• EN

Repositorios Inmutables, tema abierto

  • 16 February 2024
  • 5 comments
  • 92 views
HunterLAFR
Userlevel 7
Badge +8

Hola,

Me gusta mucho curosear las diferentes estrategias que sigue la gente a la hora de guardar sus backups e implementar soluciones, y ver si son simples, complicadas, caras, etc.

Desde hace unos dias, he estado viendo mucha gente que, para tener inmutabilidad en sus backups, ha estado desplegando soluciones en Virtual Appliance en sus entornos de virtualización, bien sea un Linux o un Appliance de terceros con inmutabilidad.

Ahora bien, me viene a la mente, si es un Appliance Virtual, está ejecutado y guardado en un Entorno de virtualizacion, por tanto, susceptible a ransomware desde la infraestructura.

Un posible metodo, es tener una vm con Linux, en el cual montamos un volumen iSCSI de un servidor físico, y lo hacemos inmutable y lo presentamos a VBR, en caso de ataque, podemos descartar la vm linux, crear una nueva, montar el volumen iscsi inmutable, y tener acceso a nuestros datos.

¿Cómo teneis vosotros presentados vuestros Backups a VBR?
¿Haceis backups inmutables on Prem?

Por favor, compartir en comentarios posibles opciones y medidas a tener en cuenta.

gracias.

Luis F.- HunterLF - HunterLAFR - lfconsulting.org

5 comments

leduardoserrano
Userlevel 7
Badge +6

Hola @HunterLAFR ! Seguimos las instrucciones de Veeam de no implementar Linux Hardened Repository en una máquina virtual. Algunas implementaciones fueron así y aconsejamos los customers a la adquisición de hardware dedicado para el LHR. Como es la forma más económica, he visto muchas implementaciones aquí en Brasil.

A continuación se muestra una vista del laboratorio que uso, donde se implementa LHR en una máquina virtual. En VBR Security & Compliance Analyzer, se muestra un mensaje advirtiendo que esta no es una buena práctica de seguridad.

Otra opción que estamos desarrollando es el uso de Object Storage inmutable, específicamente Object First. Esta es una solución que proporciona ventajas sobre LHR, como soporte del fabricante, escalabilidad, facilidad de uso/mantenimiento y costo atractivo. Sólo he visto lo uso de dispositivos de deduplicación en entornos/environments más grandes.

:-)

 

Luiz Eduardo Serrano. Cloud Architect, Systems Engineer for Veeam and Object First. Veeam Vanguard/VMCA 2024/VMCE. VMware Tanzu Vanguard 2024/VCP Security/VMware User Group, 4xHPE Master ASE/Instructor, RedHat Ansible SE/Instructor, AWS Architect, Nutanix NCA, Cisco-HPE Cloud & DC champion. My blog: https://cloudnroll.com
HunterLAFR
Userlevel 7
Badge +8

Hola @HunterLAFR ! Seguimos las instrucciones de Veeam de no implementar Linux Hardened Repository en una máquina virtual. Algunas implementaciones fueron así y aconsejamos los customers a la adquisición de hardware dedicado para el LHR. Como es la forma más económica, he visto muchas implementaciones aquí en Brasil.

A continuación se muestra una vista del laboratorio que uso, donde se implementa VHR en una máquina virtual. En VBR Security & Compliance Analyzer, se muestra un mensaje advirtiendo que esta no es una buena práctica de seguridad.

Otra opción que estamos desarrollando es el uso de Object Storage inmutable, específicamente Object First. Esta es una solución que proporciona ventajas sobre LHR, como soporte del fabricante, escalabilidad, facilidad de uso/mantenimiento y costo atractivo. Sólo he visto lo uso de dispositivos de deduplicación en entornos/environments más grandes.

:-)

 

Muchas gracias @leduardoserrano  por tus comentarios e información.

Yo he visto desplegados appliances virtuales “Inmutables” como Quantum Dxiv, HPE StoreOnce, etc, pero Virtual Appliances, y tener que deirles la cruda verdad que no es una buena practica.

En el caso de una VM con linux, y un volumen físico conectado a ella, lo he empleado en laboratorio, con buen resultado, pero como dices, y está demostrado, lo mejor es hardware dedicado.

Ootbi de Object First es una muy buena solucion, eso es, ofrece soporte software, hardwar ey mantenimeinto, siendo ademas certificado para uso con Veeam.

A ver si alguien más nos comparte sus impresiones y experiencias.

un saludo.

Luis F.- HunterLF - HunterLAFR - lfconsulting.org
leduardoserrano
Userlevel 7
Badge +6

Ciertamente @HunterLAFR ! Acabamos de recibir un dispositivo Ootbi (Object First) para nuestro laboratorio. Realizaré la instalación, configuración y compartiré las impresiones con todos. Ya hemos realizado pruebas de concepto y el rendimiento obtenido fue muy bueno: alcanzamos los 1 GB/s per appliance prometidos en la hoja de datos. 😁

 

Luiz Eduardo Serrano. Cloud Architect, Systems Engineer for Veeam and Object First. Veeam Vanguard/VMCA 2024/VMCE. VMware Tanzu Vanguard 2024/VCP Security/VMware User Group, 4xHPE Master ASE/Instructor, RedHat Ansible SE/Instructor, AWS Architect, Nutanix NCA, Cisco-HPE Cloud & DC champion. My blog: https://cloudnroll.com
HunterLAFR
Userlevel 7
Badge +8

Ciertamente @HunterLAFR ! Acabamos de recibir un dispositivo Ootbi (Object First) para nuestro laboratorio. Realizaré la instalación, configuración y compartiré las impresiones con todos. Ya hemos realizado pruebas de concepto y el rendimiento obtenido fue muy bueno: alcanzamos los 1 GB/s per appliance prometidos en la hoja de datos. 😁

 

🤙

Fantástico!

Luis F.- HunterLF - HunterLAFR - lfconsulting.org
Gerardo Scality
Userlevel 3

Hola.

Mi opinión. Primero, lo que yo veo en mis clientes, que en general son de cierta entidad y siguen criterios estrictos. El motivo más evidente para poner un repositorio en un entorno virtual es el ahorro de costes, pero no conviene jugar con fuego.

Poner el backup, inmutable o no, de un entorno virtual en entorno virtual se ve nomalmente como mala idea. Si encima es el mismo entorno virtualizado mucho peor; como bien dices, la infraestructura vitrtual (sea un entorno o mas de uno) puede ser comprometida (y lo he visto en primera persona). El backup inmutable de un entorno virtual normalmente va a un dispositivo físico idealmente separado por aire.

Como alternativa, me gusta la idea de que el volumen sea servido directo desde una cabina SAN o un iSCSI, pero no lo he visto nunca, para ser sincero. Normalmente veo que las cabinas dan la capacidad a datastores y no directamente a VMs... el coste del TB de cabina SAN o NAS/iSCSI no suele ser bajo; y si fuera un iSCSI desde un servidor barato, ¿porque no poner directamente ese servidor como repositorio y mejorar mucho la seguridad?


Un repositorio virtualizado de backup puede que sí tenga más sentido si el origen de los datos es otro, y así conseguir buena economía; el ejemplo mas claro que veo a menudo es el ser destino de backup para Office365: una VM o un cluster de VMs on premise recibiendo backup de los datos que residen en la nube. Ese es la única circunstancia en que veo Artesca en VM como repositorio de backup. 


Cuando hablamos de copias secundarias o terceras copias, había mas tolerancia/aceptación hasta hace relativamente poco hacia los entornos virtualizados. Pero al final el tema de la inmutabilidad es que se usa como protección frente a ransomware y la mentalidad se ha hecho más conservadora. Ya no se trata de usar el backup porque alguien torpe ha borrado unas carpetas, ahora es una defensa para una entidad que ha efectuado un ataque específicamente dirigido a hacer el mayor daño posible y a cerrar las puertas a la recuperación desde backup. Lo de la separación de backups sobre distintos medios, tecnología y todo eso ahora se toma más en serio. 

Luego lo que opino está bastante alineado con lo que veo:

Yo tengo el privilegio de poder aconsejar a mis clientes con libertad, dado que propongo es Artesca de Scality y es un software que funciona indistintamente sobre entorno físico o virtual, por lo que no tengo interés económico en una opción sobre la otra; pero el aislamiento que proporciona un entorno físico dedicado aporta un nivel de seguridad incomparable, para mí es la primera opción. Solamente si está justificado aconsejo repositorio en un entorno virtual, como excepción a la norma. 

También debo decir que los costes que puede representar por poner un ejemplo, un appliance de backup frente a un servidor estandar x86 son incomparables. La popularidad de soluciones basadas en Linux era precisamente su economía, pero tiene sus contrapartidas; convertir el mismo servidor con linux en un repositorio objeto permite quedarte con lo mejor de las dos cosas: gasto contenido, funcionaliades y seguridad (dejando aparte la posibilidad de escalar y otras ventajas...)

Un saludo!

gsanjose@scality.com. Scality SE Europe South.

Comment


Terms & Conditions