Question

VEEAM V11 Questions


Userlevel 1

Bonjour à tous,

la V11 apporte sont lot de nouveautés et cela soulève de nouvelles questions:

  • Le proxy NAS est sous Windows et la tendance de Veeam est à Linux, pouvons espérer une version Linux ?
  • Possibilité de faire du backup copy de NAS vers Veeam Cloud Connect Backup avec la possibilité par exemple de faire de l’instant share recovery depuis l’infra du SP ?
  • les sauvegardes immuables sous Linux, seront-elles aussi disponibles ou possibles sur les Repo Windows ?

Merci à la communauté, VEEAM’s Discord never die !


11 comments

Hello @AlexandreB , 

Sauf erreur de ma part : c’est le système de fichiers du Repo qui permet à veeam de stocker ses backups de façon immuable (XFS sous linux). Donc faire la même chose sous windows implique d’avoir une fonction similaire dans le système de fichiers. Quelqu’un sais si ce genre d’instruction est disponible sur ReFS ?

 

Bonjour à tous,

la V11 apporte sont lot de nouveautés et cela soulève de nouvelles questions:

  • Le proxy NAS est sous Windows et la tendance de Veeam est à Linux, pouvons espérer une version Linux ?
  • Possibilité de faire du backup copy de NAS vers Veeam Cloud Connect Backup avec la possibilité par exemple de faire de l’instant share recovery depuis l’infra du SP ?
  • les sauvegardes immuables sous Linux, seront-elles aussi disponibles ou possibles sur les Repo Windows ?

Merci à la communauté, VEEAM’s Discord never die !

Hello @AlexandreB

J’ai entendu à gauche et à droite que la fonction de proxy arrive sous Linux avec la V11, quelqu’un confirme ?

L’immuabilité sous Windows, pas géré pour l’instant je crois, ni en NTFS, ni en ReFS.

 

Userlevel 4
Badge

En effet, uniquement sous Linux. Pour les volumes Windows (NTFS/ReFS), il faut prévoir un durcissement du système (Hardening) et concevoir l’environnement de sauvegarde “Secure by design” (dans tous les cas, la sauvegarde étant le dernier rempart). ;) https://original-network.com/protect-your-backup-against-ransomware/ 

Userlevel 3
Badge

Hello Alexandre,

Userlevel 1

Hello Alexandre,

Hello Baptiste, toujours au top !!!!

Userlevel 6
Badge +2

@c_glemot Dans tous les cas il faudra durcir également les systèmes linux malgré immutatibility, c’est assez facile de contourner un flag positionné par chattr si le minimum est pas fait

selinux + un agent d’audit me parait assez indispensable ;)

Userlevel 3
Badge

@c_glemotDans tous les cas il faudra durcir également les systèmes linux malgré immutatibility, c’est assez facile de contourner un flag positionné par chattr si le minimum est pas fait

selinux + un agent d’audit me parait assez indispensable ;)

Disable SSH :D

Userlevel 6
Badge +2

Faut bien que le b&r communique avec le linux repo donc ssh obligatoire :ghost: , pour le moi tier 1 de la sauvegarde ce n’est pas le dernier rempart contre les grands méchants! Ca serait plutot une cartouche dans un coffre dans une cage de faraday. Après c’est toujours un rapport couts/risques/exploitation...

Backup server

Linux server

TCP

22

Port used as a control channel from the console to the target Linux host

Userlevel 3
Badge

Faut bien que le b&r communique avec le linux repo donc ssh obligatoire :ghost: , pour le moi tier 1 de la sauvegarde ce n’est pas le dernier rempart contre les grands méchants! Ca serait plutôt une cartouche dans un coffre dans une cage de faraday. Après c’est toujours un rapport couts/risques/exploitation...

Backup server

Linux server

TCP

22

Port used as a control channel from the console to the target Linux host

 

Nouveauté de la V11 :)… One time SSH pour l’installation des data mover et ensuite persistent datamover. Plus besoin de SSH pour les opération courante. il y a un exemple :

https://www.starwindsoftware.com/blog/veeam-hardened-linux-repository-part-2

Userlevel 6
Badge +2

Super nouvelle! Merci @Baptiste Tellier 

Userlevel 4
Badge

@c_glemotDans tous les cas il faudra durcir également les systèmes linux malgré immutatibility, c’est assez facile de contourner un flag positionné par chattr si le minimum est pas fait

selinux + un agent d’audit me parait assez indispensable ;)

Il s’agit d’une couche de sécurité supplémentaire mais ne remplace par un hardening complet, les autres supports de sauvegarde et le Secure by design (architecture, hygiène, bonnes pratiques sécurité) etc. :)

Comment