Arquitetura de rede de ambiente de recuperação isolado

Nessas arquiteturas de soluções, um ambiente de simulação é definido como um ambiente de rede isolado no qual cópias de backups podem ser acessadas ou usadas para iniciar máquinas virtuais (VMs). Eles são isolados do ambiente de produção para que endereços de IP duplicados causados por VMs com os mesmos endereços IP não entrem em conflito ou que VMs recuperadas interajam com VMs de produção.

Embora o Veeam® DataLabs ativa o conceito de ambiente de simulação, ele ainda não é ativado para ambientes VMware NSX-T™ pois não permite o mapeamento de segmentos NSX-T para segmentos isolados. Por isso, essas arquiteturas de soluções ativam um ambiente de simulação com o uso das tecnologias Veeam e VMware NSX-T:

• Serviço Veeam vPower NFS - permite o início de VMs diretamente dos arquivos de backup.
• API de integração de dados Veeam - ativa a montagem dos arquivos de backup em um sistema de arquivos.
• Segmentos de sobreposição do NSX-T - permite que VMs sejam conectadas a redes virtuais abstraídas de redes físicas.
• T1 NSX-T - fornece recursos de firewall de roteamento e gateway.
• Firewall distribuído NSX-T - o firewall distribuído ativa o recurso de firewall no tráfego leste-oeste nas VMs.

O ambiente de recuperação isolado também usa os appliances vSRX que estão hospedados em um cluster de gateway junto com uma VM de gerenciamento para fornecer um ambiente com cobertura de ar. Em operação normal, o único tráfego de entrada limita-se a acessar as VMs na zona DMZ.

O diagrama anterior mostra as redes associadas a um cluster consolidado da instância VMware Cloud Foundation for Classic - Automated que é usada para um ambiente de recuperação isolado. A ordem do cliente é:

• Uma instância de rede privada somente VCF for Classic - Automated com cluster de gateway e firewalls Juniper® vSRX.
• O serviço Veeam em um servidor bare metal.
• Um servidor bare metal que executa o Ubuntu 20.04 LTS.

Quando o IaaS é provisionado, o cliente:

• Exclui os segmentos de amostra que foram criados durante o processo de fornecimento.
• Mantém as cargas de trabalho T0 e T1.
• Não muda para os serviços T0.
• Cria um segmento DMZ e provisiona vários hosts Microsoft® Windows® Jump e hosts de bastion Linux®. Essas ações proporcionam à equipe cibernética o acesso ao ambiente enquanto fornece isolamento.
• Configura o vSRX:
  • Serviços do sistema e acesso de administrador local.
  • Serviços de gerenciamento, como NTP, DNS, SNMP e syslog.
  • Interfaces e zonas.
  • Livros de endereços, serviços e políticas de segurança.
  • NAT, roteamento e VPN.
• Associa e roteia, por meio das VLANs da instância VCF for Classic - Automated, os dispositivos de gateway IBM Cloud®, que são os hosts ESXi no cluster de gateway.

As políticas de segurança vSRX permitem os objetivos que estão listados na tabela a seguir:

• TCP-9392 - Número da porta TCP usada pelo console remoto Veeam para acessar o servidor Veeam.
• Nessa arquitetura de solução, os proxies de backup do Veeam são Linux. Portanto, as etapas a seguir são necessárias:
  • Servidor de backup para proxies, como SSH, TCP-6162 (porta do Veeam Data Mover) e TCP-2500 a 3300 (canais de transmissão de dados da Veeam).
  • Proxy para servidor de backup, tais como TCP-2500 a 3300 (canais de transmissão de dados do Veeam).
• O acesso do servidor de backup Veeam a um vCenter de recuperação isolado e aos hosts é feito por meio de redes conectadas.
• O acesso do servidor de backup Veeam ao repositório Linux Hardened é feito por meio da rede conectada.
• A regra Allow proxy access to Linux hardened repository pode ser alternada entre "Allow" (Permitir) e "Deny" (Negar) para facilitar o espaço aéreo.
• Se o NFS for usado, então essa ação ignorará o vSRX porque a VLAN de armazenamento não está associada aos dispositivos de gateway da IBM Cloud que hospedam os dispositivos vSRX.
• Se a regra Permitir acesso entre sub-redes VCF for Classic - Automated precisar ser bloqueada ainda mais, para obter mais informações, consulte Portas usadas por VMware Solutions.
• Se a criptografia for usada, então o vCenter precisará de acesso ao serviço KMIP. Este serviço é acessado por meio da rede de serviços de terminais 166.8.0.0/14 da IBM Cloud.
• Se forem necessárias operações automatizadas do Dia 2 na instância VCF for Classic - Automated, para obter mais informações, consulte Portas usadas para implementação e operações do Dia 2.

Para ativar o isolamento físico, o cliente:

• Cria um T1 chamado Cyber-Tools-T1 e o vincula à carga de trabalho T0. O site Cyber-T1 está configurado para anunciar segmentos conectados. Esta ação permite o roteamento do tráfego para e a partir de VMs em segmentos conectados.
• Cria um segmento para suas VMs de gerenciamento.
• Cria uma VM de gerenciamento que executa Linux e Ansible. A VM de gerenciamento muda a política de segurança nos dispositivos vSRX nos horários necessários.
• Usa uma tarefa cron no servidor de automação para planejar a execução de um playbook Ansible que muda a regra do firewall de entrada de "Negar" para "Permitir". Após a janela de backup, o cliente muda a regra do firewall de entrada de "Permitir" para "Negar".

Para ativar o backup cibernético do ambiente de produção, o cliente:

• Segue as tarefas de pré-requisito no servidor bare metal para preparar o servidor para sua função como um repositório Linux Hardened.
• Utiliza o servidor de backup Veeam que é ativado pelo repositório Linux Hardened.
• Remove o vCenter de ambiente de recuperação isolado da configuração do servidor de backup Veeam.
• Inclui o vCenter de produção na configuração do servidor de backup do Veeam.
• Cria e implementa os servidores proxy Veeam VMware para o ambiente de produção.
• Cria tarefas de backup cibernético para as VMs de produção necessárias.

Para ativar tarefas cibernéticas nos backups cibernéticos, como varredura de arquivos de backup para malware e recuperação de VMs de backups em redes isoladas, o cliente:

• Cria um segmento para seus conjuntos de ferramentas cibernéticas, que incluem os scanners de malware.
• Cria um T1 chamado Isolated-NW-T1 e o vincula à carga de trabalho T0. O Isolated-NW-T1 está configurado para anunciar apenas todos os endereços IP NAT. Esta ação impede a divulgação dos segmentos conectados e divulga apenas os endereços IP NAT dos segmentos.
• Cria os dois grupos de firewall distribuídos a seguir:
  • Nome: Cyber-Tools-Segments, Categoria: Segmentos, Membros: cybertools
  • Nome: Cyber-Isolated-Segments, Critérios: Tag de Segmento igual a Isolated-Segments, Escopo: Cyber
• Cria uma política de firewall distribuído que é denominada Cyber-Isolated, que contém as seguintes regras para satisfazer seus requisitos de isolamento:

Quando um ambiente de simulação é necessário, o cliente usa sua ferramenta de script preferencial para automaticamente:

• Criar segmentos lógicos conectados ao Isolated-NW-T1 usando o endereço IP do gateway padrão dessa rede na T1. No diagrama a seguir, é possível ver os dois segmentos Isolated-NW2 e Isolated-NW3 com sub-redes que correspondem a NW2 e a NW3. Esses segmentos são criados com tags e escopos, como Escopo: Cyber e Tag: Isolated-Segments. Essas tags e escopo são usados nos grupos e regras de firewall distribuído que estão listados na tabela anterior.
• Criar regras NAT de destino que mapeiam sub-redes de destino para sub-redes convertidas para pacotes de IP com um endereço de origem do segmento de ferramentas cibernéticas. Por exemplo, Src=172.16.67.2->Dst=172.16.68.2 => Src=172.16.67.2->Dst=172.16.253.2.

O fluxo de tráfego necessário é mostrado no diagrama a seguir, em que:

• Verde designa fluxo de tráfego permitido.
• Vermelho designa fluxo de tráfego negado.