Desbloqueando los Secretos del Repositorio Endurecido de

En mi blog anterior, discutí el Repositorio Endurecido de Veeam, por qué lo necesitamos, sus usos y sus limitaciones. Hoy, quiero discutir este tema con más detalle mientras proporciono enlaces a instrucciones de construcción con comentarios. Hay numerosas formas de construir un Repositorio Endurecido de Veeam, y uno debe elegir cuidadosamente qué método utilizar, ya que cualquier error o cálculo erróneo será muy difícil de resolver más adelante. 

También es importante recordar que construir un Repositorio Endurecido de Veeam no es necesariamente una tarea tan difícil, especialmente si sigues las instrucciones proporcionadas por Veeam en su guía del usuario o guías ofrecidas por varios bloggers y expertos de la comunidad. Las dificultades y serias responsabilidades vienen después, en el día 2. Pueden surgir problemas si no monitoreas y actualizas constantemente tu repositorio para evitar vulnerabilidades de seguridad y otros problemas. Discutiré esos problemas y posibles soluciones en la tercera parte de mi serie de blogs.

Planificación

Es importante notar que el Repositorio Endurecido de Veeam debe ser un servidor físico. Si bien crear un VHR virtual está bien para pruebas, anula el propósito de endurecer si se utiliza en producción porque la VM es vulnerable a la capa de virtualización. Cualquiera con privilegios administrativos puede eliminar fácilmente la máquina virtual o modificar/encriptar los datos, eliminando así cualquier endurecimiento del sistema operativo que estuviera presente. 

Es de suma importancia que el servidor físico esté en un entorno seguro y monitoreado. Si un actor malintencionado obtiene acceso físico a tu servidor, puede destruirlo o incluso arrancar desde una unidad flash y destruir lógicamente los discos y la información contenida en ellos.

Hardware

La siguiente pregunta que a menudo surge es: “¿Qué tipo de servidor debería comprarse y cuál será el diseño físico?” Esta pregunta depende de muchos factores, desde quién es tu proveedor preferido hasta qué tecnología de servidor conoces mejor. La respuesta es optar por lo que conoces y en lo que confías. Recuerda planificar el uso de RAID (ya sea HW o SW). Por ejemplo, una solución simple sería aprovechar DAS y Raid 6 o 60.

Dimensionamiento

Cuando se trata de dimensionamiento, la consideración más importante es la inmutabilidad. A diferencia de otros repositorios, el almacenamiento inmutable del repositorio endurecido de Veeam puede ser complicado. Hay poco margen para errores ya que tus datos de respaldo son inalterables, y no puedes eliminarlos. Por supuesto, en un repositorio endurecido de Veeam, nada te impide iniciar sesión como root y aplicar comandos imperativos para eliminar la inmutabilidad (o incluso formatear la unidad, para el caso), pero esto va en contra del principio de tener un repositorio endurecido seguro en primer lugar.

Construcción 

Ahora hay muchos conjuntos de instrucciones disponibles para ayudarte a construir un Repositorio Endurecido de Veeam. Ante muchas opciones, uno debe decidir qué método utilizar basado en algunas consideraciones críticas. Primero y ante todo, debes aprovechar un sistema operativo con el que estés familiarizado. Esta no es un área para experimentar o aprender por ensayo y error. Veeam recomienda aprovechar Ubuntu 20.04, y proporcionan un conjunto de instrucciones paso a paso en su guía del usuario.  

Como nota al margen, también mencionan aprovechar el repositorio como un proxy de VMware en modo de red. Sin embargo, yo me limitaría a restringir el rol únicamente al de un repositorio de Veeam. Es importante recordar que cualquier rol adicional aumentará la superficie de ataque del VHR. El concepto de endurecimiento de servidores se basa en el minimalismo. Cuanto menos haya para atacar, mejor. 

Hay muchas otras guías y blogs sobre cómo configurar un VHR (también conocido como Repositorio Endurecido de Linux), y recomiendo revisarlos también. Algunos pueden ser más antiguos, y Veeam está en constante evolución, así que, no obstante, utilizaría la documentación oficial de Veeam como el punto de referencia preliminar.

El Veeam Vanguard Didier Van Hoye ha realizado un blog de configuración en profundidad.

También tiene un video de YouTube más reciente disponible.

Si tienes la intención de aprovechar Red Hat Linux como tu sistema operativo de servidor, Marco Escobar creó un blog sobre ese tema hace unos años.
Otra excelente fuente de información actualizada son los foros de I+D de Veeam. Asegúrate de registrarte y seguir los hilos. Los Gerentes de Proyecto de Veeam monitorean de cerca estos foros y también pueden ser una fuente de información sobre nuevas características.

El ISO del Repositorio Endurecido de Veeam

Veeam también ha intentado simplificar el proceso de construcción del VHR proporcionando su propio ISO de repositorio endurecido. El ISO tiene todas las configuraciones de endurecimiento deseadas integradas por defecto. La idea es ayudar a los usuarios a evitar errores durante la configuración, que podrían exponer involuntariamente el sistema operativo y el repositorio a ataques.

Hannes Kasparick, Analista Senior en Gestión de Productos en Veeam, ha proporcionado excelentes instrucciones de configuración paso a paso utilizando el enlace de descarga aquí.

Rick Vanover, Director Senior de Estrategia de Producto para Veeam Software, tiene una publicación dedicada al VHR y promete algunas actualizaciones críticas en VeeamON 2024.

También tiene un archivo markdown en GitHub con detalles esenciales sobre el ISO del VHR.

Timothy Dewin, Arquitecto de Soluciones de Veeam, creó un script que podría ser modificado o utilizado como base. Nuevamente, es esencial recordar verificar las fechas de todas las instrucciones y scripts que encuentres en internet sobre el VHR y asegurarte de que se mantengan actualizados. 

Las instrucciones de Veeam son para Ubuntu 20.04, pero si prefieres estar más a la vanguardia, Eric Henry de Epic IT tiene un blog con instrucciones para crear un VHR con Ubuntu 22.04 en hardware HPE.

Bloqueo

Un repositorio endurecido de Veeam está endurecido porque ha sido bloqueado. Entonces, ¿qué implica bloquear un servidor Linux?

1. MFA y contraseñas fuertes
2. Deshabilitar SSH 
   (si necesitas habilitar SSH periódicamente para actualizar software o firmware, entonces utiliza claves SSH en lugar de contraseñas, deshabilitando estas últimas)
3. Actualizar el sistema regularmente y aplicar parches de seguridad de emergencia ad hoc
4. Instalar el mínimo de paquetes de software necesarios para que un repositorio funcione.
5. Deshabilitar la cuenta Root.
6. Activar el firewall y permitir solo los puertos necesarios para Veeam.
7. Aprovechar AppArmor o SELinux

Asegúrate de seguir el DISA-STIG, que está disponible para Ubuntu 20.04. Veeam también ha listado qué secciones de esto se aplican al Repositorio Endurecido de Veeam y cómo aplicarlas:

Linux, ¿pero qué Linux?

Hay muchos sabores diferentes de Linux, o si se dice más correctamente, distribuciones de Linux. Esto crea un desafío tanto para los proveedores como para los usuarios. La distribución de Linux que una empresa utiliza o en la que tiene experiencia puede diferir de la versión contenida en la documentación oficial de Veeam. Todos estos factores deben ser considerados al construir tu repositorio endurecido. 

La documentación de Veeam utiliza Ubuntu, pero desde un punto de vista técnico, puedes usar Red Hat, Oracle o cualquier otra distribución que soporte el sistema de archivos XFS.

Conclusión

El Repositorio Endurecido de Veeam es una excelente solución para organizaciones con la cantidad adecuada de personal calificado para mantenerlo. Hay numerosas formas de construir el VHR; en cada caso, las organizaciones deben aprovechar lo que les resulte más cómodo económica y recursos. Configurar el VHR es solo el primer paso y quizás el más fácil. Lo que viene a continuación es crítico para proteger tus datos respaldados adecuadamente. Incluso un VHR bien construido se volverá vulnerable si no se monitorea y actualiza adecuadamente. En la próxima parte de esta serie de blogs, revisaré estas tareas del Día 2 y enfatizaré la importancia de cada una.