Veeam Hardened Repository – bezpečné úložisko pre moje zálohy

Posted on By Martin Hasin No Comments on Veeam Hardened Repository – bezpečné úložisko pre moje zálohy

V rámci ochrany záloh som sa rozhodol nastaviť Veeam Hardened Repository. Prečo? Pretože zálohy sú často cieľom ransomvérových útokov a bez správnej ochrany môžem prísť o dôležité dáta. Veeam ponúka riešenie, ktoré mi umožňuje chrániť zálohy tak, aby ich nebolo možné zmeniť, vymazať ani zašifrovať – a práve to potrebujem.

Čo je Veeam Hardened Repository?

Veeam Hardened Repository je špeciálne nakonfigurované úložisko na Linux serveri, ktoré využíva nezmeniteľné (immutable) zálohy. To znamená, že keď raz vytvorím zálohu, nikto – ani útočník, ani administrátor (vrátane mňa) – ju nemôže zmeniť alebo vymazať počas definovanej doby.

Toto úložisko je navrhnuté tak, aby odolalo ransomvérovým útokom, chybám administrátora alebo zámerným pokusom o zmazanie záloh.

Prečo som si vybral Hardened Repository?

Nezmeniteľné zálohy (Immutable Backups) – Zálohy sú chránené proti vymazaniu alebo úprave po určitú dobu.
Bezpečnosť bez potreby ďalšieho softvéru – Nemusím inštalovať žiadny špeciálny agent, stačí správna konfigurácia Linux servera.
Ochrana pred ransomware – Ani malvér, ani hacker nemôže zašifrovať zálohy.
Kompatibilita so štandardnými protokolmi – Používam XFS so zapnutým Fast Cloning, čo mi šetrí úložisko a zrýchľuje syntetické full zálohy.
Jednoduchá implementácia – Nastavenie nie je zložité, stačí dodržať niekoľko krokov.

Čo Veeam Hardened Repository potrebuje?

🔹 Linux server – Musí podporovať XFS a reflink.
🔹 Zákaz root prístupu cez SSH – Kvôli bezpečnosti.
🔹 Nezmeniteľnosť aktivovaná (Immutable backups) – Nastavil som retenčnú politiku (napr. 14 alebo 30 dní).
🔹 Správne sieťové a proxy nastavenia – Ak server nie je v rovnakej sieti, musím doriešiť prístup.
🔹 Pridanie NTP servera – Aby sa predišlo problémom so synchronizáciou času.

Inštalácia

Heslo musí spĺnať:

Minimálne 15 znakov
Aspoň 1 veľké písmeno
Aspoň 1 číslo
Aspoň 1 špeciálny znak (^)
Nie viac ako 3 rovnaké znaky za sebou (malé písmená, veľké písmená alebo čísla)

V konfigurátore Veeam Hardened Repository nastav nasledujúce možnosti podľa požiadaviek:

  • Sieťové nastavenia – Vyber možnosť Štandardná konfigurácia, ak chceš nastaviť IPv4 adresy, DHCP a DNS pre sieťové rozhrania. Alternatívne môžeš zvoliť Pokročilú konfiguráciu a použiť nástroj nmtui.
  • Proxy nastavenia – Zadaj HTTP alebo HTTPS proxy. Upozorňujeme, že HTTPS proxy s vlastnoručne podpísaným certifikátom (self-signed) nie sú podporované.
  • Časové nastavenia – Pridaj NTP server. Pri pridávaní NTP servera vezmi do úvahy nasledovné:
    • Ako NTP klient sa používa chronyd.
    • NTP servery poskytované cez DHCP sú povolené a toto nastavenie nie je možné vypnúť.
    • NTP servery sa pridávajú s parametrom iburst. Nie je možné zadať ďalšie voliteľné parametre.

Vyber možnosť Spustiť SSH. Tým sa vygenerujú prihlasovacie údaje pre používateľa veeamsvc, ktoré budú použité na pridanie hardened repository do Veeam Backup & Replication.
Ak chceš vygenerovať nové prihlasovacie údaje, reštartuj službu SSH.

Je potrebné nastaviť prihlasovacie údaje pre účet veeamsvc, kde bolo heslo vygenerované, aby bolo možné pridať hardened repository do Veeam Backup & Replication.

Funkcia Fast Cloning v Veeam Backup & Replication využíva XFS (Extended File System) so zapnutou reflink podporou, čo umožňuje rýchlejšie a efektívnejšie zálohovanie a spracovanie dát.

Ako to funguje?

  • Fast Cloning nevytvára fyzické kópie dát na disku, ale používa reflinky, čo znamená, že zálohy zdieľajú rovnaké bloky dát, pokiaľ nie sú modifikované.
  • Pri inkrementálnych zálohách namiesto kopírovania celých blokov systém jednoducho vytvorí odkazy na už existujúce bloky.
  • To šetrí čas aj miesto na disku, pretože sa fyzicky zapisujú iba nové alebo zmenené bloky.

Výhody Fast Cloning na XFS

Rýchlejšie zálohy – redukuje potrebu zápisu dát na disk.
Menej miesta na disku – vďaka reflink technológii sa redundancia minimalizuje.
Nižšie opotrebenie disku – menej zápisov znamená menšie opotrebenie SSD/HDD.
Zvýšená efektivita syntetických full backupov – namiesto kopírovania sa používajú iba metadátové operácie.

kroku Mount Server v sprievodcovi zálohovania v Veeam Backup & Replication je potrebné nakonfigurovať mount server, ktorý sa použije pri obnove súborov a aplikačných položiek zo záloh.

Na čo slúži Mount Server?

  • Umožňuje rýchlu obnovu jednotlivých súborov a aplikácií bez nutnosti obnovy celej zálohy.
  • Slúži ako medziúložisko (cache server), kde sa dočasne mountujú zálohované dáta pri obnove.
  • Minimalizuje sieťový prenos tým, že poskytuje lokálny prístup k obnoveným súborom.
  • Pri obnove aplikácií, ako sú Microsoft SQL, Exchange, Active Directory či Oracle, mount server sprístupňuje obsah databáz.
CEO at  | martin.hasin@gmail.com | Website |  + posts

Odborník na kybernetickú bezpečnosť, správu Azure Cloud a VMware onprem. Využíva technológie, ako Checkmk a MRTG, na monitorovanie siete a zvyšovanie efektívnosti a bezpečnosti IT infraštruktúry. Kontakt: hasin(at)mhite.sk

Veeam

Leave a Reply

Your email address will not be published. Required fields are marked *

en_US
sk_SK en_US