Veeam Linux強化儲存庫
不可變備份和隔離復原環境解決方案架構中的關鍵解決方案元件是Linux®強化儲存庫。
為了防止備份受到攻擊,Veeam® Backup and Replication 提供了Linux強化儲存庫功能,使備份在所需的天數內不可變。 此操作可以防止勒索軟體和駭客等威脅。
Veeam Linux強化儲存庫功能使用Linux作業系統中的不變性功能。 為每個備份檔案設定不變性檔案屬性,這保證了檔案的內容。 其關聯的元資料將保留為不可重寫和不可擦除,直到應用的「不可變截止日期」到期為止。
僅以下兩個 Veeam 服務在Linux強化儲存庫伺服器上執行:
- Veeam 傳輸服務接收備份資料並指示 Veeam Immureposvc 服務設定不可變截止日期。 該服務以普通用戶(非 root)身份運行。
- Veeam Immureposvc 服務為備份檔案設定不可變標誌,監控不可變截止日期,並在不可變標誌過期時刪除該標誌。
Veeam 備份伺服器使用一次性憑證來初始設定Linux強化儲存庫。 Veeam 不儲存此憑證。 在初始設定期間,Veeam 備份伺服器和 Veeam 傳輸服務之間建立基於憑證的驗證。
初始配置後,Veeam 操作不需要安全外殼 (SSH) 存取。 但是,伺服器更新和其他維護任務需要它,除非所有控制台存取都是透過伺服器 IPMI 連接埠完成的。
在初始配置期間,當設定 「使最近備份在 x 天內不可變」 時,此儲存庫的所有相容新備份將在至少_x 天_數內變得不可變。 不可變的時間可以更長。 例如,備份鏈中較早的增量備份在較長時間內是不可變的。 此操作可確保整個備份鏈具有相同的不可變時間,因為增量備份檔案在備份鏈中相互依賴。
當不執行備份或復原時,僅在Linux強化儲存庫上開啟 TCP 6162 入站端口,以允許 Veeam 傳輸服務與其他 Veeam 元件進行通訊。
ufw status
Status: active
To Action From
-- ------ ----
6162/tcp ALLOW 10.38.207.157 # Allow Veeam Mgmt from Veeam BUR server
6162/tcp ALLOW OUT Anywhere # Veeam transport rule
Veeam Transport Service 暫時開啟額外端口,例如 TCP 2500 - 3300。 此操作允許在備份和復原過程中從代理伺服器接收資料。
ufw status
Status: active
To Action From
-- ------ ----
6162/tcp ALLOW 10.38.207.157 # Allow Veeam Mgmt from Veeam BUR server
2500/tcp ALLOW Anywhere # Veeam rule 876f0752-7209-4e8b-8b34-fa0af7dbced4
2501/tcp ALLOW Anywhere # Veeam rule 876f0752-7209-4e8b-8b34-fa0af7dbced4
6162/tcp ALLOW OUT Anywhere # Veeam transport rule
2500/tcp ALLOW OUT Anywhere # Veeam rule 876f0752-7209-4e8b-8b34-fa0af7dbced4
2501/tcp ALLOW OUT Anywhere # Veeam rule 876f0752-7209-4e8b-8b34-fa0af7dbced4
Linux強化儲存庫的最佳實踐
合規性評估報告(由 Cohasset 提供)描述了必須配置為符合以下法規的設定:
- FINRA 規則 4511。
- SEC 規則17a-4(f )。
- CFTC 規則 1.31 (c)-(d)。
先前的評估報告將以下細節視為Linux強化儲存庫的最佳實踐:
- Linux強化儲存庫可以是獨立的或橫向擴充的備份儲存庫。 保留不可變備份檔案以符合 SEC 17a-4(f ) 的儲存庫必須配置為獨立備份儲存庫,因為 Veeam 橫向擴充備份儲存庫不符合此規則。
- 當啟用Linux強化儲存庫功能時,建議儲存庫的名稱和描述屬性包含「不可變」一詞。
- 為了防止因加速系統時鐘而導致備份檔案過早刪除的可能性,Linux作業系統必須配置為與安全時間來源同步。 例如,使用網路時間協定 (NTP) 時脈。
- 透過將Linux強化儲存庫的管理分配給備份管理員以外的團隊來確保職責分離。
- 出於性能和空間效率原因(區塊克隆支援),Veeam 建議使用 XFS。
- 僅支援具有前向增量和合成或主動完整的備份作業配置。 正向增量和合成完整是預設備份作業設定。
- 對於備份複製作業,必須啟用 GFS。
- 備份檔案的加密方式如下:
- 在備份作業中設定時,Veeam Backup and Replication 可以使用 256 位元 AES 區塊密碼加密。
- 對於傳輸中的數據,可以設定全域網路流量規則,使所有流量都透過 256 位元 AES 加密進行加密。 當啟用和兩個備份基礎設施元件需要通訊時,備援伺服器會產生動態金鑰並透過安全通道傳送到每個節點。 兩個元件使用此金鑰在彼此之間建立加密連線。 該會話的這兩個元件之間的所有通訊均使用此金鑰進行加密。 該密鑰是一次性使用的,會話完成後將被丟棄。