IBM Cloud Docs
VeeamLinux加固存储库

VeeamLinux加固存储库

不可变备份和隔离恢复环境解决方案架构的关键解决方案组件是Linux®加固存储库。

为防止对备份的攻击,Veeam® Backup and Replication 提供Linux加固存储库功能,使备份在规定天数内不可更改。 该操作可防止勒索软件和黑客等威胁。

Linux hardened repository
Linux hardened repository

Veeam Linux加固存储库功能使用了Linux操作系统中的不变性功能。 为每个备份文件设置不变性文件属性,以确保文件内容。 其相关元数据将作为不可重写和不可擦除数据保留,直到应用的“不可变直至日期”到期。

只有以下两个 Veeam 服务在 Linux 加固版本库服务器上运行:

  • Veeam Transport 服务接收备份数据,并指示 Veeam Immureposvc 服务设置“不可变直至日期”。 该服务以普通用户(非 root)身份运行。
  • Veeam Immureposvc 服务为备份文件设置不可变标记,监控“不可变日期”,并在不可变标记过期时将其移除。

Veeam 备份服务器使用一次性凭证来初始配置 Linux加固存储库。 Veeam 不会存储此凭证。 在初始配置期间,将在 Veeam 备份服务器和 Veeam 传输服务之间建立基于证书的身份验证。

初始配置后,Veeam 操作不再需要安全外壳 (SSH) 访问。 不过,除非所有控制台访问都通过服务器 IPMI 端口完成,否则服务器更新和其他维护任务都需要它。

在初始配置期间,当设置 Make recent backup immutable for x days 时,该版本库中所有兼容的新备份都将至少在 x 天内不可更改。 不变的时间可以更长。 例如,备份链中较早的增量备份不可更改的时间更长。 此操作可确保整个备份链具有相同的不可更改时间,因为增量备份文件在备份链中相互依赖。

当不运行备份或还原时,Linux加固存储库上仅打开 TCP 6162 入站端口,以允许 Veeam Transport Service 与其他 Veeam 组件通信。

ufw status
Status: active
To                         Action      From
--                         ------      ----
6162/tcp                   ALLOW       10.38.207.157              # Allow Veeam Mgmt from Veeam BUR server
6162/tcp                   ALLOW OUT   Anywhere                   # Veeam transport rule

Veeam Transport Service 会临时打开额外的端口,如 TCP 2500 - 3300。 此操作允许在备份和还原过程中从代理服务器接收数据。

ufw status
Status: active
To                         Action      From
--                         ------      ----
6162/tcp                   ALLOW       10.38.207.157              # Allow Veeam Mgmt from Veeam BUR server
2500/tcp                   ALLOW       Anywhere                   # Veeam rule 876f0752-7209-4e8b-8b34-fa0af7dbced4
2501/tcp                   ALLOW       Anywhere                   # Veeam rule 876f0752-7209-4e8b-8b34-fa0af7dbced4
6162/tcp                   ALLOW OUT   Anywhere                   # Veeam transport rule
2500/tcp                   ALLOW OUT   Anywhere                   # Veeam rule 876f0752-7209-4e8b-8b34-fa0af7dbced4
2501/tcp                   ALLOW OUT   Anywhere                   # Veeam rule 876f0752-7209-4e8b-8b34-fa0af7dbced4

Veeam备份
Veeam
*

Linux加固版本库的最佳实践

合规性评估报告(由 Cohasset 提供)介绍了必须配置的设置,以符合以下规定:

  • 美国金融业监管局第 4511 条规则。
  • 美国证券交易委员会规则17a-4(f)。
  • CFTC 规则 1.31 (c)-(d)。

上一份评估报告将以下细节视为Linux加固存储库的最佳实践:

  • Linux加固存储库可以是一个独立的备份库,也可以是一个扩展备份库。 为符合 SEC 17a-4(f)而保留不可变备份文件的存储库必须配置为独立备份存储库,因为 Veeam Scale-Out 备份存储库不符合此规则。
  • 当启用 Linux 加固版本库功能时,建议版本库的名称和描述属性包含“不可变”字样。
  • 为防止因加速系统时钟而导致备份文件过早删除,Linux操作系统必须配置为与安全时间源同步。 例如,使用网络时间协议(NTP)时钟。
  • 将Linux加固存储库的管理分配给备份管理员以外的团队,确保职责分离。
  • 出于性能和空间效率的考虑(支持块克隆),Veeam 推荐使用 XFS。
  • 只支持带合成或主动完全的前向增量备份作业配置。 合成完整的前向增量是默认的备份工作设置。
  • 对于备份复制工作,必须启用 GFS。
  • 备份文件的加密方式如下:
    • 在备份作业中配置时,Veeam Backup and Replication 可使用 256 位 AES 块加密。
    • 对于传输中的数据,可配置全局网络流量规则,使所有流量都能通过 256 位 AES 加密。 当启用和两个备份基础设施组件需要通信时,备份服务器会生成一个动态密钥,并通过安全通道传送到每个节点。 两个组件使用该密钥建立加密连接。 该会话中这两个组件之间的所有通信都使用该密钥加密。 密钥只有一次使用权,会话结束后就会被丢弃。