Zusätzlicher Backupschutz gegen Ransomware Befall

Hallo zusammen,

wir nutzen Veeam Backup & Replication als Backup für unsere Server und Files. Es werden immer on-side beim Kunden Backups auf einem On-Prem Backup2Disk storage durchgeführt und nachts werden die Backups via einem Scale-Out Repo zu uns ins Rechenzentrum übertragen.

Jetzt möchten wir die Backupsysteme noch mehr absichern vor Ransomware Befall und anderen Bedrohungen. Primär geht es eigentlich darum, das ein potentieller Hacker welche angenommen ein Kundensystem kompromittiert hat, nicht auch die Möglichkeit hat, via dem Veeam Management auf die Backups im RZ zu gelangen.

Was wäre da der einfachste Schutz um dies zu verhinden? Aktuell gibt es keine Offline Tapes, welche Backups wegsichern.

Die Überlegung war ein Block-basiertes Storage aufzubauen und von Veeam in der version 11 neu die immutable harened linux Methode zu verwenden.
Hat damit schon jemand Erfhahrung gemacht? Bisher war es ja nur möglich die Funktion mit einem S3 Bucket Containerbasiert zu nutzen.

Was denkt ihr wäre die beste Möglichkeit einen einfachen Schutz für Ransomware zusätzlich zu nutzen?

Danke und Gruss
staybb

Content-Key: 666492

Url: https://administrator.de/contentid/666492

Ausgedruckt am: 17.06.2021 um 19:06 Uhr

Mitglied: ElmerAcmeee
ElmerAcmeee am 06.05.2021
Hallo,
unabhängig von Veeam, hatten wir das mal mit zwei Quantum Dedup Appliances umgesetzt.
Das Backup geht auf die lokale Appliance und Nachts wird ein Snapshot über den internen Quantum Mechanismus an eine externe Appliance kopiert. Auf der Externen kann man dann x Snapshots vorhalten.
Vorteile:
- minimaler Traffic, da nur "unbekannte" Blöcke übetragen werden
- keinerlei Zugriff der Backupsoftware oder sonst irgendwie auf die Snapshots der externen Appliance
Nachteil:
- man muss auf die Funktion vertauen, da man nicht auf einfachem Weg an die Snapshots gelangt um das zu prüfen
Gruß
Mitglied: Fabezz
Fabezz am 06.05.2021
Hi,
schau dir Mal Cloudian an. Die arbeiten mit Veeam zusammen. Sicherheit durch Object Lock.

https://cloudian.com/de/lp/forrester-report-protection-from-ransomware-a ...

Gibt's auch als 5 Node Appliance vom Partner für einen schmalen Taler

https://rnt.de/wp-content/uploads/Sheet-Yowie_Cloudian_en.pdf

Grüße
Mitglied: StefanKittel
StefanKittel aktualisiert am 06.05.2021
Hallo,

Die einfachste Lösung ist ein "Netzwerkpapierkorb".
Kann z.B. jedes QNAP.
Alles was Jemand löscht oder überschreibt ladent dort und kann vom normalen Benutzer nicht gelöscht werden.

Alternativ Borgbackup.
Hier kann man angeben, dass der User nur Schreiben, aber nicht löschen kann.

Bei S3 Speicher gibt es Object Lock.
Das ist viel universeller.

Oder eine Hetzner Storagebox.
Dort gibt es tägliche Snapshots

Stefan
Mitglied: nEmEsIs
nEmEsIs am 06.05.2021
Hi

Dachte ab V11 gibt es das gehen ransomware:

Hardened Linux backup repositories with immutable backups

Quelle: https://4sysops.com/archives/veeam-backup-replication-v11-now-includes-c ...

Habe aber keine Erfahrung mit gesammelt

Mit freundlichen Grüßen Nemesis
Mitglied: tech-flare
tech-flare am 08.05.2021
Zitat von @StefanKittel:

Hallo,

Die einfachste Lösung ist ein "Netzwerkpapierkorb".
Kann z.B. jedes QNAP.
Alles was Jemand löscht oder überschreibt ladent dort und kann vom normalen Benutzer nicht gelöscht werden.
Und wenn es nicht gelöscht, sondern nur verschlüsselt wird?

Kommt man mit der Idee nicht weit.
Mitglied: tech-flare
tech-flare aktualisiert am 08.05.2021
Hallo,

Die einfachste und günstige Vatiante bringt Veeam ja bereits mit wie du selbst sagst.

Du nimmst ein NAS, erstellst ein blockbasiertes LUN auf dem NAS und verbindest es mit einem Linux Server per Iscsi. Bestenfalls direkt ohne Switch dazwischen und der Linux Server sollte physisch sein.

Dann konfigurierst die Immutable Backups und deaktivierst auf dem Linux Server SSH komplett. Für Jeden!

Veeam kommuniziert über ein Agent mit dem Server. SSH wird nach der Einrichtung nicht mehr benötigt.

Die Einrichtung ist bei VEEAM Schritt für Schritt erklärt.

Im schlimmsten fall kannst du ja dann direkt via Monitor an den Linux Server bzw via IPMI, IRMC.

Wir nutzen übrigens diese Form der immutable Backups und eine Tape Library. Somit haben wir einmal offline Backups und eine Disk Backups, welche einen Obejct Lock haben.

Zum Test kannst du versuchen die Backups zu löschen… du wirst scheitern…. Der root User müsste erst das Lock Flag entfernen. Da aber SSH abgeschalteten ist, wird das schwer.

Vorausgesetzt IPMI ist dementsprechend gesichert und enthält nicht nur das Standard Kennwort
Mitglied: 146211
146211 am 08.05.2021
VMware & Veeam nutzen wir bei all unseren Kunden, alles andere kommt für uns und unsere Kunden gar nicht in Frage.

Backup lokal beim Kunden lokal bis 02:00h abgeschlossen und ab 03:00h dann in unser Datacenter. Dort auf ein Hardened Linux backup repositories with immutable backups.


Gute Anleitung dazu:
https://www.starwindsoftware.com/blog/veeam-hardened-linux-repository-pa ...
Heiß diskutierte Beiträge
Administrator.de Feedback
Neue Administrator Version
FrankVor 1 TagInformationAdministrator.de Feedback59 Kommentare

Hallo User, heute Nacht haben wir Release 5.9 unserer Seite veröffentlicht. Diese bringt ein paar grundlegende Neuerungen für unsere User mit sich: Die Suche nach ...

Backup
Backupstrategie
Xaero1982Vor 1 TagFrageBackup38 Kommentare

Nabend Zusammen, wir bekommen es ja leider alle immer wieder mal mit, dass es auch große Firmen gibt, die von irgendwelchen Verschlüsselungstrojanern verseucht werden. Aktuell ...

Windows 10
Windows 11 Vorabversion aufgetaucht
NixVerstehenVor 1 TagTippWindows 1021 Kommentare

Auf Deskmodder.de ist ein Bericht über eine im Netz aufgetauchte Vorabversion von Windows 11 aufgetaucht. Der Bericht: Deskmodder.de - Windows 11 Vorabversion Bericht Download der ...

Internet Domänen
Domaine Join via VPN
SpryceeVor 1 TagFrageInternet Domänen4 Kommentare

Hallo, ich bin gerade dabei die namen einiger rechner umzubenennen dabei verwende ich ein Powershell script welches auf dem rechner ausgeführt wird. Jetzt gibt es ...

Windows Server
Durchgeschliffener Drucker funktioniert auf dem Server nicht
Disse1987Vor 1 TagFrageWindows Server12 Kommentare

Hallo zusammen, wieder einmal muss ich mich an euch wenden da wir mit unserem Latein am Ende sind. Seid ein paar Tagen hat eine Kundin ...

Hardware
PC und Monitor über Entfernung verbinden
gelöst ben1300Vor 12 StundenFrageHardware14 Kommentare

Guten Morgen :) folgende IST Situation: Ich habe einen Gaming PC, welchen meine Freundin gerne nutzt, z.B. für das "legendäre" Spiel Sims 4 ;) Normalerweise ...

Windows Server
Auf Active Directory Benutzer und Computer von Windows 10 zugreifen
RealThoreVor 1 TagFrageWindows Server9 Kommentare

Hallo zusammen, da wir in der Abteilung (10 Leute) uns regelmäßig um die RDP Sessions auf unseren DCs (2012 R2) prügeln, wolle ich mal nachfragen, ...

Sicherheit
Windows Server und Callback Server
gelöst samreinVor 1 TagFrageSicherheit4 Kommentare

Moin zusammen, heute Nacht wurde unser öffentlicher IP Addressbereich angegriffen. Auf einem Windows 2016 Gateway Server der ausschliesslich über Port 443 erreichbar ist sprang sogar ...