VEEAM V11 Questions


Userlevel 3

Bonjour à tous,

la V11 apporte sont lot de nouveautés et cela soulève de nouvelles questions:

  • Le proxy NAS est sous Windows et la tendance de Veeam est à Linux, pouvons espérer une version Linux ?
  • Possibilité de faire du backup copy de NAS vers Veeam Cloud Connect Backup avec la possibilité par exemple de faire de l’instant share recovery depuis l’infra du SP ?
  • les sauvegardes immuables sous Linux, seront-elles aussi disponibles ou possibles sur les Repo Windows ?

Merci à la communauté, VEEAM’s Discord never die !


13 comments

Hello @AlexandreB , 

Sauf erreur de ma part : c’est le système de fichiers du Repo qui permet à veeam de stocker ses backups de façon immuable (XFS sous linux). Donc faire la même chose sous windows implique d’avoir une fonction similaire dans le système de fichiers. Quelqu’un sais si ce genre d’instruction est disponible sur ReFS ?

 

Bonjour à tous,

la V11 apporte sont lot de nouveautés et cela soulève de nouvelles questions:

  • Le proxy NAS est sous Windows et la tendance de Veeam est à Linux, pouvons espérer une version Linux ?
  • Possibilité de faire du backup copy de NAS vers Veeam Cloud Connect Backup avec la possibilité par exemple de faire de l’instant share recovery depuis l’infra du SP ?
  • les sauvegardes immuables sous Linux, seront-elles aussi disponibles ou possibles sur les Repo Windows ?

Merci à la communauté, VEEAM’s Discord never die !

Hello @AlexandreB

J’ai entendu à gauche et à droite que la fonction de proxy arrive sous Linux avec la V11, quelqu’un confirme ?

L’immuabilité sous Windows, pas géré pour l’instant je crois, ni en NTFS, ni en ReFS.

 

Userlevel 4
Badge +4

En effet, uniquement sous Linux. Pour les volumes Windows (NTFS/ReFS), il faut prévoir un durcissement du système (Hardening) et concevoir l’environnement de sauvegarde “Secure by design” (dans tous les cas, la sauvegarde étant le dernier rempart). ;) https://original-network.com/protect-your-backup-against-ransomware/ 

Userlevel 4
Badge +4

Hello Alexandre,

Userlevel 3

Hello Alexandre,

Hello Baptiste, toujours au top !!!!

Userlevel 7
Badge +8

@c_glemot Dans tous les cas il faudra durcir également les systèmes linux malgré immutatibility, c’est assez facile de contourner un flag positionné par chattr si le minimum est pas fait

selinux + un agent d’audit me parait assez indispensable ;)

Userlevel 4
Badge +4

@c_glemotDans tous les cas il faudra durcir également les systèmes linux malgré immutatibility, c’est assez facile de contourner un flag positionné par chattr si le minimum est pas fait

selinux + un agent d’audit me parait assez indispensable ;)

Disable SSH :D

Userlevel 7
Badge +8

Faut bien que le b&r communique avec le linux repo donc ssh obligatoire :ghost: , pour le moi tier 1 de la sauvegarde ce n’est pas le dernier rempart contre les grands méchants! Ca serait plutot une cartouche dans un coffre dans une cage de faraday. Après c’est toujours un rapport couts/risques/exploitation...

Backup server

Linux server

TCP

22

Port used as a control channel from the console to the target Linux host

Userlevel 4
Badge +4

Faut bien que le b&r communique avec le linux repo donc ssh obligatoire :ghost: , pour le moi tier 1 de la sauvegarde ce n’est pas le dernier rempart contre les grands méchants! Ca serait plutôt une cartouche dans un coffre dans une cage de faraday. Après c’est toujours un rapport couts/risques/exploitation...

Backup server

Linux server

TCP

22

Port used as a control channel from the console to the target Linux host

 

Nouveauté de la V11 :)… One time SSH pour l’installation des data mover et ensuite persistent datamover. Plus besoin de SSH pour les opération courante. il y a un exemple :

https://www.starwindsoftware.com/blog/veeam-hardened-linux-repository-part-2

Userlevel 7
Badge +8

Super nouvelle! Merci @Baptiste Tellier 

Userlevel 4
Badge +4

@c_glemotDans tous les cas il faudra durcir également les systèmes linux malgré immutatibility, c’est assez facile de contourner un flag positionné par chattr si le minimum est pas fait

selinux + un agent d’audit me parait assez indispensable ;)

Il s’agit d’une couche de sécurité supplémentaire mais ne remplace par un hardening complet, les autres supports de sauvegarde et le Secure by design (architecture, hygiène, bonnes pratiques sécurité) etc. :)

Userlevel 3

Bonjour à tous,

le Nas Backup et le Repo Linux immuable apporte une question supplémentaire, sont-ils compatibles ?

Est il possible de faire du NAS Backup et profiter de cette fonction du Repo Linux ?

Sinon est ce prévu ?

 

Merci

Userlevel 3
Badge +3

Super nouvelle! Merci @Baptiste Tellier 

 

Et ne pas oublier que le serveur physique ne doit pas avoir son interface de management IPMI de connectée (prevoir le script de supervision hardware sur l'OS avec notifications sortantes uniquement, notamment le monitoring des disques/raid groups). Ssh  désactivé. Firewall actif n autorisant que les flux du datamover. Et si on cherche une protection contre un inside job,  le management est le seul a detenir les password: ipmi, du boot loader et de l'OS. Definir une procedure bris de glace avec le management a chaque intervention.

Comment