VEEAM V11 Questions

Hello @AlexandreB , 

Sauf erreur de ma part : c’est le système de fichiers du Repo qui permet à veeam de stocker ses backups de façon immuable (XFS sous linux). Donc faire la même chose sous windows implique d’avoir une fonction similaire dans le système de fichiers. Quelqu’un sais si ce genre d’instruction est disponible sur ReFS ?

Hello @AlexandreB

J’ai entendu à gauche et à droite que la fonction de proxy arrive sous Linux avec la V11, quelqu’un confirme ?

L’immuabilité sous Windows, pas géré pour l’instant je crois, ni en NTFS, ni en ReFS.

En effet, uniquement sous Linux. Pour les volumes Windows (NTFS/ReFS), il faut prévoir un durcissement du système (Hardening) et concevoir l’environnement de sauvegarde “Secure by design” (dans tous les cas, la sauvegarde étant le dernier rempart). ;) https://original-network.com/protect-your-backup-against-ransomware/ 

Hello Alexandre,

• NAS Proxy sous linux : Pas d’info donc pas à court terme
• NAS BCJ vers VCC : probablement en v12 mais pas encore de liste définitive de feature
• Windows ne permet pas l’immutabilité. Uniquement S3 (v10) et Linux (v11) pour l’instant et le repo linux doit être correctement sécurisé ;)  https://bp.veeam.com/vbr/VBP/Security/hardening_backup_repository_linux.html

Hello Baptiste, toujours au top !!!!

@c_glemot Dans tous les cas il faudra durcir également les systèmes linux malgré immutatibility, c’est assez facile de contourner un flag positionné par chattr si le minimum est pas fait

selinux + un agent d’audit me parait assez indispensable ;)

Disable SSH :D

Faut bien que le b&r communique avec le linux repo donc ssh obligatoire , pour le moi tier 1 de la sauvegarde ce n’est pas le dernier rempart contre les grands méchants! Ca serait plutot une cartouche dans un coffre dans une cage de faraday. Après c’est toujours un rapport couts/risques/exploitation...

Nouveauté de la V11 :)… One time SSH pour l’installation des data mover et ensuite persistent datamover. Plus besoin de SSH pour les opération courante. il y a un exemple :

https://www.starwindsoftware.com/blog/veeam-hardened-linux-repository-part-2

Super nouvelle! Merci @Baptiste Tellier 

Il s’agit d’une couche de sécurité supplémentaire mais ne remplace par un hardening complet, les autres supports de sauvegarde et le Secure by design (architecture, hygiène, bonnes pratiques sécurité) etc. :)

Bonjour à tous,

le Nas Backup et le Repo Linux immuable apporte une question supplémentaire, sont-ils compatibles ?

Est il possible de faire du NAS Backup et profiter de cette fonction du Repo Linux ?

Sinon est ce prévu ?

Merci

Et ne pas oublier que le serveur physique ne doit pas avoir son interface de management IPMI de connectée (prevoir le script de supervision hardware sur l'OS avec notifications sortantes uniquement, notamment le monitoring des disques/raid groups). Ssh  désactivé. Firewall actif n autorisant que les flux du datamover. Et si on cherche une protection contre un inside job,  le management est le seul a detenir les password: ipmi, du boot loader et de l'OS. Definir une procedure bris de glace avec le management a chaque intervention.