Autore: BAdmin

Veeam 12.3 – Security Features Recap & Tips

Posted on by BAdmin

INTRODUZIONE

Il tema della sicurezza è ormai all’ordine del giorno per noi addetti ai lavori del mondo IT: le notizie di attacchi hacker, data breach, e richieste di riscatto non sono più una novità, ma rappresentano purtroppo la quotidianità.

💡: per rimanere sempre aggiornati sugli ultimi attacchi ransomware nel mondo ed esplorare tanti altri approfondimenti sul tema suggerisco di dare un’occhiata al sito Ransomware Live

In questo scenario, Veeam Data Platform 12.3 ci aiuta a proteggere i nostri dati e a ridurre gli impatti di un cyberattacco.

Andiamo a scoprire quali sono tutte le funzionalità orientate alla sicurezza integrate nel software.

SECURITY FEATURES

L’ultima versione Veeam 12.3 porta con se numerose funzionalità di sicurezza introdotte e migliorate gradualmente in questi anni dall’azienda americana leader nella Data Protection.

Security and Compliance Analyzer

Un tool integrato nella console di VBR analizza alcune configurazioni dei componenti dell’infrastruttura di backup verificando la compliance alle best practice di sicurezza suggerite

Alcuni esempi: disabilitazione di protocolli obsoleti/vulnerabili, presenza di repository hardened/immutabili, regola del 3-2-1, complessità della password di encryption, presenza delle ultime patch disponibili

💡: è possibile schedulare lo scan automatico ed inviarlo via email

Malware detection

Il vero motore della cybersecurity integrata in Veeam 12.3, comprende le seguenti funzionalità:

1) guest index data scan

Supportato per backup di VMWare, Hyper-V, Nutanix e Veeam Agent for Windows, consente di effettuare lo scan degli indici di un file system (previa abilitazione dell’opzione “guest file system indexing” sul job di backup) e di segnalare con un evento specifico nella VBR console eventuali file/estensioni sospette.

Questa funzionalità è gestita dal Veeam Data Analyzer Service, che al termine di ogni backup compara il contenuto dell’indexing con il file “SuspiciousFiles.xml“, dov’è contenuta appunto una lista (customizzabile) dei file e delle estensioni sospette.

💡: per backup server che hanno la navigazione verso internet bloccata anche verso gli indirizzi Veeam, è possibile aggiornare manualmente l’elenco dei file sospetti scaricando il file “SuspiciousFiles.xml” seguendo questa KB


Questo file xml contiene anche un elenco degli IoC (Indicators of Compromise) selezionati dalla matrice sviluppata dal MITRE ATT&CK, ovvero file non malevoli ma che possono indicare la presenza di attività sospette in corso. In questo caso, il Veeam Data Analyzer Service compara il file di indexing degli ultimi due restore point (creati a distanza di almeno 25 ore e massimo 30 giorni), andando a cercare appunto eventuali indicatori di compromissione. È possibile anche qui scegliere quali IoC predefiniti monitorare e quali no.

Altra funzionalità gestita sempre dal Veeam Data Analyzer Service è quella che identifica eventuali cancellazioni multiple di file: comparando il file di indexing degli ultimi due restore point (creati in una finestra temporale di 25 ore e massimo 30 giorni), se sono presenti almeno 100 file di una specifica estensione e nell’ultimo restore point ne risultano eliminati più del 50% del totale viene creato un evento di malware detection. Le estensioni vengono registrate nel file “TrackedFiles.xml”, che può essere customizzato modificando i parametri di “Thresholdpercent” e “Thresholdfiles”, o anche aggiungendo estensioni specifiche o ignorando dei path del file system che non intendiamo monitorare.

Infine, con la stessa logica di comparazione degli indici di due restore point, viene anche identificata la presenza di Multiple Extension Changes; in base al verificarsi di determinate condizioni, questa volta non customizzabili, come almeno 200 file con nuova estensione e non presente nel SuspiciousFiles.xml, scaturisce un evento di malware detection.

💡: i log degli eventi di malware detection, oltre che nella sezione dedicata all’interno della VBR console, possono essere consultati nel percorso di default “C:\ProgramData\Veeam\Backup\Malware_Detection_Logs”

💡: bisogna inoltre considerare che di default i dati di indexing sono mantenuti nel Veeam Catalog per 14 giorni. Se si vuole incrementare questo valore, è possibile utilizzare il Veeam Enterprise Manager, che si occuperà di mantenere una copia extra del Catalog con durata configurabile

2) inline scan

Mentre le funzionalità appena descritte si basano sull’analisi post backup a livello di file system, l’inline scan agisce a livello di immagine/blocco durante un backup, individuando la possibile entropia generata da un malware, come file criptati o i cosiddetti artifact, file di testo che possono contenere onion links o ransomware notes.

Tecnicamente, durante ogni sessione di backup sul Veeam Proxy utilizzato vengono generati dei file in formato RIDX (un file per ogni virtual disk processato) contenenti i metadati del disco (disk name, creation time, disk size, used size, sector size, partition table) e i ransomware data (encrypted data, file types, onion addresses, ransomware notes). Al termine del backup, questi file vengono copiati nel VBR Catalog, e scansionati dal solito Veeam Data Analyzer Service, che salverà poi i risultati della sua analisi nel file RansomwareIndexAnalyzeState.xml. Al comparire di un nuovo restore point, il servizio compara il più recente e il più vecchio RIDX file (creati in una finestra temporale di 25 ore e massimo 30 giorni), andando ad aggiornare il file RansomwareIndexAnalyzeState.xml. Se viene individuato qualcosa di sospetto, viene creato un evento di malware detection e l’oggetto, la specifica virtual machine, marcato come suspicious.


💡: per verificare nel dettaglio quali file sono stati identificati come “encrypted data”, utilizzare il procedimento presente in questa KB

💡: la funzionalità di inline scan è disabilitata di default; in caso la si voglia abilitare, è necessario tenere presente che aumenta l’utilizzo di CPU dei proxy e della RAM/Disk space del VBR


3) scan backup – signature detection

Utilizzando questa funzionalità è possibile trovare un restore point pulito (non infetto da malware) o individuare informazioni specifiche, come ad esempio dati sensibili. Al momento è supportato lo scan solo di server Windows (VM o agent) tramite, appunto, un Veeam mount server Windows.

Gli engine utilizzabili per lo scan sono tre:

  • veeam threat hunter, servizio Veeam automaticamente installato sui mount server e che gira in background. Prima di ogni scan viene effettuato il check per eventuali update delle malware signature. 💡: è possibile impostare una chiave di registry per configurare le exclusion di file e cartelle dallo scan

  • 3rd party av, in alternativa al veeam threat hunter, è possibile utilizzare un antivirus di terze parti installato preventivamente sul mount server; è possibile trovare le informazioni sugli av predefiniti e aggiungerne di custom utilizzando il file “AntivirusInfos.xml” presente nel mount server.

  • yara rule: utilizzando file con una sintassi ben definita, è possibile ricercare restore point infetti o dati sensibili. Nel primo caso, se non viene trovato un restore point pulito viene generato un evento di malware detection.

Ogni volta che lo scan individua un restore point non pulito, questo viene marcato come infected. Se la sessione di scan trova almeno un restore point pulito, termina in “success”, in caso contrario in “failed”.

💡: è possibile fare il suppress della generazione dell’evento inserendo l’apposito tag “SuppressMalwareDetectionNotification” per una specifica regola all’interno del file yara: <rule SearchFileHash : SuppressMalwareDetectionNotification>

💡: i log completi dello scan si possono trovare nella directory “C:\ProgramData\Veeam\Backup\FLRSessions\Windows\FLR__<machinename>_\Antivirus” del mount server

Secure restore

Questa funzionalità consente di sfruttare gli engine di scan descritti sopra durante un restore.

Nello specifico sono supportati i seguenti scenari:

  • Instant Recovery
  • Virtual Disks Restore
  • Entire VM Restore
  • Restore to Microsoft Azure
  • Restore to Amazon EC2
  • Restore to Google Compute Engine
  • Disk Export

💡: è possibile schedulare lo scan automatico dei backup tramite lo SureBackup

💡: se avete VRO installato, potete sfruttare al massimo le funzionalità di restore automatizzato in un ambiente clean room

Incident API

Veeam non si limita a sfruttare le proprie funzionalità di malware detection, ma offre anche la possibilità di integrare tool di terze parti.

Grazie all’esposizione di specifiche REST API di Veeam, tool esterni di monitoraggio e analisi riescono ad automatizzare i processi di incident management e incident response fino a coinvolgere anche l’infrastruttura di backup.

Infatti, è possibile lanciare un quick backup automatico a seguito della ricezione di un evento esterno di threat detection.


Syslog integration

All’interno di Veeam è possibile configurare l’inoltro di eventi verso dei syslog esterni, seguendo lo standard RFC 5424.

È possibile escludere l’invio di determinati eventi, inserendoli manualmente nell’interfaccia o tramite file xml.

💡: l’elenco completo degli eventi gestiti da Veeam 12.3 potete trovarlo qui

💡: per configurazioni avanzate fare riferimento a questa KB


Analytics View – Veeam Threat Center


È possibile integrare all’interno della VBR console la vista di alcune dashboard di Veeam ONE, come ad esempio quella di Veeam Threat Center, che racchiude un insieme di informazioni sullo stato globale di security e compliance della nostra infrastruttura di backup.


Recon scanner

Questa funzionalità è una delle ultime arrivate in casa Veeam Data Platform, e si basa sulla tecnologia sviluppata da Coveware, azienda leader nella Cybersecurity Incident Response area acquisita da Veeam nell’aprile 2024.

Consiste nell’installazione di un agent negli ambienti VBR che colleziona continuamente dati al fine di identificare proattivamente possibili attività sospette o l’utilizzo di TTPs.

Ad ogni scansione completa del sistema, l’agent i risultati possono essere visualizzati direttamente nel portale Coveware dedicato.

💡: necessita della versione Veeam Data Platform Premium


External projects: Veeam decoy / Veeam vScan

È doveroso inoltre citare due progetti open source esterni, ma sempre gestiti dalla community di Veeam. Si tratta di Veeam Decoys e Veeam vScan, che ricadono sempre nell’ambito security.

Il primo è un sistema simula molteplici servizi Veeam e Windows, come i servizi di Veeam Backup Server, Veeam Hardened Repository, Veeam Windows Repository, Veeam Backup Enterprise Manager, ecc. .

Tutti i tentativi di connessione catturati, comprendenti informazioni come porta sorgente, ip sorgente o credenziali utilizzate, posso essere inviati ad un syslog centralizzato o tramite email.

Il secondo consente di effettuare dei vulnerability assessment su dati di backup esistenti, utilizzando i tool open source Trivy e Grype.


CONCLUSIONE

Insomma, come abbiamo visto le funzionalità di sicurezza presenti in Veeam Data Platform 12.3 sono numerose ed utili.

Aspettiamo ora di scoprire le novità delle prossime versioni! 💚

Veeam Vulnerability Scan Project

Posted on by BAdmin

Dopo il Veeam Decoy Project di qualche mese fa, ecco un altro interessantissimo tool sviluppato per la community Veeam.

Si tratta ancora una volta di un progetto open source in ambito security: integrato con Veeam Backup & Replication, consente di effettuare dei vulnerability assessment su dati di backup esistenti, utilizzando i tool open source Trivy e Grype.

La soluzione è stata pensata per aiutare a gestire situazioni come gli incident di sicurezza, durante le quali può essere richiesto di effettuare un restore di uno specifico server ad un determinato point in time. Grazie a vScan, è possibile analizzare tale backup e verificare quali vulnerabilità presenta a livello di OS (Linux only) prima di rimetterlo in produzione.

Cosa succederebbe, infatti, se un attaccante fosse ancora nella nostra rete pronto ad exploitare di nuovo i nostri sistemi?

Andiamo ad esplorare alcuni dettagli di questo tool.

Requisiti per l’installazione

  • OS (client): Windows 10+
  • CPU: 1 core
  • RAM: 512 MB
  • Disk: 500 MB
  • Software: VBR console e Veeam Powershell module
  • Veeam version: 12.x
  • Linux server for scan: Rocky Linux 9.x / Ubuntu 22.x
  • Backup support: vSphere VM, Linux OS
  • Credentials Linux Server for Scan: root or user with sudo
  • Ports: 9392, 22, 587
  • Internet Access

Potete scaricare il software dal seguente indirizzo: https://github.com/VeeamHub/veeam-vscan-security

Modalità di utilizzo

  • Aprire l’applicazione con diritti amministrativi
  • Nei settaggi, validare la presenza della VBR console e del modulo Powershell
  • Inserire le credenziali del VBR
  • Selezionare un linux scanner dall’elenco dei server presenti nel VBR o specificarne uno esterno
  • Testare e salvare la configurazione
  • Configurare i settaggi per le notifiche email (opzionale)
  • Selezionare server, disco e restore point del quale effettuare lo scan (è possibile effettuare selezioni multiple aggiungendo la “coda” di scan)
  • Effettuare l’operazione di mount del backup e selezionare un motore per lo scan
  • Analizzare o esportare i risultati generati

Riepilogo Funzionalità

  • Integrazione con Veeam Data Integration API
  • Integrazione con Security Scanner Trivy e Grype
  • Installazione automatica e update delle definizioni
  • Selezione granulare dei backup
  • Utilizzo di un linux server VBR managed o esterno per lo scan
  • Dashboard con trend di vulnerabilità e severity
  • Lista di vulnerabilità sincronizzata con Nist NVD e Github Advisory database
  • Verifica CVE contenute nel catalogo CISA Known Exploited Vulnerabilities
  • Tracciamento dello stato delle vulnerabilità rilevate
  • Possibilità di filtrare le vulnerabilità rilevate per severity, stato, nome server, ecc..
  • Export dei risultati in CVS/HTML
  • Notifiche via email
  • Connection status

Conclusione

Lo strumento è molto facile da configurare e utilizzare, la grafica è minimale ma accattivante. Questa versione supporta solo la scansione di macchine Linux su VMware, ma ci saranno sicuramente dei miglioramenti nelle versioni future.

Ovviamente questo tool non è da considerare come qualcosa per prevenire gli incident di sicurezza o da utilizzare in sostituzione dei più classici tool di vulnerability assessment su sistemi live di produzione.

Può essere invece catalogato, al fianco delle funzionalità di malware detection già incluse nelle ultime versioni di Veeam come Antivirus/YARA Scan e Veeam Threat Hunter, come un’arma in più per effettuare ulteriori verifiche sulla nostra ultima barriera di difesa, i dati di backup.

Buon lavoro! 💚

Veeam v13 – Requirements and Deprecated Features Preview

Posted on by BAdmin

INTRODUZIONE

Qualche giorno fa il product management di Veeam ha scelto di condividere in anteprima con gli utenti del forum R&D alcune informazioni utili circa la futura v13, in uscita nel secondo semestre di questo 2025.

Nello specifico, sono stati annunciati i system requirements e le funzionalità deprecate della prossima tanto attesa versione.

Andiamo a vedere nel dettaglio i punti più interessanti.

SYSTEM REQUIREMENTS

Per quanto riguarda i requisiti di sistema degli OS, è importante segnalare che non saranno più supportati sistemi operativi a 32 bit. Inoltre, saranno fuori anche gli OS più vecchi, come Windows Server 2008 e 2012, Debian 10, RHEL 7 e tra i sistemi client Windows 7 e 8, Mac OS 10. Fuori supporto ovviamente anche CentOS, ormai in End of Life.

Verificando gli hypervisor, troviamo anche qui delle importanti novità: per quanto riguarda Vmware, la minima versione supportata di vCenter/Esxi sarà la 7.0, per vCloud Director la 10.4; per Hyper-V andranno fuori supporto le versioni 2012 e 2012 R2, la versione minima supportata sarà la 2016; per Nutanix AHV invece servirà almeno la versione 6.8.

Andiamo ora a controllare le novità per le applicazioni: per quanto riguarda Microsoft, eliminato il supporto per i vecchi Exchange 2013, Sharepoint 2013, SQL server 2008; fuori supporto anche SAP HANA 1.0 .


Paragrafo a parte per i sistemi che fanno parte della infrastruttura di backup: qui i requirements sono ancora più stringenti, per garantire una maggiore sicurezza all’ambiente Veeam. Le minime versioni di OS supportati per l’installazione di Backup Server, Console e Enterprise Manager saranno Windows Server 2016 e Windows 11 22H2. Menzione speciale alla Rocky Linux 9.2 (managed by Veeam), grande futura novità di questa v13. Inoltre, se si sceglie il DB Microsoft SQL, la versione minima dovrà essere SQL Server 2016.

Per quanto riguarda il supporto degli storage primari, sarà eliminato il supporto per alcune famiglie e versioni più legacy, come ad esempio Dell VNX/VNX2/VNXe e Netapp ONTAP 7.

DEPRECATED AND DISCONTINUED FEATURES

Alcune funzionalità non saranno disponibile nelle nuove installazioni v13 e nei nuovi job creati in ambienti provenienti dalla v12. Saranno poi completamente rimosse a partire dalla v14, lasciando a tutti il tempo di adeguarsi a queste modifiche.

Tra quelle più importanti troviamo:

  • Reversed incremental backup mode
  • Retention su numero di restore point (sarà disponibile solo la retention time-based)
  • Non per-machine backup chains (saranno disponibili esclusivamente catene di backup di tipo per-machine)
  • Active Directory based authentication per i Veeam Cloud Connect tenants.
  • Veeam Backup Enterprise Manager – Cloud Connect Portal

Ci sono poi alcune funzionalità che saranno eliminate già a partire dalla v13, quindi se presenti non consentiranno di andare avanti con l’upgrade:

  • Jobs con backup metadata non ancora aggiornati al formato v12
  • Backup Copy jobs in legacy mode
  • Installazioni di Veeam Agent for Windows precedenti alla v6

CONCLUSIONE

A mio avviso, questa comunicazione è un’ottima cosa per noi utilizzatori del software, poichè ci consente di conoscere in anticipo questi due aspetti fondamentali per il futuro upgrade.

Come riportato in un precedente articolo, infatti, per pianificare al meglio l’aggiornamento del software è fondamentale verificare la matrice di compatibilità con i vari componenti che fanno parte della nostra infrastruttura.

Inoltre, conoscere le future funzionalità che saranno eliminate dal software ci permette di valutare potenziali criticità e mettere in campo le opportune modifiche prima dell’upgrade.

NB: il supporto alla v12 è stato prolungato di un anno (fino a febbraio 2027), per consentire anche a chi si trova a gestire infrastrutture più legacy di avere il tempo di aggiornare i sistemi necessari a soddisfare la futura matrice di compatibilità.

Enjoy! 💚

Veeam v13 – Technical Preview

Posted on by BAdmin


Come tutti sapete, durante lo scorso VeeamON 2024 è stato annunciata la tanto attesa versione Linux per l’installazione del Veeam Backup Server.

Chi come me ha la fortuna di far parte del programma Veeam100, in questi giorni sta avendo la possibilità di testare la prossima versione Veeam Data Platform v13.

Ovviamente si tratta di una Technical Preview, quindi la futura versione ufficiale, che sarà GA nel Q2 2025, potrebbe variare un pò per quando riguarda la user experience e le funzionalità implementate.

Bene, iniziamo a svelare qualche dettaglio!

Innanzitutto, la TP si presenta come un OVA installabile sul nostro hypervisor (ad esempio VMWare).

Secondo le informazioni attuali, in futuro dovrebbero esserci tre opzioni per l’installazione del software (Rocky) Linux-based:

  • Virtual Appliance (OVA/OVF)
  • Bootable ISO
  • Linux installation (rpm)

Le prime due opzioni sono ovviamente le più consigliate, perchè includono anche il sistema operativo e sono ottimizzate nonchè compliant con gli standard DISA-STIG e FIPS.
Una volta installato l’OVA, l’accesso sarà consentito solo con utenza non root.

Altra informazione, seguendo i principi di zero trust, anche i servizi del software sono associati ad account non privilegiati.

Per quanto riguarda la console, la grande novità riguarda la nuova colorata interfaccia web integrata nell’installazione Linux, che inizialmente andrà ad affiancare la classica VBR console.

Questa console molto probabilmente non avrà sin da subito tutte le funzionalità della console installata su Windows, ma è comunque un buon punto di partenza per andare a sostituire completamente la “sorella legacy”.

Una opzione secondo me molto interessante introdotta in questa nuova console, è la possibilità di gestire gli update del software in una sezione dedicata, il Veeam Updater.

Molto simile a quanto già accade nelle appliance dedicate al backup dei Public Cloud (Veeam for Azure/AWS/GCP), questa sezione consente l’aggiornamento personalizzato dei componenti, nonchè un settaggio per forzare l’appicazione automatica dei security update entro un certo numero di giorni dalla loro disponibilità.

Passiamo ora all’anteprima della VBR console Windows.

Possiamo notare una grafica più light e accattivante, con possibilità di attivare anche il tema dark mode.


Dal punto di vista delle nuove funzionalità, da segnalare la probabile introduzione di SAML authentication per l’integrazione con provider esterni e del ruolo Veeam Security Officer (ad oggi Veeam Security Administrator) per la gestione delle operazioni più sensibili.


Per il momento ci fermiamo qui, in attesa della versione beta e ovviamente della GA! 💚

Veeam Decoy Project

Posted on by BAdmin

Partiamo dall’inizio: security e backup.

Al giorno d’oggi , purtroppo, gli attacchi ransowmare sono in continua crescita, e difendersi è una sfida sempre più complessa.

Se prima i backup venivano considerati come un qualcosa di poco importante, magari utili solo in caso di eventuali danni agli storage, oggi sono diventati l’ultima frontiera per mettere in salvo i nostri dati.

Per questo motivo, uno dei principali obiettivi durante un cyber attacco è proprio l’infrastruttura di backup: se i threath actor riescono a metterla fuori gioco, la strada verso il pagamento di un riscatto sarà tutta in discesa.

Le notizie di collaborazioni e integrazioni di prodotti tra i grandi vendor di data protection e quelli di security sono ormai all’ordine del giorno, in ultimo quella tra Veeam e Palo Alto Network Cortex XSIAM/XSOAR.

Tutto questo ci fa capire quanto sia importante focalizzarsi sulla sicurezza di tutti i sistemi, comprese le infrastrutture di backup.

Una delle tante best practice consigliate da Veeam, ad esempio, è quella di cercare di rendere quanto più possibile anonimi i suoi componenti.

Assegnare ai server e ai repository di backup un nome non riconducibile al loro ruolo può essere un primo tentativo per evitare di rendere proprio tutto così facile ad eventuali malintenzionati.

Un altro metodo per cercare di identificare e magari di rallentare un attacco in corso consiste nell’utilizzo degli honeypot: trappole, esche utilizzate per attirare i threat actor e farli uscire allo scoperto.

L’honeypot è un componente che simula il sistema di produzione, magari con le stesse applicazioni, ma con dati non reali.

Nel caso di Veeam Data Platform, l’idea potrebbe essere quella di creare un VBR server aggiuntivo che funge da esca, magari con tanto di backup funzionanti.

Ovviamente questo potrebbe richiedere un effort non indifferente, perchè si dovrebbero utilizzare dei sistemi sacrificabili e non di produzione, con il solo scopo di attirare i malintenzionati e far si che i nostri software di anomaly detection rilevino i tentativi di instrusione o manomissione dell’honeypot.

Un’opzione più semplificata è quella sviluppata dal progetto open source Veeam Decoy.

Questo sistema simula molteplici servizi Veeam e Windows, come i servizi di Veeam Backup Server, Veeam Hardened Repository, Veeam Windows Repository, Veeam Backup Enterprise Manager, SSH, RDP, Netbios.

Supporta l’utilizzo di più schede di rete, per cui ogni servizio può essere a una determinata VLAN, in modo da essere pronto a scenari realistici di attacco con utilizzo di tattiche di lateral movement (TA0008).

Il sistema non riceve alcun traffico in ingresso, per cui ogni connessione riconducibile all’utilizzo di tattiche di discovery (TA0007) dovrebbe rappresentare un tentativo di intrusione.

Questo tool è scaricabile come appliance OVA (compatibile solo con vSphere 8.0) oppure installabile su una Rocky Linux minimal.

La console si presenta con una interfaccia molto semplice ma al tempo stesso completa, dove possiamo gestire lo stato dei servizi di decoy, le interfacce di rete associate e visualizzare in tempo reale porte in uso e log delle connessioni su ogni specifico servizio.


Tutti i tentativi di connessione catturati, comprendenti informazioni come porta sorgente, ip sorgente o credenziali utilizzate, posso essere inviati ad un syslog centralizzato o tramite email, in modo tale da attivare un alerting che può essere prontamente gestito da un SOC.


Certo, non ci aspettiamo che sia la nostra arma più efficace contro i cyber attacchi, ma in questa lotta tra i due mondi è pur sempre un’opzione in più! 💚

Veeam 12.2 – What’s New

Posted on by BAdmin

Nel corso di questa settimana è arrivata la notizia tanto attesa: Veeam 12.2 è finalmente disponibile per il download.

Come anticipato in questo articolo, sono molte le novità rispetto alla versione precedente.

Di seguito elenchiamo le principali:

  • supporto per Proxmox VE, con immutabilità sul backup e possibilità di restore VM cross-platform
  • sviluppo dell’integrazione con Nutanix, tra cui il supporto delle operazioni di backup tramite Prism Central con Veeam backup for Nutanix AHV 6
  • supporto per backup nativo di Mongo DB, uno dei più diffusi database NoSQL, compreso il classico explorer per i restore granulari
  • supporto completo di VMware vSphere 8.0 U3 e VMware Cloud Director 10.6
  • sviluppo delle integrazioni con IBM Db2 e SAP HANA
  • supporto per Amazon Redshift e Amazon Fsx
  • supporto per Microsoft Azure Data Lake e Cosmos DB

In aggiunta alle suddette novità, tra le funzionalità più interessanti migliorate troviamo:

  • supporto per offload diretto dal performance tier all’archive tier per tutti i tipi di repository presenti on-prem nel SOBR
  • CDP I/O Filter Cross Compatibility, per supportare anche versioni meno recenti (12.0 e 12.1)
  • Veeam App for Splunk, estensione che consente agli utenti del popolare software di monitorare lo stato dell’ambiente di backup Veeam
  • introduzione di due nuovi ruoli RBAC, Incident API Operator e Security Administrator
  • aggiunta di nuovi check sul Security & Compliance Analyzer
  • sure backup continuous schedule, selezionando finestre temporali specifiche
  • database authentication per Oracle RMAN Plugin
  • intelligent SOBR extent selection per backup di dati unstructured
  • immutable snapshots integration for HPE Storage Arrays

Per conoscere l’elenco completo di tutte le nuove feature, trovate qui il documento ufficiale del vendor.

Buon lavoro! 💚

CrowdStrike – Global Incident

Posted on by BAdmin

Lo scorso venerdì 19 luglio, la nota azienda software americana CrowdStrike ha provocato un crash su scala mondiale di computer con sistema operativo Windows, impattando sistemi critici di banche, ospedali, trasporti..con conseguente blocco temporaneo dell’operatività quotidiana.

La causa? Un aggiornamento errato della piattaforma AV/EDR Falcon Sensor, rilasciato come configuration update alle 04:09 UTC, che ha comportato il trigger di un errore logico sul OS con conseguente BSOD:

The content is a channel file located in the %WINDIR%\System32\drivers\CrowdStrike directory.

Channel file “C-00000291*.sys” with timestamp of 2024-07-19 0527 UTC or later is the reverted (good) version.

Channel file “C-00000291*.sys” with timestamp of 2024-07-19 0409 UTC is the problematic version.

Come dichiarato in una nota ufficiale dall’azienda https://www.crowdstrike.com/blog/falcon-update-for-windows-hosts-technical-details/, l’aggiornamento è stato corretto alle 05:27 UTC, ma ormai la diffusione del crash era globale.

L’azienda ha successivamente diffuso una procedura per identificare i client Windows coinvolti , nonché un piano di remediation, consigliando di effettuare un reboot ed acquisire la versione corretta del file. Altra possibilità è quella di seguire la procedura Microsoft per entrare in safe mode e cancellare il file incriminato, o in alternativa effettuare il restore del sistema (attenzione ad eventuale chiave Bitlocker presente).

EDIT: è stato rilasciato da Microsoft anche un recovery tool ufficiale per automatizzare il processo di remediation.

Il problema ha impattato non solo pc fisici, ma anche istanze Windows in cloud. Di seguito alcuni link ufficiali per la remediation, come ad esempio Azure e AWS.

In ogni caso, se le istanze problematiche sono protette con software di backup, è sempre possibile effettuare un restore alla versione valida più recente.


Questo evento ci ricorda come il mondo di oggi sia estremamente legato alla tecnologia, ed ai possibili errori umani che, se non limitati, possono portare a conseguenze disastrose.

VeeamON 2024 Recap

Posted on by BAdmin

INTRO

La scorsa settimana a Fort Lauderdale, in Florida, si è svolto il VeeamON 2024, come tutti gli anni l’evento più atteso e importante organizzato da Veeam Software.

Quest’anno l’evento è stato particolarmente ricco di annunci, e non sono mancate le sorprese.

Molte demo e sessioni tecniche, anche se non tutte disponibili per chi come me ha seguito tutto da remoto.

La visione di Veeam continua ad essere incentrata sulla resilienza del dato, grazie a 5 strategie principali: Data Backup, Data Freedom, Data Recovery, Data Security e Data Intelligence.

LE NOVITÀ

Iniziando ad approfondire il tema Data Backup, la parte core dedicata alla protezione e al salvataggio del dato, sono state presentate ufficialmente le nuove versioni di alcune soluzioni.

  • Oracle Linux Virtualization Manager (oVirt): già disponibile da qualche settimana il supporto nativo per OLVM, piattaforma di virtualizzazione basata su KVM
  • Proxmox VE: annunciata qualche settimana fa la compatibilità con questo virtualizzatore, durante il VeeamON 2024 è stata presentata la prima demo, con la soluzione Veeam che si preannuncia 3 volte più veloce della soluzione di backup nativa. L’uscita ufficiale è prevista per il prossimo Q3 2024
  • VBA v7: preannunciate alcune nuove funzionalità per la futura versione di Veeam Backup per Azure, tra cui l’introduzione del supporto per Cosmos DB
  • Veeam Backup for AWS v8: nuove features anche per la soluzione di backup del cloud Amazon, che introducono, ad esempio, il supporto per Redshift e FSx
  • VBM365 v8: molte novità anche per Veeam Backup for Microsoft 365, in uscita probabilmente il prossimo Q3 2024, tra le quali MFA for console, proxy pools, immutability for backup, restore operator audit in Veeam ONE
  • Veeam Backup for Salesforce v3: ulteriori funzionalità anche per questa soluzione, in cui sarà introdotto il supporto per data encryption, data archive e data pipeline
  • K10 v7: non poteva certo mancare una overview sulla nuova versione di Kasten, che include, tra le varie, il supporto per i FIPS-Enabled Clusters, per Azure Blob Immutability e per le VM su Openshift.

Passiamo ora alle sorprese, che come anticipato, non sono mancate. Tra le novità annunciate, spiccano senza ombra di dubbio:

  • VBR server su OS Linux a partire dalla v13, con le funzionalità specifiche di zero trust architecture nativa, e supporto per HA del Config DB, che aggiungerà quel livello di resilienza e di automatismo al software che ad oggi per certi versi mancava
  • Entra ID Backup, soluzione che sarà integrata in Veeam B&R, per proteggere i dati, come ad esempio utenti, gruppi e app registration, della soluzione cloud based di identity/access management di Microsoft (Q4 2024)
  • Mongo DB Plugin, che va ad incrementare il pacchetto di applicazioni enterprise supportate nativamente (Q3 2024)
  • Lenovo TruSacle Backup, che intregrerà Veeam Backup & Replication e Veeam ONE nelle soluzioni di Lenovo ThinkSystem per i backup on-premise

Come sappiamo, inoltre, Veeam ha recentemente espanso il proprio ventaglio di soluzioni introducendo dei servizi completamente SaaS, ulteriormente approfonditi in questi tre giorni di evento, tra cui:

  • Veeam Data Cloud for M365, soluzione preconfigurata per il backup di Microsoft 365, con un modello di costo prevedibile (per user/spazio illimitato)
  • Veeam Data Cloud for Azure, soluzione di backup per Microsoft Azure, nativa ed ottimizata
  • Veeam Vault,cloud storage completamente gestito, con tariffe flat/TB, incluso costi per api call ed eventuale traffico di uscita

Passiamo alle strategie Data Freedom e Data Recovery, ovvero l’abilità di Veeam di utilizzare il proprio formato per spostare un dato da una piattaforma verso un’altra, consentendo di bypassare il cosidetto “vendor lock-in”.

In questa sezione possiamo menzionare l’annuncio di ulteriori novità per la futura versione di VRO (Veeam Recovery Orchestrator).

Per quanto riguarda la Data Security, ovvero quella componente strategica attraverso la quale Veeam e le sue soluzioni aiutano il dato ad essere resiliente ai sempre più diffusi attacchi cyber, ampio spazio è stato dato a Coveware, azienda specializzata in incident response acquisita da Veeam lo scorso aprile 2024.

In particolare, è stato approfondito il ruolo chiave che può avere in una fase di Cyber Recovery, poiché offre servizi quali:

  • Assessment
  • Analisi Forense
  • Identificazione tipologia di ransomware e impatto sull’organizzazione del cliente
  • Negoziazione con i criminali informatici
  • Bonifica e documentazione dell’incident

Sempre in ambito Data Security, da menzionare inoltre la nuova partnership con Palo Alto per la SIEM integration.

Parlando di Data Intelligence, un’altra grossa sorpresa presentata è stata l’ufficializzazione della partnership con Microsoft per l’integrazione di Copilot AI con le soluzioni Veeam.

Non possiamo non menzionare, infine, altri miglioramenti e sviluppi annunciati su Veeam ONE, Veeam AI assistant, Linux Hardened Repository e Veeam Service Provider Console.

CONCLUSIONE

Insomma, le novità sono state tantissime, e sono certo che ci sarà l’occasione di approfondirne alcune nei prossimi post..STAY TUNED! 💚

Veeam – Proxmox Announcement

Posted on by BAdmin

Questa settimana Veeam Software ha dato l’annuncio tanto atteso: a breve verrà rilasciato il supporto per Proxmox.

Che cos’è Proxmox, e perché tanto interesse dietro questa notizia?

Proxmox VE (Virtual Environment) è un virtualizzatore open-source basato su KVM, che consente di far girare sia virtual machine che architetture basate su container.

La recente acquisizione di VMware da parte di Broadcom, e le successive incognite circa le strategie future del leader mondiale dei sistemi di virtualizzazione, hanno spinto numerosi clienti a ricercare delle possibili alternative su cui puntare per le proprie infrastrutture.

Proprio per questo, nell’ultimo periodo è salito alla ribalta il nome di Proxmox, tanto che anche Veeam ha deciso di puntare sullo sviluppo dell’integrazione con questo nuovo hypervisor.

La prima demo ufficiale sarà presentata al VeeamON 2024 che si terrà in Florida il prossimo 3-5 giugno.

Se non siete ancora registrati potete farlo qui.

Buon lavoro! 💚

Veeam – Wasabi Object Storage

Posted on by BAdmin

Quando parliamo di repository di backup in Veeam, non possiamo fare a meno di menzionare gli object storage, tecnologia che sta prendendo sempre più piede negli ultimi anni.

Dalla versione 12 di Veeam B&R, infatti, è possibile scrivere direttamente un backup su questo tipo di repository.

Dalla versione 12.1, inoltre, è possibile fare il backup dei dati presenti su un object storage.

A differenza di architetture storage di tipo file system, che gestiscono i dati in maniera gerarchica all’interno di directory, l’architettura dello storage ad oggetti è piatta, ed è disegnata per memorizzare dati non strutturati, come ad esempio i backup.

Nello specifico, i dati vengono suddivisi in blocchi a cui vengono associati dei metadati e degli identificativi univoci, utilizzati dal sistema in caso di accesso.

Tra i principali vantaggi, può contenere grandi quantità di dati ad un costo non eccessivo, è facilmente scalabile ed è compatibile con protocolli HTTP/HTTPS e REST API.

Wasabi è uno degli object storage di tipo cloud based, e possiamo quindi paragonarlo ai più conosciuti S3 di AWS o ad Azure Blob Storage di Microsoft.

A differenza dei grandi vendor sopra citati, il prezzo/TB è di molto inferiore, e non ci sono costi per il traffico di ingress/egress o per le chiamate API.

Wasabi è presente nella directory di compatibilità Veeam Ready come backup target di tipo object storage (S3 compatibile), e con il supporto nativo della funzionalità di immutability (object lock).

La prima cosa da fare per utilizzare Wasabi per i nostri backup Veeam è creare uno storage account registrandosi alla trial gratuita di 30 giorni; successivamente è possibile continuare ad utilizzare l’account in modalità Pay As You Go o Reserved Capacity Storage.

Una volta registrati ed acceduti alla dashboard, generare una nuova coppia di access key/secret key , e creare il bucket che ospiterà i nostri backup Veeam:

Ora possiamo andare nella nostra console di Veeam B&R, e dal menu principale cliccare su “Add Repository”, selezionando poi “Object Storage” e “Wasabi Cloud Storage”:

Appena inizia il wizard, inserire il nome che vogliamo dare su Veeam al nostro repository Wasabi:

Successivamente, inserire i dettagli dello storage account e della region sulla quale abbiamo creato il nostro bucket:

A questo punto, inserire i dettagli del bucket e della folder da utilizzare per i nostri backup:

NB: per questo tutorial in ambiente di laboratorio non è stato attivato il flag di immutability, ma per ambienti di produzione è sempre consigliato utilizzarlo

Infine, specificare il mount server e completare il wizard:

Ecco qua il nostro repository Wasabi da utilizzare per i nostri job di backup!

Buon lavoro! 💚