Déverrouiller les secrets du dépôt renforcé Veeam Partie
Dans mon précédent blog, j'ai discuté du Veeam Hardened Repository, pourquoi nous en avons besoin, ses utilisations et ses limitations. Aujourd'hui, je souhaite aborder ce sujet plus en détail tout en fournissant des liens vers des instructions de construction avec des commentaires. Il existe de nombreuses façons de construire un Veeam Hardened Repository, et il faut choisir soigneusement quelle méthode utiliser, car toute erreur ou mauvaise évaluation sera très difficile à résoudre par la suite.
Il est également important de se rappeler que construire un Veeam Hardened Repository n'est pas nécessairement une tâche si difficile, surtout si vous suivez les instructions fournies par Veeam dans leur guide utilisateur ou les guides offerts par divers blogueurs et experts de la communauté. Les difficultés et les responsabilités sérieuses surviennent plus tard, le jour 2. Des problèmes peuvent survenir si vous ne surveillez pas constamment et ne corrigez pas votre repository pour éviter les vulnérabilités de sécurité et d'autres problèmes. Je discuterai de ces problèmes et des solutions possibles dans la troisième partie de ma série de blogs.
Planification
Il est important de noter que le Veeam Hardened Repository doit être un serveur physique. Bien que la création d'un VHR virtuel soit acceptable pour les tests, cela va à l'encontre de l'objectif de durcissement s'il est utilisé en production, car la VM est vulnérable à la couche de virtualisation. Quiconque a des privilèges administratifs peut facilement supprimer la machine virtuelle ou modifier/chiffrer les données, éliminant ainsi tout durcissement du système d'exploitation qui était présent.
Il est de la plus haute importance que le serveur physique soit dans un environnement sécurisé et surveillé. Si un acteur malveillant parvient à obtenir un accès physique à votre serveur, il peut le détruire ou même démarrer à partir d'une clé USB et détruire logiquement les disques et les informations qu'ils contiennent.
Matériel
La question suivante qui se pose souvent est : « Quel type de serveur doit être acheté, et quel sera le design physique ? » Cette question dépend de nombreux facteurs, de qui est votre fournisseur préféré à la technologie de serveur avec laquelle vous êtes le plus familier. La réponse est de choisir ce que vous connaissez et en qui vous avez confiance. N'oubliez pas de prévoir d'utiliser RAID (soit HW soit SW). Par exemple, une solution simple serait de tirer parti de DAS et de Raid 6 ou 60.
Dimensionnement
En ce qui concerne le dimensionnement, la considération la plus importante est l'immuabilité. Contrairement à d'autres repositories, le dimensionnement du Veeam Hardened repository stockage immuable peut être délicat. Il y a peu de marge d'erreur puisque vos données de sauvegarde sont immuables, et vous ne pouvez pas les supprimer. Bien sûr, sur un Veeam Hardened repository, rien ne vous empêche de vous connecter en tant que root et d'appliquer des commandes impératives pour supprimer l'immuabilité (ou même de formater le disque, d'ailleurs), mais cela va à l'encontre du principe même d'avoir un repository durci sécurisé en premier lieu.
Construction
De nombreux ensembles d'instructions sont désormais disponibles pour vous aider à construire un Veeam Hardened Repository. Face à de nombreux choix, il faut décider quelle méthode utiliser en fonction de quelques considérations critiques. Tout d'abord, vous devez tirer parti d'un système d'exploitation que vous connaissez. Ce n'est pas un domaine pour l'expérimentation ou l'apprentissage par essais et erreurs. Veeam recommande d'utiliser Ubuntu 20.04, et ils fournissent un ensemble d'instructions étape par étape dans leur guide utilisateur.
En passant, ils mentionnent également d'utiliser le repository comme un proxy VMware en mode réseau. Cependant, je m'en tiendrais à limiter le rôle à celui d'un repository Veeam. Il est important de se rappeler que tout rôle supplémentaire augmentera la surface d'attaque du VHR. Le concept de durcissement des serveurs est basé sur le minimalisme. Moins il y a de choses à attaquer, mieux c'est.
Il existe de nombreux autres guides et blogs sur la configuration d'un VHR (également connu sous le nom de Linux Hardened Repository), et je recommande de les consulter également. Certains peuvent être plus anciens, et Veeam évolue constamment, donc j'utiliserais néanmoins la documentation officielle de Veeam comme point de référence préliminaire.
Le Veeam Vanguard Didier Van Hoye a réalisé un blog de configuration approfondie.
Il a également une vidéo YouTube plus récente disponible.
Si vous envisagez d'utiliser Red Hat Linux comme votre système d'exploitation serveur, Marco Escobar a créé un blog sur ce sujet il y a quelques années.
Une autre excellente source d'informations à jour est les forums R&D de Veeam. Assurez-vous de vous inscrire et de suivre les discussions. Les chefs de projet de Veeam surveillent de près ces forums et peuvent également être une source d'informations concernant les nouvelles fonctionnalités.
L'ISO du Veeam Hardened Repository
Veeam a également essayé de simplifier le processus de construction du VHR en fournissant sa propre ISO de repository durci. L'ISO a tous les paramètres de durcissement souhaités intégrés par défaut. L'idée est d'aider les utilisateurs à éviter toute erreur lors de la configuration, ce qui pourrait exposer involontairement le système d'exploitation et le repository à une attaque.
Hannes Kasparick, analyste senior en gestion de produits chez Veeam, a fourni d'excellentes instructions de configuration étape par étape en utilisant le lien de téléchargement ici.
Rick Vanover, directeur senior de la stratégie produit pour Veeam Software, a un post dédié au VHR et promet des mises à jour critiques lors de VeeamON 2024.
Il a également un fichier markdown sur GitHub avec des détails essentiels sur l'ISO du VHR.
Timothy Dewin, architecte de solutions chez Veeam, a créé un script qui pourrait être modifié ou utilisé comme base. Encore une fois, il est essentiel de se rappeler de vérifier les dates de toutes les instructions et scripts que vous trouvez sur Internet concernant le VHR et de vous assurer qu'ils sont à jour.
Les instructions de Veeam sont pour Ubuntu 20.04, mais si vous préférez être plus à la pointe, Eric Henry d'Epic IT a un blog avec des instructions pour créer un VHR avec Ubuntu 22.04 sur du matériel HPE.
Verrouillage
Un repository Veeam durci est durci parce qu'il a été verrouillé. Alors, que signifie verrouiller un serveur Linux ?
- MFA et mots de passe forts
- Désactiver SSH
(si vous devez activer périodiquement SSH pour mettre à jour des logiciels ou du firmware, utilisez alors des clés SSH au lieu de mots de passe, en désactivant ces derniers) - Mettre à jour le système régulièrement et appliquer des correctifs de sécurité d'urgence au besoin
- Installer le minimum de paquets logiciels nécessaires au fonctionnement d'un repository.
- Désactiver le compte Root.
- Activer le pare-feu et autoriser uniquement les ports nécessaires pour Veeam.
- Utiliser AppArmor ou SELinux
Assurez-vous de suivre le DISA-STIG, qui est disponible pour Ubuntu 20.04. Veeam a également listé quelles sections de cela s'appliquent au Veeam Hardened Repository et comment les appliquer:
Linux, mais quel Linux ?
Il existe de nombreuses variantes de Linux, ou si l'on dit plus correctement, des distributions de Linux. Cela crée un défi pour les fournisseurs et les utilisateurs. La distribution de Linux qu'une entreprise utilise ou maîtrise peut différer de la version contenue dans la documentation officielle de Veeam. Tous ces facteurs doivent être pris en compte lors de la construction de votre repository durci.
La documentation de Veeam utilise Ubuntu, mais d'un point de vue technique, vous pouvez utiliser Red Hat, Oracle ou toute autre distribution qui prend en charge le système de fichiers XFS.
Conclusion
Le Veeam Hardened Repository est une excellente solution pour les organisations disposant de la quantité appropriée de personnel qualifié pour le maintenir. Il existe de nombreuses façons de construire le VHR ; dans chaque cas, les organisations devraient tirer parti de ce avec quoi elles sont le plus à l'aise économiquement et en termes de ressources. La mise en place du VHR n'est que la première étape et peut-être la plus facile. Ce qui vient ensuite est critique pour protéger vos données correctement sauvegardées. Même un VHR bien construit deviendra vulnérable s'il n'est pas correctement surveillé et mis à jour. Dans la prochaine partie de cette série de blogs, je passerai en revue ces tâches du jour 2 et soulignerai l'importance de chacune.