In questo post andiamo a descrivere in maniera generale le nuove e principali funzionalità dell’ultima versione Veeam Data Platform 12.1.
Senza dubbio, la principale abilità aggiunta al motore del software è la Malware Detection, ovvero la capacità di individuare ed identificare i cyber attacchi, sfruttando tre nuove tecnologie:
Inline malware detection: basata su metodi di ML (Machine Learning), effettua un’analisi in tempo reale e a basso impatto del flusso di backup per individuare possibili attività di criptazione in atto sui dati
Suspicious file system activity detection: ricerca, tramite l’indicizzazione del file system guest, file sospetti, come estensioni di malware conosciute, ransom notes, ecc..; analizza inoltre attività del file system, comparando gli indici precedenti allo scopo di individuare modifiche sospette, come ad esempio sul numero e la tipologia dei file presenti
Early threat detection: sfrutta le Veeam Incident API per ricevere da EDR/XDR notifiche su possibili infezioni in atto nei server della nostra infrastruttura; questo consente a Veeam B&R di marcare i corrispondenti successivi backup come compromessi; è possibile inoltre attivare un backup automatico sul server infetto come risposta a questo evento, in modo tale da cercare di mettere al sicuro più file possibili prima che l’attività di criptazione venga completata
Il secondo importante aspetto riguarda la capacità di rispondere ad un possibile attacco malware in maniera più rapida ed efficiente. Le funzionalità in grado di svolgere questa importante innovazione sono:
Scan backups with YARA: oltre al classico scan con antivirus, in questa versione Veeam ha introdotto la possibilità, per effettuare i controlli in fase di restore, di ultilizzare anche le YARA rule, parti di codice basati su pattern specifici a seconda del tipo di ricerca o dei file che si vogliono trovare (ad esempio per una particolare famiglia di malware); lo scan è ora in grado di ricercare più rapidamente, in maniera sequenziale o binaria, un file di backup non infetto, velocizzando le operazioni di restore a seguito di un attacco; è possibile inoltre utilizzare job di SureBackup in modalità only scan (senza Virtual Lab)
Avoid reinfection with threat tracking: in questa nuova versione, il software è in grado di individuare e tenere traccia di quali sono i potenziali backup infetti, in modo da evitare eventuali restore di file già compromessi; in caso di falsi positivi, è possibile settare manualmente una esclusione
Event forwarding: con l’introduzione del supporto di Syslog, Veeam è in grado di inviare qualsiasi evento ad un SIEM di nostra scelta, in modo tale da attivare meccanismi di reazione a determinati incidenti di sicurezza registrati dal software
Infine, è stata migliorata la sicurezza e la compliance di determinate operazioni.
Four-eyes authorization: impostazione che attiva un doppio controllo su particolari operazioni sensibili, come ad esempio la cancellazione di un backup, di un repository o l’aggiunta di un nuovo Veeam Administrator, permettendo di limitare gli errori accidentali o i tentativi di compromissione da parte di un utente malevolo; nello specifico, quando un admin effettua una di queste operazioni, è richiesta l’approvazione di un secondo admin entro un lasso di tempo configurabile, scaduto il quale la richiesta viene rigettata
Key Management Server (KMS) integration: grazie all’integrazione con KMIP (Key Management Interoperability Protocol), è ora possibile utilizzare un qualunque KMS supportato per effettuare la rotazione automatica delle chiavi di encryption
Security and compliance analyzer : tool integrato nella VBR console, consente di verificare in maniera manuale o schedulata la compliance a specifiche baseline di sicurezza della nostra infrastruttura di backup, assicurando che siano applicate le varie best practice del software; è stato migliorato rispetto alla v12, introducendo numerosi controlli in più, e attivando la possibilità di schedulare un report ed inviarlo tramite email
Veeam Threat Center: una specifica dashboard di Veeam ONE è ora integrata nella VBR console, e consente di mettere in evidenza gli eventi malevoli identificati, i possibili rischi e punti critici, nonché uno score sullo stato generale della nostra infrastruttura di backup basato sull’implementazione delle varie best practices consigliate dal software
Altre importanti funzionalità sono:
Backup di object storage: grazie ad una architettura storage-agnostica, è stata introdotta la possibilità di effettuare il backup di sorgenti di tipo object storage, proteggendo i dati dei nostri bucket, siano essi on-prem o in cloud
Sviluppo del motore CDP: la Veeam Continous Data Protection, che consente di ottenere gli RPO più piccoli per i nostri backup, è stata migliorata sia in termini di funzionalità (4x numero di VM-vDisk supportati) che di efficienza (ridotto di 2x i requisiti computazionali); introdotta inoltre la possibilità di effettuare test di failover senza interrompere le attuali repliche
Veeam AI assistant: ecco all’interno della VBR console il nostro “assistente personale” basato su modello OpenAI, che può essere utilizzato, grazie al suo apprendimento della documentazione ufficiale Veeam, per aiuti e consigli sulla nostra infrastruttura di backup
Appena possibile, in futuri post si andranno ad approfondire singolarmente alcune di queste nuove funzionalità.
Per i dettagli di tutte le numerosissime feature introdotte con la Veeam Data Platform 12.1 vi rimando al seguente documento ufficiale.
https://www.veeam.com/veeam_backup_12_1_whats_new_wn.pdf
Buon lavoro! 💚