Die Geheimnisse des Veeam Hardened Repositorys entschlüsseln Teil
In meinem vorherigen Blog, habe ich das Veeam Hardened Repository, warum wir es brauchen, seine Anwendungen und seine Einschränkungen besprochen. Heute möchte ich dieses Thema detaillierter behandeln und Links zu Aufbauanleitungen mit Kommentaren bereitstellen. Es gibt zahlreiche Möglichkeiten, ein Veeam Hardened Repository zu erstellen, und man muss sorgfältig wählen, welche Methode zu verwenden ist, da Fehler oder Fehlkalkulationen später sehr schwer zu lösen sein werden.
Es ist auch wichtig zu beachten, dass der Aufbau eines Veeam Hardened Repositorys nicht unbedingt eine schwierige Aufgabe ist, insbesondere wenn Sie die Anweisungen befolgen, die Veeam in ihrem Benutzerhandbuch oder in den Anleitungen verschiedener Blogger und Community-Experten bereitstellt. Die Schwierigkeiten und ernsthaften Verantwortlichkeiten kommen später, am Tag 2. Probleme können auftreten, wenn Sie Ihr Repository nicht ständig überwachen und patchen, um Sicherheitsanfälligkeiten und andere Probleme zu vermeiden. Diese Probleme und mögliche Lösungen werde ich im dritten Teil meiner Blogreihe besprechen.
Planung
Es ist wichtig zu beachten, dass das Veeam Hardened Repository ein physischer Server sein sollte. Während die Erstellung eines virtuellen VHR für Tests in Ordnung ist, untergräbt es den Zweck der Härtung, wenn es in der Produktion verwendet wird, da die VM anfällig für die Virtualisierungsschicht ist. Jeder mit administrativen Rechten kann die virtuelle Maschine leicht löschen oder die Daten modifizieren/verschlüsseln, wodurch jede vorhandene OS-Härtung beseitigt wird.
Es ist von größter Bedeutung, dass der physische Server sich in einer sicheren und überwachten Umgebung befindet. Wenn ein böswilliger Akteur irgendwie physischen Zugang zu Ihrem Server erhält, kann er ihn zerstören oder sogar von einem USB-Stick booten und die Festplatten und die darin enthaltenen Informationen logisch zerstören.
Hardware
Die nächste Frage, die oft aufkommt, ist: „Welchen Servertyp sollte man kaufen und wie wird das physische Design aussehen?“ Diese Frage hängt von vielen Faktoren ab, von dem bevorzugten Anbieter bis hin zu der Servertechnologie, mit der Sie am vertrautesten sind. Die Antwort ist, mit dem zu gehen, was Sie kennen und vertrauen. Denken Sie daran, RAID (entweder HW oder SW) zu verwenden. Eine einfache Lösung wäre beispielsweise, DAS und Raid 6 oder 60 zu nutzen.
Größe
Wenn es um die Größe geht, ist die wichtigste Überlegung die Unveränderlichkeit. Im Gegensatz zu anderen Repositories kann die unveränderlicher Speicher Größe des Veeam Hardened Repositorys knifflig sein. Es gibt nur wenig Spielraum für Fehler, da Ihre Backup-Daten unveränderlich sind und Sie sie nicht löschen können. Natürlich steht es Ihnen auf einem Veeam Hardened Repository frei, sich als Root anzumelden und imperative Befehle anzuwenden, um die Unveränderlichkeit zu entfernen (oder sogar das Laufwerk zu formatieren), aber das widerspricht dem gesamten Prinzip, ein sicheres, gehärtetes Repository zu haben.
Aufbau
Viele Anleitungen sind jetzt verfügbar, um Ihnen beim Aufbau eines Veeam Hardened Repositorys zu helfen. Angesichts vieler Optionen muss man entscheiden, welche Methode basierend auf einigen kritischen Überlegungen zu verwenden ist. Zunächst müssen Sie ein Betriebssystem nutzen, mit dem Sie vertraut sind. Dies ist kein Bereich für Experimente oder Lernen durch Versuch und Irrtum. Veeam empfiehlt, Ubuntu 20.04 zu verwenden, und sie bieten einen Schritt-für-Schritt-Anleitungssatz in ihrem Benutzerhandbuch an.
Nebenbei bemerkt, erwähnen sie auch, das Repository als VMware-Proxy im Netzwerkmodus zu nutzen. Dennoch würde ich empfehlen, die Rolle ausschließlich auf die eines Veeam-Repositories zu beschränken. Es ist wichtig zu beachten, dass zusätzliche Rollen die Angriffsfläche des VHR vergrößern. Das Konzept der Serverhärtung basiert auf Minimalismus. Je weniger es zu attackieren gibt, desto besser.
Es gibt viele andere Anleitungen und Blogs zur Einrichtung eines VHR (auch bekannt als Linux Hardened Repository), und ich empfehle, auch diese zu durchsehen. Einige mögen älter sein, und Veeam entwickelt sich ständig weiter, daher würde ich dennoch die offizielle Veeam-Dokumentation als ersten Referenzpunkt verwenden.
Veeam Vanguard Didier Van Hoye hat einen detaillierten Setup-Blog erstellt.
Er hat auch ein aktuelleres YouTube-Video verfügbar.
Wenn Sie beabsichtigen, Red Hat Linux als Ihr Server-OS zu verwenden, hat Marco Escobar vor einigen Jahren einen Blog zu diesem Thema erstellt.
Eine weitere ausgezeichnete Quelle für aktuelle Informationen sind die Veeam R&D-Foren. Stellen Sie sicher, dass Sie sich anmelden und den Threads folgen. Veeam-Projektmanager überwachen diese Foren genau und können auch die Quelle von Informationen über neue Funktionen sein.
Das Veeam Hardened Repository ISO
Veeam hat auch versucht, den Aufbauprozess des VHR zu vereinfachen, indem es sein eigenes Hardened Repository ISO bereitstellt. Das ISO hat standardmäßig alle gewünschten Härtungseinstellungen integriert. Die Idee ist, den Benutzern zu helfen, Fehler während der Einrichtung zu vermeiden, die das OS und das Repository unbeabsichtigt Angriffen aussetzen könnten.
Hannes Kasparick, Senior Analyst im Produktmanagement bei Veeam, hat ausgezeichnete Schritt-für-Schritt-Einrichtungsanweisungen mit dem Download-Link hier bereitgestellt.
Rick Vanover, Senior Director of Product Strategy für Veeam Software, hat einen Beitrag, der dem VHR gewidmet ist, und verspricht einige wichtige Updates bei VeeamON 2024.
Er hat auch eine Markdown-Datei auf GitHub mit wichtigen Details zum VHR ISO.
Timothy Dewin, Veeam Solutions Architect, hat ein Skript erstellt, das modifiziert oder als Basis verwendet werden kann. Es ist erneut wichtig, die Daten aller Anleitungen und Skripte, die Sie im Internet zum VHR finden, zu überprüfen und sicherzustellen, dass sie aktuell gehalten werden.
Die Anweisungen von Veeam sind für Ubuntu 20.04, aber wenn Sie es moderner mögen, hat Eric Henry von Epic IT einen Blog mit Anweisungen zur Erstellung eines VHR mit Ubuntu 22.04 auf HPE-Hardware.
Absicherung
Ein gehärtetes Veeam-Repository ist gehärtet, weil es abgesichert wurde. Was bedeutet es also, einen Linux-Server abzusichern?
- MFA und starke Passwörter
- SSH deaktivieren
(wenn Sie SSH regelmäßig aktivieren müssen, um Software oder Firmware zu aktualisieren, verwenden Sie stattdessen SSH-Schlüssel und deaktivieren Sie die Passwörter) - Das System regelmäßig aktualisieren und Notfall-Sicherheitsupdates ad hoc anwenden
- Die minimalen Softwarepakete installieren, die für die Funktion eines Repositories erforderlich sind.
- Das Root-Konto deaktivieren.
- Die Firewall aktivieren und nur die für Veeam benötigten Ports zulassen.
- AppArmor oder SELinux verwenden
Stellen Sie sicher, dass Sie die DISA-STIG befolgen, die für Ubuntu 20.04 verfügbar ist. Veeam hat auch aufgeführt, welche Abschnitte davon auf das Veeam Hardened Repository zutreffen und wie man sie anwendet:
Linux, aber welches Linux?
Es gibt viele verschiedene Varianten von Linux, oder um es genauer zu sagen, Distributionen von Linux. Dies stellt eine Herausforderung für Anbieter und Benutzer dar. Die Linux-Distribution, die ein Unternehmen verwendet oder in der es Expertise hat, kann von der Version abweichen, die in der offiziellen Dokumentation von Veeam enthalten ist. All diese Faktoren müssen bei der Erstellung Ihres gehärteten Repositories abgewogen werden.
Die Dokumentation von Veeam verwendet Ubuntu, aber aus technischer Sicht können Sie Red Hat, Oracle oder jede andere Distribution verwenden, die das XFS-Dateisystem unterstützt.
Fazit
Das Veeam Hardened Repository ist eine ausgezeichnete Lösung für Organisationen mit der entsprechenden Anzahl qualifizierter Mitarbeiter, um es zu warten. Es gibt zahlreiche Möglichkeiten, das VHR zu erstellen; in jedem Fall sollten Organisationen das nutzen, womit sie sich wirtschaftlich und ressourcentechnisch am wohlsten fühlen. Die Einrichtung des VHR ist nur der erste Schritt und vielleicht der einfachste. Was als Nächstes kommt, ist entscheidend, wenn es darum geht, Ihre ordnungsgemäß gesicherten Daten zu schützen. Selbst ein gut aufgebautes VHR wird anfällig, wenn es nicht angemessen überwacht und aktualisiert wird. Im nächsten Teil dieser Blogreihe werde ich diese Aufgaben am Tag 2 überprüfen und die Bedeutung jeder einzelnen betonen.