• EN

Mon premier Veeam 100 Summit

  • 31 October 2023
  • 6 comments
  • 146 views
Stabz
Userlevel 7
Badge +7

Bonjour la communauté française.

Je voulais partager avec vous l’expérience Veeam 100 Summit. Ce rassemblement est le lieu où #VeeamVanguard#VeeamLegends et #VeeamMVP collaborent avec l'équipe R&D de Veeam pour découvrir et échanger autour des nouveautés apportées aux solutions Veeam.

Je vais essayer de vous partager cet événement au travers de mes posts sur les temps forts. 


La première journée a débuté ce matin avec l’équipe RICKATRON.
 

Un vrai plaisir de voir l’ensemble de l’équipe réunie pour nous donner leurs retours sur la communauté et les évolutions à venir.

Nous avons enchainé avec les présentations des partenaires/sponsors, le premier Object First par Matt Price. 


​​​​​​Nous avons eu des infos précieuses sur l’intégration de Veeam avec Object First. Solution très rapide à mettre en oeuvre (Box to Backup => 15 min, en tirant parti des SOS API et des contrôles d’accès au stockage, cela permet à Veeam de stocker les données de façons rapide et intelligemment.

Nous avons également des retours sur les performances:

  • Jusqu'à 1 Go/s de performances de sauvegarde par nœud
  • Vitesses de restauration allant jusqu'à 500 à 600 Mo/s par nœud
  • Jusqu'à 20 sessions Instant Recoveries par nœud

Pour la partie sécurité il s’agit d’une appliance durcie par défaut, OS Linux Hardened sans accès root, prenant en charge le verrouillage d'objet S3 exécuté en mode conformité + MFA. L’altération des données devient tout de suite plus complexe !
 

Philippe DUPUIS |Veeam Certified Engineer | https://original-network.com/

6 comments

Y
Badge +2

Génial! profite bien de cet évènement et continue de nous partager tes impressions ;)

Stabz
Userlevel 7
Badge +7

Drew Schlussel ( @drews ) a ensuite pris le relai pour Wasabi.
Même si la plupart d’entre vous le savent déjà, Wasabi ne facture pas de frais de sortie ni d'appels API par rapport aux « trois grands » hyperscalers du marché.

Drew nous a également présenté un récapitulatif des nouveautés sorties cette année et des avantages de l’utilisation de Wasabi, en voici quelques-unes:

  • Gestion du cycle de vie des objets
  • Sécurité améliorée des mots de passe
  • URL de point de terminaison personnalisée
  • Console Cloud personnalisée : logo et palette de couleurs personnalisés
  • Prise en charge du service AWS Simple Notification
  • Visibilité des marqueurs de suppression dans la console

Des informations complémentaires sont disponibles sur le blog de @c_glemot https://original-network.com/wasabi-object-storage-new-features/

Philippe DUPUIS |Veeam Certified Engineer | https://original-network.com/
Stabz
Userlevel 7
Badge +7

Après une petite pause, plongeon dans Veeam Backup & Replication V12.1 !
La sécurité est le focus de cet update ! Un grand nombre de nouveautés, en voici certaines qui ont retenu mon attention :

  • Inline Malwares Detection
    Veeam peut désormais analyser vos sauvegardes à la recherche d'infections potentielles et/ou réelles par un ransomware. Attention ceci n’est pas voué à remplacer votre solution EDR! Protégez votre environnement de production car il est « trop tard » lorsque vous trouvez des données chiffrées ou des logiciels malveillants dans les sauvegardes !
    Les scans sont effectués à la volée pendant la sauvegarde, Veeam utilise des outils “MAGIC” pour collecter des metadatas dans le système, découvrir ce qui a changé (chiffrement, delta size...), et créer un score de probabilité de risque (AI/ML) qui est utilisé pour signaler les points de restauration suspects.

    Il sera également effectuer un “Text Analysis”, recherche de fichiers contenant des liens onions ou des traces de ransoms.
     

    Ceci aura un fort impact sur les ressources CPU, attention particulière pour environnements de productions vaste. 
    Une autre fonctionnalité sera la possibilité de faire des recherche sur des fichiers suspects, des modifications/suppressions excessives sur des types de fichiers spécifiques  “Index Scan”. Ceci nécessite l’activation de l’option “Guest files system indexing”, un index de plus 4K d’extensions est déjà disponible et une détection automatique pour les extensions inconnues.

 

L’intégration avec Incident API, cette API permet à des solutions tierces de donner un ordre à  Veeam pour réaliser une action spécifique, l'une des principales étant de déclencher une sauvegarde si un ransomware est détecté/suspecté

La session s’est poursuivie avec un nouvel outil “YARA”, une autre faon de détecter de mauvaises choses.
 

Il vous sera possible de rechercher la présences de malwares mais pas seulement, vous serez en capacité de rechercher certains types d’informations (PCI,PII...), très utile pour analyser/investiguer certains incidents.
Son utilisation est lié à un job de SureBackup, mais nouveauté en 12.1, vous serez en capacité d’utiliser un Surebackup sans VirtualLab pour certaines taches. 
 

Vous pourrez également lancer un scan à la demande pour détecter un type de contenu ou malware. Recherche du dernier point de sauvegarde “propre”, ou sur une période de temps, Veeam utilisera la dichotomie à ce moment là, l'analyse démarrera à la date intermédiaire (si vous avez 9 points de restauration, il commencera par le point de restauration numéro 5) et voit s'il trouve quelque chose. Veeam continuera ensuite avec l'autre moitié et ainsi de suite.


En cas de détection d’un malware les informations seront stockés dans des évènements.
 

Il sera possible de confirmer un event ou de l’annuler en cas de faux-positif depuis l’interface utilisateur. Les informations pourront également être envoyées par mail, SNMP, Syslog en plus de les avoir dans les journaux d’événement Windows.
En complément si un logiciel malveillant a été détecté, alors le marquage « infecté » ou « suspect » est également appliqué à toutes les sauvegardes dépendantes (copies de sauvegarde, bande, etc.)

 

Philippe DUPUIS |Veeam Certified Engineer | https://original-network.com/
Stabz
Userlevel 7
Badge +7

La présentation s’est poursuive avec la présentation des améliorations de sécurité de la version 12.1.

Support Key Management System

Veeam supporte enfin les solutions KMS ! L’objectif ici étant de s'attaquer aux mauvaises pratiques des mots de passe (absence de complexité ou de longueur, etc), mais aussi dans la plupart des cas ces mots de passe ne sont pas changés fréquemment voir jamais.

Veeam s'intégrera aux systèmes KMS pour résoudre ces deux problèmes, avec des rotations de clés  de sécurité générées automatiquement (KMIP).

 

Four Eyes Authorization

Une protection contre les suppressions accidentelles de sauvegarde (suppression de sauvegarde, repository...) ou certaines actions critiques (modifications de rôles, désactivation MFA...).
Une fois cette option activée, ces actions nécessiteront l'approbation d'un deuxième administrateur avant d'être appliquées, s'il n'y a pas de deuxième approbation dans un intervalle de temps spécifique, la demande en attente est automatiquement rejetée et nettoyée.

Cette fonctionnalité enverra également un rapport par courrier électronique sur les modifications et stockera les événements dans les journaux Windows.
C’est un bon début mais j’espère voir dans une future version la mise en place d’un rôle similaire à un Security Officer. 

Afin de profiter de cette fonctionnalités il faudra posséder une licence VUL ou bien Socket-based Enterprise Plus et avoir à minima deux comptes administrateurs. 

Security & Compliance Analyser

Evolution de notre cher “Best practice Analyser”, avec maintenant 30 points de contrôles :

-11 security checks
-19 product configuration checks

 Il sera également possible de planifier une tâche de vérification pour obtenir un rapport par mail sur l’état de votre conformité.

Syslog Integration

Possibilité d’envoyer l’ensemble des événement à un serveur syslog. Support de la RFC 5424, support des modes de transports UDP,TCP,TLS.
En version 12.1 un seul serveur syslog pourra être implémenté.

Veeam a déjà testé plusieurs solutions Splunk, SolarWinds, Syslog-ng, PRTG, Rsyslog et Nagios.

 

Philippe DUPUIS |Veeam Certified Engineer | https://original-network.com/
Stabz
Userlevel 7
Badge +7

Continuons les découvertes ! @HannesK nous a présenté les améliorations apportées sur l’immuabilité.

Dell Data Domain Retention Lock Support

Veeam va pouvoir piloter l’immuabilité via le protocol DDBoost, cela nécessitera l’utilisation du mode “Compliance” et la désactivation du automatic retention lock .
Votre Datadomain devra être à minima en version DDOS 7.3.

HPE StoreOnce Catalyst Copy Immutability

Même concept que Hardened Repository (les points de restauration GFS sont immuables pendant toute la rétention)

Configuration Backup Immutability

Prise en charge de l'immuabilité pour les sauvegardes de la configuration seulement avec le stockage objet ! Le support avec des Hardened Repo sera pour plus tard.

Time Step Detection For Hardened Repository

Nous avons terminé avec des amélioration sur la partie NTP pour les Hardened Repo, contre les attaques temporelles.
https://www.veeam.com/blog/securing-hardened-repository-against-remote-time-attacks.html

 

Philippe DUPUIS |Veeam Certified Engineer | https://original-network.com/
Stabz
Userlevel 7
Badge +7

Nouveau chapitre présenté par Petr Makarov sur les améliorations des applications d'entreprise.

Db2 Support On AIX & Linux

  • Db2 versions: 10.5, 11.1, 11.5
  • Standard & Advanced edition (no community)
  • Operating systems: Linux x86_64, AIX
  • Standalone, HADR and failover clusters
  • Cluster management software
Aucune sauvegarde en direct vers du stockage objet. Il sera possible d’appliquer l’immuabilité avec des Hardened Repo, StoreOnce, DataDomain, point d’attention son application peut être décalé jusqu’à 24h.
 

SAP HANA On IBM Power 

  • Standalone plug-in à installé sur le serveur SAP HANA
  • Certifié SAP 
  • Versions supportées SAP HANA : 2.0 SP5 2.00.059.00.1636704142 or later
  • RHEL est planifié d’être supporté après la version 12.1, seulement SLES pour le moment.

Nous retrouvons les mêmes limitations que précédemment pas de sauvegarde en direct sur du stockage objet et possibilité d’appliquer l’immuabilité. 
La communication entre le serveur et Veeam se fera en HTTP/HTTPS, mais pour exploiter HTTPS, vous aurez besoin d'installer la librairie SAP Common Crypto sur le serveur Veeam.

Restore PostgreSQL Instances with Instant Recovery

  • Latest state, Point-in-Time vers un serveur différent sont supportés
  • Possibilité d’utilisé la fonctionnalité “Smart-switchover” avec les options “auto”,”manual” ou “Planifié à”

 

Afin de pouvoir réaliser un Instant Recovery la version de PostgreSQL doit être la même sur la source et la cible, et vous ne pourrez pas sélectionner une database en particulier, il faudra restaurer l’ensemble de l’instance.

Philippe DUPUIS |Veeam Certified Engineer | https://original-network.com/

Comment


Terms & Conditions