staybb
Goto Top

Zusätzlicher Backupschutz gegen Ransomware Befall

Hallo zusammen,

wir nutzen Veeam Backup & Replication als Backup für unsere Server und Files. Es werden immer on-side beim Kunden Backups auf einem On-Prem Backup2Disk storage durchgeführt und nachts werden die Backups via einem Scale-Out Repo zu uns ins Rechenzentrum übertragen.

Jetzt möchten wir die Backupsysteme noch mehr absichern vor Ransomware Befall und anderen Bedrohungen. Primär geht es eigentlich darum, das ein potentieller Hacker welche angenommen ein Kundensystem kompromittiert hat, nicht auch die Möglichkeit hat, via dem Veeam Management auf die Backups im RZ zu gelangen.

Was wäre da der einfachste Schutz um dies zu verhinden? Aktuell gibt es keine Offline Tapes, welche Backups wegsichern.

Die Überlegung war ein Block-basiertes Storage aufzubauen und von Veeam in der version 11 neu die immutable harened linux Methode zu verwenden.
Hat damit schon jemand Erfhahrung gemacht? Bisher war es ja nur möglich die Funktion mit einem S3 Bucket Containerbasiert zu nutzen.

Was denkt ihr wäre die beste Möglichkeit einen einfachen Schutz für Ransomware zusätzlich zu nutzen?

Danke und Gruss
staybb

Content-Key: 666492

Url: https://administrator.de/contentid/666492

Printed on: February 24, 2024 at 00:02 o'clock

Member: ElmerAcmeee
ElmerAcmeee May 06, 2021 at 17:36:24 (UTC)
Goto Top
Hallo,
unabhängig von Veeam, hatten wir das mal mit zwei Quantum Dedup Appliances umgesetzt.
Das Backup geht auf die lokale Appliance und Nachts wird ein Snapshot über den internen Quantum Mechanismus an eine externe Appliance kopiert. Auf der Externen kann man dann x Snapshots vorhalten.
Vorteile:
- minimaler Traffic, da nur "unbekannte" Blöcke übetragen werden
- keinerlei Zugriff der Backupsoftware oder sonst irgendwie auf die Snapshots der externen Appliance
Nachteil:
- man muss auf die Funktion vertauen, da man nicht auf einfachem Weg an die Snapshots gelangt um das zu prüfen
Gruß
Member: Fabezz
Fabezz May 06, 2021 at 17:58:07 (UTC)
Goto Top
Hi,
schau dir Mal Cloudian an. Die arbeiten mit Veeam zusammen. Sicherheit durch Object Lock.

https://cloudian.com/de/lp/forrester-report-protection-from-ransomware-a ...

Gibt's auch als 5 Node Appliance vom Partner für einen schmalen Taler

https://rnt.de/wp-content/uploads/Sheet-Yowie_Cloudian_en.pdf

Grüße
Member: StefanKittel
StefanKittel May 06, 2021 updated at 19:12:57 (UTC)
Goto Top
Hallo,

Die einfachste Lösung ist ein "Netzwerkpapierkorb".
Kann z.B. jedes QNAP.
Alles was Jemand löscht oder überschreibt ladent dort und kann vom normalen Benutzer nicht gelöscht werden.

Alternativ Borgbackup.
Hier kann man angeben, dass der User nur Schreiben, aber nicht löschen kann.

Bei S3 Speicher gibt es Object Lock.
Das ist viel universeller.

Oder eine Hetzner Storagebox.
Dort gibt es tägliche Snapshots

Stefan
Member: nEmEsIs
nEmEsIs May 06, 2021 at 20:35:18 (UTC)
Goto Top
Hi

Dachte ab V11 gibt es das gehen ransomware:

Hardened Linux backup repositories with immutable backups

Quelle: https://4sysops.com/archives/veeam-backup-replication-v11-now-includes-c ...

Habe aber keine Erfahrung mit gesammelt

Mit freundlichen Grüßen Nemesis
Member: tech-flare
tech-flare May 08, 2021 at 07:52:12 (UTC)
Goto Top
Zitat von @StefanKittel:

Hallo,

Die einfachste Lösung ist ein "Netzwerkpapierkorb".
Kann z.B. jedes QNAP.
Alles was Jemand löscht oder überschreibt ladent dort und kann vom normalen Benutzer nicht gelöscht werden.
Und wenn es nicht gelöscht, sondern nur verschlüsselt wird?

Kommt man mit der Idee nicht weit.
Member: tech-flare
tech-flare May 08, 2021 updated at 07:59:41 (UTC)
Goto Top
Hallo,

Die einfachste und günstige Vatiante bringt Veeam ja bereits mit wie du selbst sagst.

Du nimmst ein NAS, erstellst ein blockbasiertes LUN auf dem NAS und verbindest es mit einem Linux Server per Iscsi. Bestenfalls direkt ohne Switch dazwischen und der Linux Server sollte physisch sein.

Dann konfigurierst die Immutable Backups und deaktivierst auf dem Linux Server SSH komplett. Für Jeden!

Veeam kommuniziert über ein Agent mit dem Server. SSH wird nach der Einrichtung nicht mehr benötigt.

Die Einrichtung ist bei VEEAM Schritt für Schritt erklärt.

Im schlimmsten fall kannst du ja dann direkt via Monitor an den Linux Server bzw via IPMI, IRMC.

Wir nutzen übrigens diese Form der immutable Backups und eine Tape Library. Somit haben wir einmal offline Backups und eine Disk Backups, welche einen Obejct Lock haben.

Zum Test kannst du versuchen die Backups zu löschen… du wirst scheitern…. Der root User müsste erst das Lock Flag entfernen. Da aber SSH abgeschalteten ist, wird das schwer.

Vorausgesetzt IPMI ist dementsprechend gesichert und enthält nicht nur das Standard Kennwort
Mitglied: 146211
146211 May 08, 2021 at 15:41:25 (UTC)
Goto Top
VMware & Veeam nutzen wir bei all unseren Kunden, alles andere kommt für uns und unsere Kunden gar nicht in Frage.

Backup lokal beim Kunden lokal bis 02:00h abgeschlossen und ab 03:00h dann in unser Datacenter. Dort auf ein Hardened Linux backup repositories with immutable backups.


Gute Anleitung dazu:
https://www.starwindsoftware.com/blog/veeam-hardened-linux-repository-pa ...