Desvendando os Segredos do Repositório Endurecido da V
No meu blog anterior, discuti o Veeam Hardened Repository, por que precisamos dele, suas utilizações e suas limitações. Hoje, quero discutir este assunto em mais detalhes, fornecendo links para instruções de construção com comentários. Existem inúmeras maneiras de construir um Veeam Hardened Repository, e é preciso escolher cuidadosamente qual método usar, pois quaisquer erros ou equívocos serão muito difíceis de resolver mais adiante.
É também importante lembrar que construir um Veeam Hardened Repository não é necessariamente uma tarefa tão difícil, especialmente se você seguir as instruções fornecidas pela Veeam em seu guia do usuário ou guias oferecidos por vários blogueiros e especialistas da comunidade. As dificuldades e responsabilidades sérias surgem depois, no dia 2. Problemas podem surgir se você não monitorar e corrigir constantemente seu repositório para evitar vulnerabilidades de segurança e outros problemas. Discutirei esses problemas e possíveis soluções na terceira parte da minha série de blogs.
Planejamento
É importante notar que o Veeam Hardened Repository deve ser um servidor físico. Embora criar um VHR virtual seja aceitável para testes, isso anula o propósito de endurecimento se usado em produção, pois a VM é vulnerável à camada de virtualização. Qualquer pessoa com privilégios administrativos pode facilmente excluir a máquina virtual ou modificar/encriptar os dados, eliminando assim qualquer endurecimento do SO que estava presente.
É de extrema importância que o servidor físico esteja em um ambiente seguro e monitorado. Se um agente malicioso conseguir acesso físico ao seu servidor, ele pode destruí-lo ou até mesmo inicializar a partir de um pen drive e destruir logicamente os discos e as informações contidas neles.
Hardware
A próxima pergunta que frequentemente surge é: “Que tipo de servidor deve ser adquirido e qual será o design físico?” Essa pergunta depende de muitos fatores, desde quem é seu fornecedor preferido até qual tecnologia de servidor você está mais familiarizado. A resposta é optar pelo que você conhece e confia. Lembre-se de planejar o uso de RAID (seja HW ou SW). Por exemplo, uma solução simples seria aproveitar DAS e Raid 6 ou 60.
Dimensionamento
Quando se trata de dimensionamento, a consideração mais importante é a imutabilidade. Ao contrário de outros repositórios, o dimensionamento do repositório Veeam Hardened armazenamento imutável pode ser complicado. Há pouca margem para erros, uma vez que seus dados de backup são imutáveis e você não pode excluí-los. Claro, em um repositório Veeam Hardened, nada impede que você faça login como root e aplique comandos imperativos para remover a imutabilidade (ou até mesmo formatar o disco, para esse assunto), mas isso vai contra todo o princípio de ter um repositório endurecido seguro em primeiro lugar.
Construção
Muitos conjuntos de instruções estão agora disponíveis para ajudá-lo a construir um Veeam Hardened Repository. Diante de muitas escolhas, é preciso decidir qual método usar com base em algumas considerações críticas. Primeiro e acima de tudo, você deve aproveitar um sistema operacional com o qual esteja familiarizado. Esta não é uma área para experimentação ou aprendizado por tentativa e erro. A Veeam recomenda aproveitar o Ubuntu 20.04, e eles fornecem um conjunto de instruções passo a passo em seu guia do usuário.
Em uma nota lateral, eles também mencionam aproveitar o repositório como um proxy VMware em modo de rede. No entanto, eu recomendaria limitar o papel a apenas um repositório Veeam. É importante lembrar que quaisquer funções adicionais aumentarão a superfície de ataque do VHR. O conceito de endurecimento de servidor é baseado no minimalismo. Quanto menos houver para atacar, melhor.
Existem muitos outros guias e blogs sobre como configurar um VHR (também conhecido como Repositório Linux Endurecido), e eu recomendo que você os consulte também. Alguns podem ser mais antigos, e a Veeam está em constante evolução, então eu ainda usaria a documentação oficial da Veeam como ponto de referência preliminar.
O Veeam Vanguard Didier Van Hoye fez um blog de configuração aprofundada.
Ele também tem um vídeo no YouTube mais recente disponível.
Se você pretende usar o Red Hat Linux como seu SO de servidor, Marco Escobar criou um blog sobre esse assunto há alguns anos.
Outra excelente fonte de informações atualizadas são os fóruns de P&D da Veeam. Certifique-se de se inscrever e acompanhar os tópicos. Os Gerentes de Projetos da Veeam monitoram de perto esses fóruns e também podem ser uma fonte de informações sobre novos recursos.
O ISO do Veeam Hardened Repository
A Veeam também tentou simplificar o processo de construção do VHR fornecendo seu próprio ISO de repositório endurecido. O ISO tem todas as configurações de endurecimento desejadas incorporadas por padrão. A ideia é ajudar os usuários a evitar quaisquer erros durante a configuração, que poderiam expor inadvertidamente o SO e o repositório a ataques.
Hannes Kasparick, Analista Sênior em Gestão de Produtos na Veeam, forneceu excelentes instruções de configuração passo a passo usando o link de download aqui.
Rick Vanover, Diretor Sênior de Estratégia de Produtos da Veeam Software, tem uma postagem dedicada ao VHR e promete algumas atualizações críticas na VeeamON 2024.
Ele também tem um arquivo markdown no GitHub com detalhes essenciais sobre o ISO do VHR.
Timothy Dewin, Arquiteto de Soluções da Veeam, criou um script que pode ser modificado ou usado como base. Novamente, é essencial lembrar de verificar as datas de todas as instruções e scripts que você encontra na internet sobre o VHR e verificar se estão sendo mantidos atualizados.
As instruções da Veeam são para Ubuntu 20.04, mas se você preferir estar mais na vanguarda, Eric Henry da Epic IT tem um blog com instruções para criar um VHR com Ubuntu 22.04 em hardware HPE.
Bloqueio
Um repositório Veeam endurecido é endurecido porque foi bloqueado. Então, o que implica bloquear um servidor Linux?
- MFA e senhas fortes
- Desativar SSH
(se você precisar habilitar o SSH periodicamente para atualizar software ou firmware, então utilize chaves SSH em vez de senhas, desativando estas últimas) - Atualizar o sistema regularmente e aplicar patches de segurança emergenciais ad hoc
- Instalar o mínimo necessário de pacotes de software para que um repositório funcione.
- Desativar a conta Root.
- Ativar o firewall e permitir apenas as portas necessárias para a Veeam.
- Utilizar AppArmor ou SELinux
Certifique-se de seguir o DISA-STIG, que está disponível para Ubuntu 20.04. A Veeam também listou quais seções disso se aplicam ao Veeam Hardened Repository e como aplicá-las:
Linux, mas qual Linux?
Existem muitos sabores diferentes de Linux, ou se declarado de forma mais correta, distribuições de Linux. Isso cria um desafio tanto para fornecedores quanto para usuários. A distribuição de Linux que uma empresa usa ou tem expertise pode diferir da versão contida na documentação oficial da Veeam. Todos esses fatores devem ser considerados ao construir seu repositório endurecido.
A documentação da Veeam utiliza Ubuntu, mas do ponto de vista técnico, você pode usar Red Hat, Oracle ou qualquer outra distribuição que suporte o sistema de arquivos XFS.
Conclusão
O Veeam Hardened Repository é uma excelente solução para organizações com a quantidade apropriada de pessoal qualificado para mantê-lo. Existem inúmeras maneiras de construir o VHR; em cada caso, as organizações devem aproveitar o que estão mais confortáveis em termos econômicos e de recursos. Configurar o VHR é apenas o primeiro passo e talvez o mais fácil. O que vem a seguir é crítico ao proteger seus dados devidamente respaldados. Mesmo um VHR bem construído se tornará vulnerável se não for adequadamente monitorado e atualizado. Na próxima parte desta série de blogs, revisarei essas tarefas do Dia 2 e enfatizarei a importância de cada uma.