• EN
Question

Best Practice para proteger un servidor de Veeam Backup Server

G
Userlevel 3

Hola a todos, ¿Como están? /Hi everybody how are you?

Al momento de implementar estrategias de respaldo debemos tener en cuanta los RPO y los RTO, esta ocasión haciendo énfasis en el RTO, supongamos que cae un ransomware en una organización y afecta al servidor donde esta alojado la aplicación de Veeam, esto implica que dentro de ese tiempo de recuperación debemos contemplar una nueva instalación de Windows y luego de Veeam para luego realizar el restore del archivo de configuración y esto nos puede llevar unos minutos u horas que pueden convertirse en criticas para la compañía yo he pensado en estrategias como hacer una OVA de un servidor de Windows con Veeam, guardando el archivo de configuración en varias ubicaciones distintas o hacer un OVA cada cierto tiempo con el veeam incluyendo su configuración, además de un backup con Veeam agent, etc, etc… ¿Qué estrategias han pensado otros colegas para este ejemplo?

Hi everybody how are you?

When implementing backup strategies we must take into account the RPO and the RTO, this time emphasizing the RTO, suppose that a ransomware falls on an organization and affects the server where the Veeam application is hosted, this implies that within That recovery time we must consider a new installation of Windows and then Veeam to then restore the configuration file and this can take a few minutes or hours that can become critical for the company. I have thought about strategies such as making an OVA of a Windows server with Veeam, saving the configuration file in several different locations or making an OVA from time to time with Veeam including its configuration, in addition to a backup with Veeam Agent, etc., etc. What strategies have other colleagues thought of? ? for this example?

5 comments

eeha0120next
Userlevel 1

Hola Glenn.

La sugerencia brindada suena bastante bien. En un mundo idea, contar con esa OVA/Plantilla debidamente actualizada (incluyendo actualizaciones de Sistema Operativo). Eso permitiría un rápido despliegue para una pronta recuperación.

Lo que debes consider es la parte de la base de datos: Si es local con PostgreSQL o incluso remoto, o si es local con SQL Server (o incluso remoto), para que el archivo de configuración que estás generando actualmente sea válido o acorde con tu OVA/Plantilla.

 

Esperemos sugerencias de otros colegas.

 

Saludos,

Elvis - VMCE 9 - VMCE 2022 - VMCA 2023 Coming Soon!
eprieto
Userlevel 7
Badge +6

Hola, un punto muy importante aqui, antes que el sistema operativo, es  el archivo de configuracion, aqui necesitas tener un esquema 3 - 2 - 1 = 0 error como dices pero es super importante que este encriptado, si no esta encriptado te llevas la sorpresa que cuando lo restauras no tenes las credenciales de ningun tipo en la nueva instalacion.

Ahora, sin lugar a dudas como dice Elvis, podrias tener listo un template con VMware y distribuirla por tus distintos sitios con el Content Library. Y te llevaria solo el tiempo en levantar esa VM.

Pero aqui tienes otro punto quizas leventas el VBR pero tus backups estan encriptados por el ransomware, entoces tambien me preocuparia por tener un repositorio con inmutabilidad.

Y en definitiva si tienes un ataque de ransomware a mi manera de entender los tiempos RTPO son muy dificiles de cumplir.

saludos !

Esteban - VMCE - VMCAv1 - VMCT - https://estebanprieto.home.blog/
tarik.yenisey
Userlevel 5
Badge

One of the most important issues is to ensure the security of the Veeam server. These;

- First, take a Config Backup of your Veeam server.
- Activate the Four-Eyes feature that comes with Veeam 12.1.
- You should not add your Veeam server (my choice) to the domain.
- You must create 3 different users on the operating system and 2 of them must have limited permissions. You should also grant limited authority over Veeam. Disable the administrator user of your Veeam server and create an admin user with a different name.
- You can activate the MFA feature on your Veeam server.

Many people skip this topic, but we must not forget to keep the Veeam B&R server safe.

G
Userlevel 3

Hola, un punto muy importante aqui, antes que el sistema operativo, es  el archivo de configuracion, aqui necesitas tener un esquema 3 - 2 - 1 = 0 error como dices pero es super importante que este encriptado, si no esta encriptado te llevas la sorpresa que cuando lo restauras no tenes las credenciales de ningun tipo en la nueva instalacion.

Ahora, sin lugar a dudas como dice Elvis, podrias tener listo un template con VMware y distribuirla por tus distintos sitios con el Content Library. Y te llevaria solo el tiempo en levantar esa VM.

Pero aqui tienes otro punto quizas leventas el VBR pero tus backups estan encriptados por el ransomware, entoces tambien me preocuparia por tener un repositorio con inmutabilidad.

Y en definitiva si tienes un ataque de ransomware a mi manera de entender los tiempos RTPO son muy dificiles de cumplir.

saludos !

Claro es así, además de ello se debe implementar un repo inmutable, claro que si

G
Userlevel 3

One of the most important issues is to ensure the security of the Veeam server. These;

- First, take a Config Backup of your Veeam server.
- Activate the Four-Eyes feature that comes with Veeam 12.1.
- You should not add your Veeam server (my choice) to the domain.
- You must create 3 different users on the operating system and 2 of them must have limited permissions. You should also grant limited authority over Veeam. Disable the administrator user of your Veeam server and create an admin user with a different name.
- You can activate the MFA feature on your Veeam server.

Many people skip this topic, but we must not forget to keep the Veeam B&R server safe.

Thank you very much, that's right, Veeam protection must be implemented

Comment


Terms & Conditions