Svelare i segreti del Veeam Hardened Repository Parte 2

Nel mio blog precedente, ho discusso del Veeam Hardened Repository, perché ne abbiamo bisogno, i suoi usi e le sue limitazioni. Oggi voglio discutere questo argomento in modo più dettagliato fornendo collegamenti alle istruzioni di costruzione con commento. Ci sono numerosi modi per costruire un Veeam Hardened Repository, e bisogna scegliere con attenzione quale metodo utilizzare, poiché eventuali errori o miscalcoli saranno molto difficili da risolvere in seguito. 

È anche importante ricordare che costruire un Veeam Hardened Repository non è necessariamente un compito così difficile, specialmente se si seguono le istruzioni fornite da Veeam nella loro guida utente o nelle guide offerte da vari blogger ed esperti della comunità. Le difficoltà e le responsabilità serie arrivano più tardi, nel giorno 2. Possono sorgere problemi se non si monitora e si aggiorna costantemente il proprio repository per evitare vulnerabilità di sicurezza e altri problemi. Discuterò di questi problemi e delle possibili soluzioni nella terza parte della mia serie di blog.

Pianificazione

È importante notare che il Veeam Hardened Repository dovrebbe essere un server fisico. Sebbene creare un VHR virtuale sia accettabile per i test, vanifica lo scopo di indurire se utilizzato in produzione perché la VM è vulnerabile allo strato di virtualizzazione. Chiunque abbia privilegi amministrativi può facilmente eliminare la macchina virtuale o modificare/crittografare i dati, eliminando così qualsiasi indurimento del sistema operativo che era presente. 

È di fondamentale importanza che il server fisico si trovi in un ambiente sicuro e monitorato. Se un attore malintenzionato riesce in qualche modo ad avere accesso fisico al tuo server, può distruggerlo o addirittura avviarlo da un'unità flash e distruggere logicamente i dischi e le informazioni in essi contenute.

Hardware

La prossima domanda che spesso sorge è: “Che tipo di server dovrebbe essere acquistato e quale sarà il design fisico?” Questa domanda dipende da molti fattori, da chi è il tuo fornitore preferito a quale tecnologia server conosci meglio. La risposta è di andare con ciò che conosci e di cui ti fidi. Ricorda di pianificare di utilizzare RAID (sia HW che SW). Ad esempio, una soluzione semplice sarebbe sfruttare DAS e Raid 6 o 60.

Dimensionamento

Quando si tratta di dimensionamento, la considerazione più importante è l'immutabilità. A differenza di altri repository, il dimensionamento del Veeam Hardened repository archivio immutabile può essere complicato. C'è poco margine per errori poiché i tuoi dati di backup sono immutabili e non puoi eliminarli. Naturalmente, su un Veeam Hardened repository, nulla ti impedisce di accedere come root e applicare comandi imperativi per rimuovere l'immutabilità (o persino formattare l'unità, a dire il vero), ma questo va contro il principio stesso di avere un repository sicuro e indurito in primo luogo.

Costruzione 

Molti set di istruzioni sono ora disponibili per aiutarti a costruire un Veeam Hardened Repository. Di fronte a molte scelte, bisogna decidere quale metodo utilizzare basandosi su alcune considerazioni critiche. Prima di tutto, devi sfruttare un sistema operativo con cui sei familiare. Questa non è un'area per esperimenti o apprendimento per tentativi ed errori. Veeam raccomanda di utilizzare Ubuntu 20.04 e fornisce un set di istruzioni passo-passo nella loro guida utente.   

A proposito, menzionano anche di sfruttare il repository come proxy VMware in modalità rete. Tuttavia, io limiterei il ruolo a quello esclusivamente di repository Veeam. È importante ricordare che eventuali ruoli aggiuntivi aumenteranno la superficie di attacco del VHR. Il concetto di indurimento del server si basa sul minimalismo. Meno c'è da attaccare, meglio è. 

Ci sono molte altre guide e blog su come impostare un VHR (noto anche come Linux Hardened Repository), e ti consiglio di dare un'occhiata anche a questi. Alcuni potrebbero essere più vecchi, e Veeam sta evolvendo costantemente, quindi utilizzerei comunque la documentazione ufficiale di Veeam come punto di riferimento preliminare.

Il Veeam Vanguard Didier Van Hoye ha realizzato un blog di approfondimento sulla configurazione.

Ha anche un più recente video YouTube disponibile.

Se intendi utilizzare Red Hat Linux come tuo sistema operativo server, Marco Escobar ha creato un blog su questo argomento alcuni anni fa.
Un'altra eccellente fonte di informazioni aggiornate sono i forum R&D di Veeam. Assicurati di iscriverti e seguire i thread. I Project Manager di Veeam monitorano attentamente questi forum e possono anche essere una fonte di informazioni riguardanti nuove funzionalità.

L'ISO del Veeam Hardened Repository

Veeam ha anche cercato di semplificare il processo di costruzione del VHR fornendo il proprio ISO del repository indurito. L'ISO ha tutte le impostazioni di indurimento desiderate integrate per impostazione predefinita. L'idea è di aiutare gli utenti a evitare errori durante la configurazione, che potrebbero esporre involontariamente il sistema operativo e il repository ad attacchi.

Hannes Kasparick, Senior Analyst in Product Management presso Veeam, ha fornito eccellenti istruzioni di configurazione passo-passo utilizzando il link per il download qui.

Rick Vanover, Senior Director of Product Strategy per Veeam Software, ha un post dedicato al VHR e promette alcuni aggiornamenti critici a VeeamON 2024.

Ha anche un file markdown su GitHub con dettagli essenziali sull'ISO del VHR.

Timothy Dewin, Veeam Solutions Architect, ha creato uno script che potrebbe essere modificato o utilizzato come base. Ancora una volta, è essenziale ricordare di controllare le date di tutte le istruzioni e gli script che trovi su internet riguardanti il VHR e verificare che siano mantenuti aggiornati. 

Le istruzioni di Veeam sono per Ubuntu 20.04, ma se preferisci essere più all'avanguardia, Eric Henry di Epic IT ha un blog con istruzioni per creare un VHR con Ubuntu 22.04 su hardware HPE.

Blocco

Un repository Veeam indurito è indurito perché è stato bloccato. Quindi, cosa comporta il blocco di un server Linux?

1. MFA e password forti
2. Disabilitare SSH 
   (se hai bisogno di abilitare periodicamente SSH per aggiornare software o firmware, utilizza le chiavi SSH invece delle password, disabilitando queste ultime)
3. Aggiornare regolarmente il sistema e applicare patch di sicurezza di emergenza ad hoc
4. Installare il minimo indispensabile di pacchetti software necessari per il funzionamento di un repository.
5. Disabilitare l'account Root.
6. Attivare il firewall e consentire solo le porte necessarie per Veeam.
7. Utilizzare AppArmor o SELinux

Assicurati di seguire il DISA-STIG, che è disponibile per Ubuntu 20.04. Veeam ha anche elencato quali sezioni di questo si applicano al Veeam Hardened Repository e come applicarle:

Linux, ma quale Linux?

Ci sono molti diversi sapori di Linux, o se detto più correttamente, distribuzioni di Linux. Questo crea una sfida sia per i fornitori che per gli utenti. La distribuzione di Linux che un'azienda utilizza o in cui ha competenza potrebbe differire dalla versione contenuta nella documentazione ufficiale di Veeam. Tutti questi fattori devono essere considerati quando si costruisce il proprio repository indurito. 

La documentazione di Veeam utilizza Ubuntu, ma da un punto di vista tecnico, puoi utilizzare Red Hat, Oracle o qualsiasi altra distribuzione che supporti il file system XFS.

Conclusione

Il Veeam Hardened Repository è un'ottima soluzione per le organizzazioni con la quantità appropriata di personale qualificato per mantenerlo. Ci sono numerosi modi per costruire il VHR; in ogni caso, le organizzazioni dovrebbero sfruttare ciò con cui si sentono più a loro agio dal punto di vista economico e delle risorse. Configurare il VHR è solo il primo passo e forse il più semplice. Ciò che viene dopo è critico per proteggere i tuoi dati correttamente eseguiti il backup. Anche un VHR ben costruito diventerà vulnerabile se non viene adeguatamente  monitorato e aggiornato. Nella prossima parte di questa serie di blog, esaminerò questi compiti del Giorno 2 e sottolineerò l'importanza di ciascuno.