 보고서(코하셋 제공)에는 다음 규정을 준수하기 위해 구성해야 하는 설정에 대해 설명되어 있습니다:

  • FINRA 규정 4511.
  • SEC 규칙 17a-4(f).
  • CFTC 규정 1.31 (c)-(d).

이전 평가 보고서에서는 강화된 리포지토리에 대한 모범 사례로 다음 세부 사항을 고려했습니다(Linux):

  • 강화된 리포지토리는 독립 또는 스케일아웃 백업 리포지토리가 될 수 있습니다. SEC 17a-4(f)를 준수하기 위해 변경 불가능한 백업 파일을 보관하는 리포지토리는 독립 실행형 백업 리포지토리로 구성해야 하며, Veeam Scale-Out 백업 리포지토리는 이 규칙을 준수하지 않습니다.
  • 리포지토리의 이름 및 설명 속성에 Linux 강화된 리포지토리 기능이 활성화된 경우 "불변"이라는 단어를 포함하는 것이 좋습니다.
  • 시스템 시간 시계를 가속화하여 발생할 수 있는 백업 파일의 조기 삭제 가능성을 방지하려면 Linux OS를 안전한 시간 소스와 동기화하도록 구성해야 합니다. 예를 들어, 네트워크 시간 프로토콜(NTP) 시계가 있습니다.
  • Linux 강화된 리포지토리의 관리를 백업 관리자가 아닌 다른 팀에 할당하여 업무 분장을 보장합니다.
  • 성능 및 공간 효율성(블록 복제 지원)을 위해 Veeam은 XFS를 권장합니다.
  • 합성 또는 활성 전체가 포함된 순방향 증분 백업 작업 구성만 지원됩니다. 합성 전체로 순방향 증분은 기본 백업 작업 설정입니다.
  • 백업 복사 작업의 경우 GFS를 사용하도록 설정해야 합니다.
  • 백업 파일의 암호화는 다음과 같이 사용할 수 있습니다:
    • 백업 작업에서 구성한 경우, Veeam 백업 및 복제는 256비트 AES 블록 암호화를 사용할 수 있습니다.
    • 전송 중인 데이터의 경우 글로벌 네트워크 트래픽 규칙을 구성하여 모든 트래픽이 256비트 AES 암호화를 통해 암호화되도록 할 수 있습니다. 활성화와 두 개의 백업 인프라 구성 요소가 통신해야 하는 경우 백업 서버에서 동적 키를 생성하여 보안 채널을 통해 각 노드에 전달합니다. 두 구성 요소는 이 키를 사용하여 서로 간에 암호화된 연결을 설정합니다. 해당 세션의 이 두 구성 요소 간의 모든 통신은 이 키를 사용하여 암호화됩니다. 키는 한 번만 사용할 수 있으며 세션이 완료되면 폐기됩니다.