Veeam v13 – Technical Preview


Come tutti sapete, durante lo scorso VeeamON 2024 è stato annunciata la tanto attesa versione Linux per l’installazione del Veeam Backup Server.

Chi come me ha la fortuna di far parte del programma Veeam100, in questi giorni sta avendo la possibilità di testare la prossima versione Veeam Data Platform v13.

Ovviamente si tratta di una Technical Preview, quindi la futura versione ufficiale, che sarà GA nel Q2 2025, potrebbe variare un pò per quando riguarda la user experience e le funzionalità implementate.

Bene, iniziamo a svelare qualche dettaglio!

Innanzitutto, la TP si presenta come un OVA installabile sul nostro hypervisor (ad esempio VMWare).

Secondo le informazioni attuali, in futuro dovrebbero esserci tre opzioni per l’installazione del software (Rocky) Linux-based:

  • Virtual Appliance (OVA/OVF)
  • Bootable ISO
  • Linux installation (rpm)

Le prime due opzioni sono ovviamente le più consigliate, perchè includono anche il sistema operativo e sono ottimizzate nonchè compliant con gli standard DISA-STIG e FIPS.
Una volta installato l’OVA, l’accesso sarà consentito solo con utenza non root.

Altra informazione, seguendo i principi di zero trust, anche i servizi del software sono associati ad account non privilegiati.

Per quanto riguarda la console, la grande novità riguarda la nuova colorata interfaccia web integrata nell’installazione Linux, che inizialmente andrà ad affiancare la classica VBR console.

Questa console molto probabilmente non avrà sin da subito tutte le funzionalità della console installata su Windows, ma è comunque un buon punto di partenza per andare a sostituire completamente la “sorella legacy”.

Una opzione secondo me molto interessante introdotta in questa nuova console, è la possibilità di gestire gli update del software in una sezione dedicata, il Veeam Updater.

Molto simile a quanto già accade nelle appliance dedicate al backup dei Public Cloud (Veeam for Azure/AWS/GCP), questa sezione consente l’aggiornamento personalizzato dei componenti, nonchè un settaggio per forzare l’appicazione automatica dei security update entro un certo numero di giorni dalla loro disponibilità.

Passiamo ora all’anteprima della VBR console Windows.

Possiamo notare una grafica più light e accattivante, con possibilità di attivare anche il tema dark mode.


Dal punto di vista delle nuove funzionalità, da segnalare la probabile introduzione di SAML authentication per l’integrazione con provider esterni e del ruolo Veeam Security Officer (ad oggi Veeam Security Administrator) per la gestione delle operazioni più sensibili.


Per il momento ci fermiamo qui, in attesa della versione beta e ovviamente della GA! 💚

Veeam Decoy Project

Partiamo dall’inizio: security e backup.

Al giorno d’oggi , purtroppo, gli attacchi ransowmare sono in continua crescita, e difendersi è una sfida sempre più complessa.

Se prima i backup venivano considerati come un qualcosa di poco importante, magari utili solo in caso di eventuali danni agli storage, oggi sono diventati l’ultima frontiera per mettere in salvo i nostri dati.

Per questo motivo, uno dei principali obiettivi durante un cyber attacco è proprio l’infrastruttura di backup: se i threath actor riescono a metterla fuori gioco, la strada verso il pagamento di un riscatto sarà tutta in discesa.

Le notizie di collaborazioni e integrazioni di prodotti tra i grandi vendor di data protection e quelli di security sono ormai all’ordine del giorno, in ultimo quella tra Veeam e Palo Alto Network Cortex XSIAM/XSOAR.

Tutto questo ci fa capire quanto sia importante focalizzarsi sulla sicurezza di tutti i sistemi, comprese le infrastrutture di backup.

Una delle tante best practice consigliate da Veeam, ad esempio, è quella di cercare di rendere quanto più possibile anonimi i suoi componenti.

Assegnare ai server e ai repository di backup un nome non riconducibile al loro ruolo può essere un primo tentativo per evitare di rendere proprio tutto così facile ad eventuali malintenzionati.

Un altro metodo per cercare di identificare e magari di rallentare un attacco in corso consiste nell’utilizzo degli honeypot: trappole, esche utilizzate per attirare i threat actor e farli uscire allo scoperto.

L’honeypot è un componente che simula il sistema di produzione, magari con le stesse applicazioni, ma con dati non reali.

Nel caso di Veeam Data Platform, l’idea potrebbe essere quella di creare un VBR server aggiuntivo che funge da esca, magari con tanto di backup funzionanti.

Ovviamente questo potrebbe richiedere un effort non indifferente, perchè si dovrebbero utilizzare dei sistemi sacrificabili e non di produzione, con il solo scopo di attirare i malintenzionati e far si che i nostri software di anomaly detection rilevino i tentativi di instrusione o manomissione dell’honeypot.

Un’opzione più semplificata è quella sviluppata dal progetto open source Veeam Decoy.

Questo sistema simula molteplici servizi Veeam e Windows, come i servizi di Veeam Backup Server, Veeam Hardened Repository, Veeam Windows Repository, Veeam Backup Enterprise Manager, SSH, RDP, Netbios.

Supporta l’utilizzo di più schede di rete, per cui ogni servizio può essere a una determinata VLAN, in modo da essere pronto a scenari realistici di attacco con utilizzo di tattiche di lateral movement (TA0008).

Il sistema non riceve alcun traffico in ingresso, per cui ogni connessione riconducibile all’utilizzo di tattiche di discovery (TA0007) dovrebbe rappresentare un tentativo di intrusione.

Questo tool è scaricabile come appliance OVA (compatibile solo con vSphere 8.0) oppure installabile su una Rocky Linux minimal.

La console si presenta con una interfaccia molto semplice ma al tempo stesso completa, dove possiamo gestire lo stato dei servizi di decoy, le interfacce di rete associate e visualizzare in tempo reale porte in uso e log delle connessioni su ogni specifico servizio.


Tutti i tentativi di connessione catturati, comprendenti informazioni come porta sorgente, ip sorgente o credenziali utilizzate, posso essere inviati ad un syslog centralizzato o tramite email, in modo tale da attivare un alerting che può essere prontamente gestito da un SOC.


Certo, non ci aspettiamo che sia la nostra arma più efficace contro i cyber attacchi, ma in questa lotta tra i due mondi è pur sempre un’opzione in più! 💚

Veeam 12.2 – What’s New

Nel corso di questa settimana è arrivata la notizia tanto attesa: Veeam 12.2 è finalmente disponibile per il download.

Come anticipato in questo articolo, sono molte le novità rispetto alla versione precedente.

Di seguito elenchiamo le principali:

  • supporto per Proxmox VE, con immutabilità sul backup e possibilità di restore VM cross-platform
  • sviluppo dell’integrazione con Nutanix, tra cui il supporto delle operazioni di backup tramite Prism Central con Veeam backup for Nutanix AHV 6
  • supporto per backup nativo di Mongo DB, uno dei più diffusi database NoSQL, compreso il classico explorer per i restore granulari
  • supporto completo di VMware vSphere 8.0 U3 e VMware Cloud Director 10.6
  • sviluppo delle integrazioni con IBM Db2 e SAP HANA
  • supporto per Amazon Redshift e Amazon Fsx
  • supporto per Microsoft Azure Data Lake e Cosmos DB

In aggiunta alle suddette novità, tra le funzionalità più interessanti migliorate troviamo:

  • supporto per offload diretto dal performance tier all’archive tier per tutti i tipi di repository presenti on-prem nel SOBR
  • CDP I/O Filter Cross Compatibility, per supportare anche versioni meno recenti (12.0 e 12.1)
  • Veeam App for Splunk, estensione che consente agli utenti del popolare software di monitorare lo stato dell’ambiente di backup Veeam
  • introduzione di due nuovi ruoli RBAC, Incident API Operator e Security Administrator
  • aggiunta di nuovi check sul Security & Compliance Analyzer
  • sure backup continuous schedule, selezionando finestre temporali specifiche
  • database authentication per Oracle RMAN Plugin
  • intelligent SOBR extent selection per backup di dati unstructured
  • immutable snapshots integration for HPE Storage Arrays

Per conoscere l’elenco completo di tutte le nuove feature, trovate qui il documento ufficiale del vendor.

Buon lavoro! 💚

VeeamON 2024 Recap

INTRO

La scorsa settimana a Fort Lauderdale, in Florida, si è svolto il VeeamON 2024, come tutti gli anni l’evento più atteso e importante organizzato da Veeam Software.

Quest’anno l’evento è stato particolarmente ricco di annunci, e non sono mancate le sorprese.

Molte demo e sessioni tecniche, anche se non tutte disponibili per chi come me ha seguito tutto da remoto.

La visione di Veeam continua ad essere incentrata sulla resilienza del dato, grazie a 5 strategie principali: Data Backup, Data Freedom, Data Recovery, Data Security e Data Intelligence.

LE NOVITÀ

Iniziando ad approfondire il tema Data Backup, la parte core dedicata alla protezione e al salvataggio del dato, sono state presentate ufficialmente le nuove versioni di alcune soluzioni.

  • Oracle Linux Virtualization Manager (oVirt): già disponibile da qualche settimana il supporto nativo per OLVM, piattaforma di virtualizzazione basata su KVM
  • Proxmox VE: annunciata qualche settimana fa la compatibilità con questo virtualizzatore, durante il VeeamON 2024 è stata presentata la prima demo, con la soluzione Veeam che si preannuncia 3 volte più veloce della soluzione di backup nativa. L’uscita ufficiale è prevista per il prossimo Q3 2024
  • VBA v7: preannunciate alcune nuove funzionalità per la futura versione di Veeam Backup per Azure, tra cui l’introduzione del supporto per Cosmos DB
  • Veeam Backup for AWS v8: nuove features anche per la soluzione di backup del cloud Amazon, che introducono, ad esempio, il supporto per Redshift e FSx
  • VBM365 v8: molte novità anche per Veeam Backup for Microsoft 365, in uscita probabilmente il prossimo Q3 2024, tra le quali MFA for console, proxy pools, immutability for backup, restore operator audit in Veeam ONE
  • Veeam Backup for Salesforce v3: ulteriori funzionalità anche per questa soluzione, in cui sarà introdotto il supporto per data encryption, data archive e data pipeline
  • K10 v7: non poteva certo mancare una overview sulla nuova versione di Kasten, che include, tra le varie, il supporto per i FIPS-Enabled Clusters, per Azure Blob Immutability e per le VM su Openshift.

Passiamo ora alle sorprese, che come anticipato, non sono mancate. Tra le novità annunciate, spiccano senza ombra di dubbio:

  • VBR server su OS Linux a partire dalla v13, con le funzionalità specifiche di zero trust architecture nativa, e supporto per HA del Config DB, che aggiungerà quel livello di resilienza e di automatismo al software che ad oggi per certi versi mancava
  • Entra ID Backup, soluzione che sarà integrata in Veeam B&R, per proteggere i dati, come ad esempio utenti, gruppi e app registration, della soluzione cloud based di identity/access management di Microsoft (Q4 2024)
  • Mongo DB Plugin, che va ad incrementare il pacchetto di applicazioni enterprise supportate nativamente (Q3 2024)
  • Lenovo TruSacle Backup, che intregrerà Veeam Backup & Replication e Veeam ONE nelle soluzioni di Lenovo ThinkSystem per i backup on-premise

Come sappiamo, inoltre, Veeam ha recentemente espanso il proprio ventaglio di soluzioni introducendo dei servizi completamente SaaS, ulteriormente approfonditi in questi tre giorni di evento, tra cui:

  • Veeam Data Cloud for M365, soluzione preconfigurata per il backup di Microsoft 365, con un modello di costo prevedibile (per user/spazio illimitato)
  • Veeam Data Cloud for Azure, soluzione di backup per Microsoft Azure, nativa ed ottimizata
  • Veeam Vault,cloud storage completamente gestito, con tariffe flat/TB, incluso costi per api call ed eventuale traffico di uscita

Passiamo alle strategie Data Freedom e Data Recovery, ovvero l’abilità di Veeam di utilizzare il proprio formato per spostare un dato da una piattaforma verso un’altra, consentendo di bypassare il cosidetto “vendor lock-in”.

In questa sezione possiamo menzionare l’annuncio di ulteriori novità per la futura versione di VRO (Veeam Recovery Orchestrator).

Per quanto riguarda la Data Security, ovvero quella componente strategica attraverso la quale Veeam e le sue soluzioni aiutano il dato ad essere resiliente ai sempre più diffusi attacchi cyber, ampio spazio è stato dato a Coveware, azienda specializzata in incident response acquisita da Veeam lo scorso aprile 2024.

In particolare, è stato approfondito il ruolo chiave che può avere in una fase di Cyber Recovery, poiché offre servizi quali:

  • Assessment
  • Analisi Forense
  • Identificazione tipologia di ransomware e impatto sull’organizzazione del cliente
  • Negoziazione con i criminali informatici
  • Bonifica e documentazione dell’incident

Sempre in ambito Data Security, da menzionare inoltre la nuova partnership con Palo Alto per la SIEM integration.

Parlando di Data Intelligence, un’altra grossa sorpresa presentata è stata l’ufficializzazione della partnership con Microsoft per l’integrazione di Copilot AI con le soluzioni Veeam.

Non possiamo non menzionare, infine, altri miglioramenti e sviluppi annunciati su Veeam ONE, Veeam AI assistant, Linux Hardened Repository e Veeam Service Provider Console.

CONCLUSIONE

Insomma, le novità sono state tantissime, e sono certo che ci sarà l’occasione di approfondirne alcune nei prossimi post..STAY TUNED! 💚

Veeam – Proxmox Announcement

Questa settimana Veeam Software ha dato l’annuncio tanto atteso: a breve verrà rilasciato il supporto per Proxmox.

Che cos’è Proxmox, e perché tanto interesse dietro questa notizia?

Proxmox VE (Virtual Environment) è un virtualizzatore open-source basato su KVM, che consente di far girare sia virtual machine che architetture basate su container.

La recente acquisizione di VMware da parte di Broadcom, e le successive incognite circa le strategie future del leader mondiale dei sistemi di virtualizzazione, hanno spinto numerosi clienti a ricercare delle possibili alternative su cui puntare per le proprie infrastrutture.

Proprio per questo, nell’ultimo periodo è salito alla ribalta il nome di Proxmox, tanto che anche Veeam ha deciso di puntare sullo sviluppo dell’integrazione con questo nuovo hypervisor.

La prima demo ufficiale sarà presentata al VeeamON 2024 che si terrà in Florida il prossimo 3-5 giugno.

Se non siete ancora registrati potete farlo qui.

Buon lavoro! 💚

Veeam – Wasabi Object Storage

Quando parliamo di repository di backup in Veeam, non possiamo fare a meno di menzionare gli object storage, tecnologia che sta prendendo sempre più piede negli ultimi anni.

Dalla versione 12 di Veeam B&R, infatti, è possibile scrivere direttamente un backup su questo tipo di repository.

Dalla versione 12.1, inoltre, è possibile fare il backup dei dati presenti su un object storage.

A differenza di architetture storage di tipo file system, che gestiscono i dati in maniera gerarchica all’interno di directory, l’architettura dello storage ad oggetti è piatta, ed è disegnata per memorizzare dati non strutturati, come ad esempio i backup.

Nello specifico, i dati vengono suddivisi in blocchi a cui vengono associati dei metadati e degli identificativi univoci, utilizzati dal sistema in caso di accesso.

Tra i principali vantaggi, può contenere grandi quantità di dati ad un costo non eccessivo, è facilmente scalabile ed è compatibile con protocolli HTTP/HTTPS e REST API.

Wasabi è uno degli object storage di tipo cloud based, e possiamo quindi paragonarlo ai più conosciuti S3 di AWS o ad Azure Blob Storage di Microsoft.

A differenza dei grandi vendor sopra citati, il prezzo/TB è di molto inferiore, e non ci sono costi per il traffico di ingress/egress o per le chiamate API.

Wasabi è presente nella directory di compatibilità Veeam Ready come backup target di tipo object storage (S3 compatibile), e con il supporto nativo della funzionalità di immutability (object lock).

La prima cosa da fare per utilizzare Wasabi per i nostri backup Veeam è creare uno storage account registrandosi alla trial gratuita di 30 giorni; successivamente è possibile continuare ad utilizzare l’account in modalità Pay As You Go o Reserved Capacity Storage.

Una volta registrati ed acceduti alla dashboard, generare una nuova coppia di access key/secret key , e creare il bucket che ospiterà i nostri backup Veeam:

Ora possiamo andare nella nostra console di Veeam B&R, e dal menu principale cliccare su “Add Repository”, selezionando poi “Object Storage” e “Wasabi Cloud Storage”:

Appena inizia il wizard, inserire il nome che vogliamo dare su Veeam al nostro repository Wasabi:

Successivamente, inserire i dettagli dello storage account e della region sulla quale abbiamo creato il nostro bucket:

A questo punto, inserire i dettagli del bucket e della folder da utilizzare per i nostri backup:

NB: per questo tutorial in ambiente di laboratorio non è stato attivato il flag di immutability, ma per ambienti di produzione è sempre consigliato utilizzarlo

Infine, specificare il mount server e completare il wizard:

Ecco qua il nostro repository Wasabi da utilizzare per i nostri job di backup!

Buon lavoro! 💚

Veeam ONE 12.1 – Threat Center

Veeam ONE è la soluzione di Veeam software che permette di monitorare ambienti virtuali, come vSphere, VMware Cloud Director, Hyper-V, e ambienti di data protection, come Veeam Backup e Replication e Veeam Backup for Office 365.

Come anticipato in un precedente post, nell’ultima versione di Veeam 12.1 è stata introdotta la dashboard Veeam Threat Center.

Questo strumento permette di visualizzare lo stato di sicurezza generale dei nostri VBR, verificando la compliance alle varie best practices indicate da Veeam.

Nello specifico, i widget che troviamo sono:

  • Data Platform Scorecard: mostra un punteggio globale dello stato di salute dei nostri VBR, definito dai parametri Platform Security Compliance, Data Recovery Health, Data Protection Status and Backup Immutability Status
  • Malware Detections: mostra eventuali malware o infezioni sospette sui nostri restore point
  • RPO Anomalies: mostra gli oggetti che sono fuori range rispetto al RPO definito
  • SLA Compliance Overview: evidenzia la percentuale di raggiungimento dei nostri SLA in base a un periodo ed una percentuale di successo definite nella configurazione del widget

Per poter sfruttare tutte le potenzialità di questa dashboard, occorre innanzitutto agganciare il nostro VBR, assicurandosi di selezionare anche la spunta “Provide access to embedded dashboards”:

Prima della configurazione, all’interno della VBR console l’integrazione non risulterà attiva:

Dopo la configurazione, la dashboard verrà popolata con la vista del Veeam Threat Center di Veeam ONE e altri widget utili.

Tip: quando si aggiunge un VBR, attenzione all compatibilità delle licenze dei due prodotti

https://helpcenter.veeam.com/docs/one/deployment/license_types.html?ver=120#compatibility-with-veeam-backup—replication-licenses

Buon lavoro! 💚

Veeam 11a Patch – EOS

Come saprete, dal 1°marzo 2024 diverse versioni ormai datate di prodotti Veeam sono andate in EOS (End of Support).

Tra i prodotti più utilizzati troviamo ad esempio Veeam B&R 11 e Veeam ONE 11:

Per consultare l’elenco completo del product lifecycle Veeam visitare il seguente link:

https://www.veeam.com/product-lifecycle.html

Questa settimana è stata rilasciata, un po’ a sorpresa, una cumulative patch per la V11a di Veeam Backup & Replication:

https://www.veeam.com/kb4245

Questo aggiornamento viene incontro soprattutto a quei clienti che per esigenze di utilizzo devono mantenere la compatibilità con vecchi hypervisor (ad esempio VMware vSphere/Esxi 5.5).

La patch contiene alcune fix del prodotto, ed anche qualche correzione di sicurezza di componenti di terze parti presenti nel software, come ad esempio VDDK, OpenSSL, liblz4, zlib e Putty:

https://www.veeam.com/kb4245

Nota importante: se decidete di installare questa patch, non potrete più passare alla V12.1, ma dovrete attendere l’uscita del prossimo minor update V12.2 (previsto nella seconda metà del 2024).

Per cui, se siete alla V11 e non avete problemi di compatibilità con il resto dell’infrastruttura, il consiglio è di passare all’ultima versione V12.1, sfruttando subito le tante funzionalità aggiuntive.

Di seguito un ultimo link che può risultare utile durante la pianificazione degli aggiornamenti, quello dell’upgrade-path di Veeam B&R.

https://www.veeam.com/kb2053

Buon lavoro! 💚

Veeam Encryption (What) is the key?

INTRODUZIONE

Le informazioni, ormai sempre più sotto forma di dati digitali, sono una risorsa fondamentale per tutte le aziende, dalle più piccole alle più grandi.

Lo standard ISO/IEC 27001 ci ricorda quali sono i requisiti e le best practice per gestire al meglio la sicurezza di queste informazioni.

I tre principi cardine sono:

  • Riservatezza: non tutti possono accedere ad una determinata informazione privata, solo le persone con le giuste autorizzazioni
  • Integrità delle informazioni: i dati che l’organizzazione utilizza per svolgere la propria attività o che tiene al sicuro per gli altri devono essere conservati in modo affidabile, assicurando che non vengano cancellati o danneggiati
  • Disponibilità dei dati: i dati devono essere sempre disponibili, in modo tale chiunque sia autorizzato possa accedere alle informazioni ogni volta che è necessario

IL RUOLO DI VEEAM

Per proteggere questi dati, software come Veeam Backup & Replication sono indispensabili, perché contribuiscono a perseguire i tre suddetti principi cardine della sicurezza delle informazioni.

Nello specifico, Veeam ci consente di:

  • creare dei backup e repliche dei nostri dati, ovvero copie ulteriori delle informazioni originali → aiuta a preservare l’integrità
  • tenere i backup protetti da eventuali interventi malevoli, problemi hardware o eventi naturali disastrosi , sfruttando immutabilità, air gapped e offsite copy→ aiuta a tenere il dato sempre disponibile
  • salvare i nostri dati attraverso protocolli sicuri e in maniera criptata → aiuta a mantenere la confidenzialità

Tutto questo si traduce nella regola fondamentale di Veeam, la famosa 3-2-1-1-0.

A questa regola, appunto, aggiungerei una caratteristica da applicare globalmente: l’encryption.

VEEAM ENCRYPTION – PERCHÈ E COME FUNZIONA

Così come l’encryption sul dato originale, l’encryption dei backup non è una pratica sempre utilizzata, a volte per motivi di “compatibilità” con le appliance di deduplica, altre volte perché ci si dimentica o non la si ritiene così necessaria.

A mio avviso, invece, è uno dei punti chiave per garantire la confidenzialità delle informazioni.

Sia se salviamo i backup su un cloud esterno, che all’interno del nostro datacenter, è indispensabile garantire che chiunque abbia accesso a questi dati non riesca a leggerli se non autorizzato.

L’esfiltrazione dei dati è una cosa che può impattare anche i nostri backup, e se non sono criptati qualunque istanza di VBR può leggerli.

Veeam garantisce sia l’encryption in transit, cioè durante la copia del dato originale verso il repository designato, che l’encryption at rest, cioè applicata al backup stesso.

La traffic encryption è basata su TLS (dall’ultima versione di Veeam v12.1 è supportato anche TLS 1.3).

L’encryption dei file di backup, invece, è basata sulle librerie Veeam Cryptographic Module and Microsoft Crypto API, che sono entrambi FIPS compliant.

Per criptare i dati, si utilizza un algoritmo di encryption single-key, ovvero una chiave unica per criptare e decriptare, sfruttando lo standard AES-256.

Senza andare troppo nel dettaglio di Cipher, KEX e quant’altro, quello che vorrei descrivere sono lo schema gerarchico e il workflow dell’encryption in Veeam:

Partendo dal basso, troviamo:

  • session key: utilizzata sui data block di backup, cambia ad ogni sessione di backup
  • metakey: utilizzata per criptare i metadati dei backup; come la session key, cambia ad ogni sessione di backup
  • storage key: le due precedenti chiavi sono a loro volta crittografate dalla storage key, la quale viene utilizzata a livello di restore point; quando una catena di backup, infatti, subisce una trasformazione e alcuni backup data block vengono riscritti all’interno di un full (ad esempio durante operazioni di syntetic full, reverse incremental, forever forward incremental..), un singolo restore point conterrà più session keys. La singola storage key è in grado di agire sul singolo restore point. Essa viene mantenuta nel config db fino a scadenza della retention del restore point associato
  • user key: quando il Veeam administrator crea una encryption password, e successivamente attiva l’encryption su un job di backup, questa password viene utilizzata per generare la user key. Questa chiave, che agisce appunto a livello di job, viene utilizzata per criptare le storage keys che saranno generate per ogni singolo restore point all’interno della catena di questo job
  • backup server keys: coppia di chiavi opzionale, generata quando si aggancia un backup server al VBEM; secondo l’algoritmo asimmetrico RSA, la chiave pubblica viene passata al VBEM, mentre la chiave privata viene mantenuta nel db del VBR. La coppia di chiavi sarà utilizzata per identificare in maniera sicura il backup server durante l’eventuale richiesta di decriptazione verso l’Enterprise Manager, secondo la funzionalità di “password loss protection”
  • enterprise manager keys: coppia di chiavi opzionale, generata quando si aggancia un backup server al VBEM; secondo l’algoritmo asimmetrico RSA, la chiave pubblica viene passata al backup server, ed è utilizzata per criptare le session keys allo stesso modo della user key; la chiave privata viene mantenuta nel db del VBEM ed utilizzata in caso di decriptazione, secondo la funzionalità di “password loss protection”

Durante un job di backup quindi, insieme ai data block criptati vengono salvati i crittogrami delle session key, metakey, storage key (una criptata con la user key e una con la EM public key), user key e EM public key, che serviranno poi per identificare le corrispondenti chiavi in fase di restore.

PASSWORD LOSS PROTECTION

Come anticipato in precedenza, esiste una funzionalità di Veeam Enterprise Manager che consente una seconda chance di decriptare i backup nel caso in cui nel nostro backup server non sia più presente la password, magari perché si tratta di vecchi backup che erano stati rimossi dalla configurazione.

Prerequisiti

  • VUL o licenze socket di tipo almeno Enterprise
  • EM e backup server originali connessi

Dalla Veeam 12.1, la funzionalità di password loss protection supporta anche l’integrazione con KMS.

La coppia di chiavi creata dall’EM è detta keyset. È possibile creare nuovi keyset, esportarli o importarli.

È possibile settare la generazione automatica di nuovi keyset, e il retention period degli stessi.

Il processo di restore senza password si compone dei seguenti passaggi:

1) il Veeam admin inizia il processo di “encryption key restore” dal backup server

2) questo wizard genera una request che contiene, in maniera crittografata, i riferimenti della storage key e della EM public key utilizzate in fase di backup per criptare quei dati

3) la request viene passata al EM admin

4) EM admin inizia il “password recovery” wizard nell’EM e inserisce la request ricevuta

5) EM trova il corrispondente keyset

6) EM, utilizzando la EM private key, decripta la storage key e la inserisce in un file di risposta

7) EM admin invia questa risposta al Veeam admin

8) il Veeam admin inserisce questa risposta nel wizard di “encryption key restore”, terminando così il processo di decriptazione

Limitazioni: se si perde il backup server, o l’EM, o il keyset dell’EM non si potrà utilizzare la procedura di recovery.

L’unico modo per essere veramente al sicuro quando si utilizza l’encryption è non perdere mai la user password.

Quindi, la regola fondamentale è: SALVARE LA PASSWORD DI ENCRYPTION IN MODO SICURO, magari applicando anche per questo dato la regola d’oro 3-2-1-1-0!

CONCLUSIONE

In questi tempi in cui gli attacchi cyber sono sempre più frequenti, considerare i backup come qualcosa di secondario è un errore da non commettere, devono essere visti più come un’estensione indispensabile dei nostri dati.

Utilizzare le best practice è fortemente consigliato..regola 3-2-1-1-0 con encryption!

RIFERIMENTI

https://helpcenter.veeam.com/docs/backup/vsphere/data_encryption.html?ver=120

https://helpcenter.veeam.com/docs/backup/em/em_manage_keys.html?ver=120 ​

Veeam v12.1 – Security and Compliance Analyzer

In un precedente post, siamo andati ad esplorare le nuove e più interessanti funzionalità della versione 12.1 di Veeam B&R.

In questo post andremo più nel dettaglio del tool che ci consente di tenere sotto controllo lo stato della nostra infrastruttura di backup: il Security and Compliance Analyzer.

INTRODUZIONE

Quando progettiamo e implementiamo le nostre infrastrutture di backup, fare attenzione alle regole di sicurezza è ormai imprescindibile.

Esistono una serie di considerazioni generali che ci aiutano ad hardenizzare i nostri server, cosi come molte best practice che dovrebbero essere applicate ai nostri backup.

Il nuovo tool Security and Compliance Analyzer ci consente appunto di avere un resoconto semplice e intuitivo dell’implementazione di queste best practice sul nostro server di backup.

Andiamo a vedere nel dettaglio il suo funzionamento.

IL TOOL

L’accesso al tool è ben visible nella barra principale della Veeam Console:

Come anticipato in precedenza, i controlli sono divisi in due sezioni: “Backup Infrastructure Security” e “Product Configuration”.

BACKUP INFRASTRUCTURE SECURITY

Come possiamo vedere, si occupa di controllare l’implementazione di di alcune buone pratiche definite per il sistema operativo Windows che ospita il nostro backup server.

  • I primi settaggi che vengono consigliati riguardano la disabilitazione di quei servizi considerati critici, poiché consentono l’interazione remota con il nostro server, ovvero il “Remote Desktop”, il “Remote Registry” e il “Windows Remote Management”.
  • Si passa poi al poco considerato Windows Firewall: la best practice è quella di tenerlo sempre attivo, andando a lavorare con le inbound e outbound rule in caso di necessità. Nota: Veeam B&R crea automaticamente le firewall rule necessarie per far comunicare i propri componenti tra loro.
  • Si consiglia poi di disabilitare le funzionalità “WDigest credentials caching” e “Web Proxy Auto-Discovery service” per prevenire attacchi alle credenziali o di tipo MITM.
  • Il controllo seguente è sulle versioni deprecate di SSL e TLS, come SSL 2.0, SSL 3.0, TLS 1.0 e TLS 1.1, che dovrebbero essere anch’esse disabilitate.
  • Per quanto riguarda possibili attacchi malware basati su script, buona norma è tentare di limitarli disabilitando lo “Windows Script Host”.
  • Tornando ai protocolli deprecati, anche SMBv1 è tra quelli da disabilitare, poiché affetto da numerose vulnerabilità. Nota: a partire da Windows Server 2016 è disabilitato di default.
  • L’ultimo protocollo da disabilitare è il “Link-Local Multicast Name Resolution”, per limitare attacchi di spoofing e MITM.
  • Infine, viene verificata la sicurezza sul protocollo SMBv3, controllando che siano attive le impostazioni per prevenire attacchi di tipo NTLMv2 relay.

PRODUCT CONFIGURATION

Passiamo ora ai controlli sulle impostazioni lato software.

Le strategie e le configurazioni che Veeam ci consiglia sono ovviamente mirate alla salvaguardia dei nostri backup.

  • MFA per la VBR console: dall v12 è possibile abilitare la multi-factor authentication sulla console di backup.

  • Immutable or offline media: per proteggere i file di backup, si consiglia l’utilizzo di almeno un repository con la funzionalità di immutabilità dei dati attiva o un media che può essere scollegato dalla rete, come tape o rotated drives.
  • Password loss protection: settaggio di Veeam Enterprise Manager che consente di decriptare i nostri dati di backup nel caso in cui la password di encryption venga persa.
  • Dominio o non dominio?: Veeam ci consiglia di lasciare il nostro server, e il resto dei componenti dell’infrastruttura, a Workgroup. Nota: nel caso in cui si voglia utilizzare il join con AD, è buona pratica creare un dominio di management dedicato esclusivamente all’ambiente di backup.
  • Email notification: ricordarsi sempre di attivare le notifiche tramite email, è indispensabile per tenere sotto controllo l’esito dei backup e gli altri eventi che accadono nel sistema.
  • 3-2-1 rule: la regola d’oro ci consiglia di avere almeno 3 copie del dato (compreso il dato originale, quindi due copie di backup), su almeno 2 media differenti e 1 copia offsite. Nota: la regola si è ormai evoluta in 3-2-1-1-0, dove il secondo 1 è la copia offline/immutabile, e lo 0 indica la necessità di implementare una procedura automatizzata di validazione dei nostri backup, e senza errori durante i test di verifica.

  • Reverse Incremental: è il metodo che produce più operazioni di lettura e scrittura sul nostro repository, da abbandonare in favore dell’incrementale standard.
  • Unknown Linux servers: nel caso si debbano aggiungere server linux alla nostra infrastruttura di backup, è consigliato trustarli in maniera manuale piuttosto che automatica.
  • Configuration Backup: da best practice, il backup della configurazione dovrebbe essere salvato su un repository esterno al backup server stesso. Nota: dalla 12.1 è possibile selezionare anche per questo task un repository object storage immutabile.
  • Proxy traffic encryption: se i nostri proxy virtuali utilizzano il transport mode di tipo network, è consigliato l’utilizzo dell’encryption (NBDSSL).
  • Physical Hardened repository: per ridurre la superficie di attacco, il repository di tipo hardened dovrebbe risiedere su un server fisico (e con dischi locali) anziché su uno virtuale.
  • Network traffic encryption: per consentire una comunicazione sicura nella nostra rete di backup, sia verso internet che verso le reti private, si consiglia di abilitare globalmente l’encryption nelle impostazioni generali del software.
  • Linux authentication: la best practice consiglia di non utlizzare l’autenticazione basata su password per i nostri server linux, ma di entrare in SSH tramite l’utilizzo della coppia chiave pubblica-chiave privata, prevenendo attacchi di tipo brute force e MITM.
  • Backup services: si consiglia di utilizzare “Local System” come account per i nostri servizi Veeam.
  • Configuration backup encryption: si consiglia di utilizzare l’encryption anche sul backup della configurazione di Veeam, per una gestione più sicura dei dati sensibili presenti nel DB.
  • Password rotation: il controllo è sulle credenziali dei vari componenti aggiunti alla nostra infrastruttura di backup e sulla password di encryption, che dovrebbero essere cambiate almeno una volta all’anno.
  • Hardened repository access: come best practice, l’SSH su questo tipo di repository dovrebbe essere disabilitato.
  • S3 object lock type: questo controllo verifica che l’immutabilità impostata sugli S3 aggiunti su Veeam sia di tipo Compliance (non modificabile) e non di tipo Governance (modificabile), andando incontro ad eventuali politiche sul trattamento del dato (es: GDPR) ed ovviamente alla sicurezza di effettiva immutabilità dei backup.
  • Backup encryption: soprattutto se i nostri backup vengono salvati su un repository cloud, è buona norma abilitare l’encryption a livello di singolo job.
  • Latest updates: si consiglia di tenere il software Veeam B&R sempre aggiornato all’ultima release/patch.

IMPLEMENTAZIONE

Per facilitare l’implementazione della maggior parte di queste best practice, Veeam ha messo a disposizione sulle proprie KB uno script in powershell che corregge tutti gli 11 punti relativi alla backup infrastructure e 2 punti relativi alla product infrastructure, mentre le impostazioni che necessitano di settaggi custom (come, ad esempio, l’impostazione del nostro mail server, la scelta di un repository, gli utenti per cui attivare l’MFA, ecc..) sono ovviamente lasciate alla configurazione manuale da parte del backup administrator.

Di seguito il link per scaricare lo script: https://www.veeam.com/kb4525

UTILIZZO

Il tool può essere utilizzato sia in maniera interattiva che automatica.

È possibile, infatti, impostare un report con schedulazione giornaliera e invio tramite email.

Infine, è possibile anche escludere uno o più parametri dai controlli, marcandoli come “suppressed”.

CONCLUSIONE

Non ci stancheremo mai di ripetere quanto sia importante la sicurezza, soprattutto per i backup, che sono la nostra ultima difesa contro la perdita o la corruzione dei nostri dati. Questo strumento migliorato è un buon punto di partenza per aiutarci a tenere la situazione sotto controllo.

Concludiamo il post riproponendo i soliti altri link utili riguardanti la sicurezza e le best practice, con la speranza che anche il Security and Compliance Analyzer venga sempre più sviluppato e migliorato secondo le linee guida in continua evoluzione.

https://helpcenter.veeam.com/docs/backup/vsphere/security_guidelines.html?ver=120

https://bp.veeam.com/security

https://go.veeam.com/rs/870-LBG-312/images/veeam-security-checklist.pdf 

https://go.veeam.com/rs/870-LBG-312/images/veeam-security-best-practices-2022.pdf

https://community.veeam.com/cyber-security-space-95/hardening-veeam-12-server-the-definitive-checklist-4255

Buon lavoro! 💚