Zusätzlicher Backupschutz gegen Ransomware Befall
Hallo zusammen,
wir nutzen Veeam Backup & Replication als Backup für unsere Server und Files. Es werden immer on-side beim Kunden Backups auf einem On-Prem Backup2Disk storage durchgeführt und nachts werden die Backups via einem Scale-Out Repo zu uns ins Rechenzentrum übertragen.
Jetzt möchten wir die Backupsysteme noch mehr absichern vor Ransomware Befall und anderen Bedrohungen. Primär geht es eigentlich darum, das ein potentieller Hacker welche angenommen ein Kundensystem kompromittiert hat, nicht auch die Möglichkeit hat, via dem Veeam Management auf die Backups im RZ zu gelangen.
Was wäre da der einfachste Schutz um dies zu verhinden? Aktuell gibt es keine Offline Tapes, welche Backups wegsichern.
Die Überlegung war ein Block-basiertes Storage aufzubauen und von Veeam in der version 11 neu die immutable harened linux Methode zu verwenden.
Hat damit schon jemand Erfhahrung gemacht? Bisher war es ja nur möglich die Funktion mit einem S3 Bucket Containerbasiert zu nutzen.
Was denkt ihr wäre die beste Möglichkeit einen einfachen Schutz für Ransomware zusätzlich zu nutzen?
Danke und Gruss
staybb
wir nutzen Veeam Backup & Replication als Backup für unsere Server und Files. Es werden immer on-side beim Kunden Backups auf einem On-Prem Backup2Disk storage durchgeführt und nachts werden die Backups via einem Scale-Out Repo zu uns ins Rechenzentrum übertragen.
Jetzt möchten wir die Backupsysteme noch mehr absichern vor Ransomware Befall und anderen Bedrohungen. Primär geht es eigentlich darum, das ein potentieller Hacker welche angenommen ein Kundensystem kompromittiert hat, nicht auch die Möglichkeit hat, via dem Veeam Management auf die Backups im RZ zu gelangen.
Was wäre da der einfachste Schutz um dies zu verhinden? Aktuell gibt es keine Offline Tapes, welche Backups wegsichern.
Die Überlegung war ein Block-basiertes Storage aufzubauen und von Veeam in der version 11 neu die immutable harened linux Methode zu verwenden.
Hat damit schon jemand Erfhahrung gemacht? Bisher war es ja nur möglich die Funktion mit einem S3 Bucket Containerbasiert zu nutzen.
Was denkt ihr wäre die beste Möglichkeit einen einfachen Schutz für Ransomware zusätzlich zu nutzen?
Danke und Gruss
staybb
Please also mark the comments that contributed to the solution of the article
Content-ID: 666492
Url: https://administrator.de/contentid/666492
Printed on: October 9, 2024 at 22:10 o'clock
7 Comments
Latest comment
Hallo,
unabhängig von Veeam, hatten wir das mal mit zwei Quantum Dedup Appliances umgesetzt.
Das Backup geht auf die lokale Appliance und Nachts wird ein Snapshot über den internen Quantum Mechanismus an eine externe Appliance kopiert. Auf der Externen kann man dann x Snapshots vorhalten.
Vorteile:
- minimaler Traffic, da nur "unbekannte" Blöcke übetragen werden
- keinerlei Zugriff der Backupsoftware oder sonst irgendwie auf die Snapshots der externen Appliance
Nachteil:
- man muss auf die Funktion vertauen, da man nicht auf einfachem Weg an die Snapshots gelangt um das zu prüfen
Gruß
unabhängig von Veeam, hatten wir das mal mit zwei Quantum Dedup Appliances umgesetzt.
Das Backup geht auf die lokale Appliance und Nachts wird ein Snapshot über den internen Quantum Mechanismus an eine externe Appliance kopiert. Auf der Externen kann man dann x Snapshots vorhalten.
Vorteile:
- minimaler Traffic, da nur "unbekannte" Blöcke übetragen werden
- keinerlei Zugriff der Backupsoftware oder sonst irgendwie auf die Snapshots der externen Appliance
Nachteil:
- man muss auf die Funktion vertauen, da man nicht auf einfachem Weg an die Snapshots gelangt um das zu prüfen
Gruß
Hi,
schau dir Mal Cloudian an. Die arbeiten mit Veeam zusammen. Sicherheit durch Object Lock.
https://cloudian.com/de/lp/forrester-report-protection-from-ransomware-a ...
Gibt's auch als 5 Node Appliance vom Partner für einen schmalen Taler
https://rnt.de/wp-content/uploads/Sheet-Yowie_Cloudian_en.pdf
Grüße
schau dir Mal Cloudian an. Die arbeiten mit Veeam zusammen. Sicherheit durch Object Lock.
https://cloudian.com/de/lp/forrester-report-protection-from-ransomware-a ...
Gibt's auch als 5 Node Appliance vom Partner für einen schmalen Taler
https://rnt.de/wp-content/uploads/Sheet-Yowie_Cloudian_en.pdf
Grüße
Hallo,
Die einfachste Lösung ist ein "Netzwerkpapierkorb".
Kann z.B. jedes QNAP.
Alles was Jemand löscht oder überschreibt ladent dort und kann vom normalen Benutzer nicht gelöscht werden.
Alternativ Borgbackup.
Hier kann man angeben, dass der User nur Schreiben, aber nicht löschen kann.
Bei S3 Speicher gibt es Object Lock.
Das ist viel universeller.
Oder eine Hetzner Storagebox.
Dort gibt es tägliche Snapshots
Stefan
Die einfachste Lösung ist ein "Netzwerkpapierkorb".
Kann z.B. jedes QNAP.
Alles was Jemand löscht oder überschreibt ladent dort und kann vom normalen Benutzer nicht gelöscht werden.
Alternativ Borgbackup.
Hier kann man angeben, dass der User nur Schreiben, aber nicht löschen kann.
Bei S3 Speicher gibt es Object Lock.
Das ist viel universeller.
Oder eine Hetzner Storagebox.
Dort gibt es tägliche Snapshots
Stefan
Hi
Dachte ab V11 gibt es das gehen ransomware:
Hardened Linux backup repositories with immutable backups
Quelle: https://4sysops.com/archives/veeam-backup-replication-v11-now-includes-c ...
Habe aber keine Erfahrung mit gesammelt
Mit freundlichen Grüßen Nemesis
Dachte ab V11 gibt es das gehen ransomware:
Hardened Linux backup repositories with immutable backups
Quelle: https://4sysops.com/archives/veeam-backup-replication-v11-now-includes-c ...
Habe aber keine Erfahrung mit gesammelt
Mit freundlichen Grüßen Nemesis
Zitat von @StefanKittel:
Hallo,
Die einfachste Lösung ist ein "Netzwerkpapierkorb".
Kann z.B. jedes QNAP.
Alles was Jemand löscht oder überschreibt ladent dort und kann vom normalen Benutzer nicht gelöscht werden.
Und wenn es nicht gelöscht, sondern nur verschlüsselt wird?Hallo,
Die einfachste Lösung ist ein "Netzwerkpapierkorb".
Kann z.B. jedes QNAP.
Alles was Jemand löscht oder überschreibt ladent dort und kann vom normalen Benutzer nicht gelöscht werden.
Kommt man mit der Idee nicht weit.
Hallo,
Die einfachste und günstige Vatiante bringt Veeam ja bereits mit wie du selbst sagst.
Du nimmst ein NAS, erstellst ein blockbasiertes LUN auf dem NAS und verbindest es mit einem Linux Server per Iscsi. Bestenfalls direkt ohne Switch dazwischen und der Linux Server sollte physisch sein.
Dann konfigurierst die Immutable Backups und deaktivierst auf dem Linux Server SSH komplett. Für Jeden!
Veeam kommuniziert über ein Agent mit dem Server. SSH wird nach der Einrichtung nicht mehr benötigt.
Die Einrichtung ist bei VEEAM Schritt für Schritt erklärt.
Im schlimmsten fall kannst du ja dann direkt via Monitor an den Linux Server bzw via IPMI, IRMC.
Wir nutzen übrigens diese Form der immutable Backups und eine Tape Library. Somit haben wir einmal offline Backups und eine Disk Backups, welche einen Obejct Lock haben.
Zum Test kannst du versuchen die Backups zu löschen… du wirst scheitern…. Der root User müsste erst das Lock Flag entfernen. Da aber SSH abgeschalteten ist, wird das schwer.
Vorausgesetzt IPMI ist dementsprechend gesichert und enthält nicht nur das Standard Kennwort
Die einfachste und günstige Vatiante bringt Veeam ja bereits mit wie du selbst sagst.
Du nimmst ein NAS, erstellst ein blockbasiertes LUN auf dem NAS und verbindest es mit einem Linux Server per Iscsi. Bestenfalls direkt ohne Switch dazwischen und der Linux Server sollte physisch sein.
Dann konfigurierst die Immutable Backups und deaktivierst auf dem Linux Server SSH komplett. Für Jeden!
Veeam kommuniziert über ein Agent mit dem Server. SSH wird nach der Einrichtung nicht mehr benötigt.
Die Einrichtung ist bei VEEAM Schritt für Schritt erklärt.
Im schlimmsten fall kannst du ja dann direkt via Monitor an den Linux Server bzw via IPMI, IRMC.
Wir nutzen übrigens diese Form der immutable Backups und eine Tape Library. Somit haben wir einmal offline Backups und eine Disk Backups, welche einen Obejct Lock haben.
Zum Test kannst du versuchen die Backups zu löschen… du wirst scheitern…. Der root User müsste erst das Lock Flag entfernen. Da aber SSH abgeschalteten ist, wird das schwer.
Vorausgesetzt IPMI ist dementsprechend gesichert und enthält nicht nur das Standard Kennwort
VMware & Veeam nutzen wir bei all unseren Kunden, alles andere kommt für uns und unsere Kunden gar nicht in Frage.
Backup lokal beim Kunden lokal bis 02:00h abgeschlossen und ab 03:00h dann in unser Datacenter. Dort auf ein Hardened Linux backup repositories with immutable backups.
Gute Anleitung dazu:
https://www.starwindsoftware.com/blog/veeam-hardened-linux-repository-pa ...
Backup lokal beim Kunden lokal bis 02:00h abgeschlossen und ab 03:00h dann in unser Datacenter. Dort auf ein Hardened Linux backup repositories with immutable backups.
Gute Anleitung dazu:
https://www.starwindsoftware.com/blog/veeam-hardened-linux-repository-pa ...