BẢO MẬT CỞ SỞ HẠ TẦNG TRONG VEEAM BACKUP & REPLICATION

1.Lập kế hoạch cở sở hạ tầng

Đối với các môi trường lớn, việc thêm backup server và các thành phần cơ sở hạ tầng backup khác vào miền quản lý trong một nhóm Active Directory riêng biệt là cách tốt nhất để xây dựng cơ sở hạ tầng an toàn nhất. 

Đối với môi trường vừa và nhỏ, các thành phần cơ sở hạ tầng backup có thể được đặt vào một nhóm làm việc riêng. Nếu bạn muốn sử dụng các tính năng cụ thể của Veeam Backup Enterprise Manager, chẳng hạn như xác thực SAML hoặc khôi phục các mục Microsoft Exchange, bạn có thể thêm thành phần này vào miền.

Trong cả hai trường hợp, các thành phần cơ sở hạ tầng backup phải được đặt vào một mạng riêng nếu có. Ngoài ra, nên sử dụng kho lưu trữ Hardened Repository.

2.Backup Server

Để bảo mật backup server, hãy xem xét các khuyến nghị sau:

  • Hạn chế kết nối ra ngoài: Để bật kiểm tra cập nhật sản phẩm, cập nhật giấy phép tự động và báo cáo sử dụng giấy phép, Backup Server phải được kết nối với Internet và có thể gửi yêu cầu đến các máy chủ trên Internet. Chỉ cho phép kết nối HTTPS với Veeam Update Notification Server (dev.veeam.com), Veeam License Update Servers (vbr.butler.veeam.com, autolk.veeam.com), và và máy chủ Microsoft WSUS hoặc các trang web Microsoft Update.
  • Hạn chế kết nối gửi đến: Không được phép kết nối đến các Backup Server từ internet. Nếu muốn quản lý Backup Server từ xa qua Internet, bạn có thể triển khai Veeam Backup & Replication console. Các nhà cung cấp dịch vụ muốn quản lý Backup Server từ xa có thể sử dụng chức năng Veeam Backup Remote Access. Tài khoản được sử dụng để truy cập RDP không được có đặc quyền Quản trị viên (Administrator) cục bộ và bạn không bao giờ được sử dụng chức năng thông tin xác thực đã lưu để truy cập RDP hoặc bất kỳ kết nối bảng điều khiển từ xa nào khác. Để hạn chế người dùng lưu thông tin xác thực RDP, bạn có thể sử dụng Chính sách nhóm Group Policy.
  • Mã hóa lưu lượng backup: Theo mặc định, Veeam Backup & Replication mã hóa lưu lượng mạng được truyền giữa các mạng public Để đảm bảo liên lạc an toàn với dữ liệu nhạy cảm trong phạm vi ranh giới của cùng một mạng, hãy mã hóa lưu lượng sao lưu trong các mạng riêng. 
  • Sử dụng xác thực đa yếu tố (multi-factor authentication): Bật xác thực đa yếu tố (MFA) trong Veeam Backup & Replication console để bảo vệ tài khoản người dùng bằng xác minh người dùng bổ sung.
  • Sử dụng chứng chỉ TLS tự ký được tạo bởi Veeam Backup & Replication: Loại chứng chỉ này được khuyên dùng để thiết lập kết nối an toàn từ các thành phần cơ sở hạ tầng backup đến Backup Server.
  • Giảm số phiên người dùng mở trong thời gian dài: Đặt thời gian chờ không hoạt động (timeout) để tự động đăng xuất (log off) người dùng. Để làm điều này đi tới Users and Roles. Chọn Enable auto log off after <number> min of inactivity và đặt số phút.
  • Hạn chế các máy ảo Linux và máy chủ Linux không đáng tin cậy kết nối với backup server: Bật xác minh SSH fingerprint thủ công cho các máy không đáp ứng các điều kiện cụ thể.
  • Sử dụng Access Control List (ACL) được đề xuất cho thư mục cài đặt tùy chỉnh: Nếu bạn chỉ định thư mục cài đặt tùy chỉnh cho Veeam Backup & Replication, hãy sử dụng cấu hình ACL được đề xuất để ngăn chặn các cuộc tấn công leo thang đặc quyền (privilege escalation) và thực thi mã tùy ý (ACE). Xóa tất cả các quyền được kế thừa khỏi thư mục này. Sau đó, thêm các quyền sau:
    • Administrators: Full control, áp dụng cho folder, subfolder và file này
    • SYSTEM: Full control, áp dụng cho folder, subfolder và file này
    • CREATOR OWNER: Full control, chỉ áp dụng cho subfolder và file
    • Users: Read & Execute, áp dụng cho folder, subfolder và file này

3.Cở sở dữ liệu Veeam Backup & Replication

Cơ sở dữ liệu cấu hình Veeam Backup & Replication lưu trữ thông tin xác thực của tài khoản người dùng cần thiết để kết nối với máy chủ ảo và các hệ thống khác trong cơ sở hạ tầng backup. Tất cả mật khẩu được lưu trữ trong cơ sở dữ liệu đều được mã hóa. Tuy nhiên, người dùng có đặc quyền quản trị viên (administrator) trên backup server có thể giải mã mật khẩu, đây là mối đe dọa tiềm ẩn.

Để bảo mật cơ sở dữ liệu cấu hình Veeam Backup & Replication, hãy xem xét các đề xuất sau:

  • Hạn chế quyền truy cập của người dùng vào cơ sở dữ liệu: Kiểm tra xem chỉ những người dùng được ủy quyền mới có thể truy cập vào backup server và máy chủ lưu trữ cơ sở dữ liệu cấu hình Veeam Backup & Replication (nếu cơ sở dữ liệu- database chạy trên máy chủ từ xa).
  • Mã hóa dữ liệu trong bản sao lưu cấu hình: Bật mã hóa dữ liệu để bản sao lưu cấu hình nhằm bảo mật dữ liệu nhạy cảm được lưu trữ trong cơ sở dữ liệu cấu hình. Ngoài ra, hãy đảm bảo rằng kho lưu trữ (repository) bản sao lưu cấu hình không nằm trong cùng mạng với backup server.

4.Backup Repository

Backup Repositories backup and replica, hãy xem xét các đề xuất sau:

  • Thực hiện theo quy tắc 3-2-1: Để xây dựng cơ chế bảo vệ dữ liệu thành công, hãy sử dụng quy tắc 3-2-1 khi thiết kế cơ sở hạ tầng backup của bạn.
  • Đảm bảo an ninh vật lý của tất cả các thành phần lưu trữ dữ liệu: Tất cả các thiết bị bao gồm backup repository, proxy, và gateway server phải được đặt trong khu vực có kiểm soát truy cập.
  • Hạn chế quyền truy cập của người dùng vào backup và replica: Kiểm tra xem chỉ những người dùng được ủy quyền mới có quyền truy cập các bản backup và replica trên máy chủ mục tiêu.
  • Mã hóa dữ liệu trong bản sao lưu: Sử dụng tính năng mã hóa tích hợp Veeam Backup & Replication để bảo vệ dữ liệu trong các bản sao lưu.
  • Mã hóa lưu lượng SMB: Nếu bạn sử dụng chia sẻ SMB trong cơ sở hạ tầng backup của mình, hãy bật SMB signing để ngăn chặn các cuộc tấn công chuyển tiếp NTLMv2. Ngoài ra, bật mã hóa SMB.
  • Kích hoạt tính bất biến (immutability) cho các bản sao lưu: Để bảo vệ các tập tin sao lưu khỏi bị sửa đổi hoặc xóa, bạn có thể đặt chúng ở trạng thái bất biến. Tính năng này được hỗ trợ cho mọi tier scale-out backup repository.
  • Sử dụng phương tiện ngoại tuyến để giữ các tệp sao lưu ngoài bộ nhớ ảo.
  • Đảm bảo tính bảo mật cho mount server: Các máy thực hiện vai trò mount server có quyền truy cập vào backup repository và máy chủ ESXi, điều này khiến chúng trở thành nguồn dễ bị tổn thương. Kiểm tra xem tất cả các đề xuất bảo mật cần thiết có được áp dụng cho các thành phần cơ sở hạ tầng backup này hay không.

5.Veeam Backup Enterprise Manager

Để bảo mật máy chủ Veeam Backup Enterprise Manager, hãy xem xét các đề xuất sau:

  • Cài đặt máy chủ Veeam Backup & Replication và Veeam Backup Enterprise Manager trên các máy khác nhau: Triển khai Veeam Backup Enterprise Manager trên một máy chủ khác với máy chủ Veeam Backup & Replication để ngăn chặn cuộc tấn công thay đổi khóa. Ngay cả khi mật khẩu bị mất do truy cập trái phép, bạn vẫn có thể khôi phục dữ liệu bị mất với sự trợ giúp của Enterprise Manager.
  • Kích hoạt tính năng bảo vệ mất mật khẩu mã hóa: Để cải thiện khả năng bảo vệ chống mất dữ liệu, hãy cung cấp một cách khác để giải mã dữ liệu nếu mất mật khẩu cho bản sao lưu hoặc tape được mã hóa.
  • Sử dụng Access Control List (ACL) được đề xuất cho thư mục cài đặt tùy chỉnh: Nếu bạn chỉ định thư mục cài đặt tùy chỉnh cho Veeam Backup Enterprise Manager, sử dụng cấu hình ACL được đề xuất để ngăn chặn các cuộc tấn công leo thang đặc quyền (privilege escalation)  và thực thi mã tùy ý (ACE). Xóa tất cả các quyền được kế thừa khỏi thư mục này. Sau đó, thêm các quyền sau:
    • Administrators: Full control, áp dụng cho folder, subfolder và file này
    • SYSTEM: Full control, áp dụng cho folder, subfolder và file này
    • CREATOR OWNER: Full control, chỉ áp dụng cho subfolder và file
    • Users: Read & Execute, áp dụng cho folder, subfolder và file này

6.Veeam Cloud Connect

Veeam Cloud Connect bảo mật liên lạc giữa phía nhà cung cấp và phía đối tượng thuê bằng TLS. Nếu kẻ tấn công lấy được khóa riêng (private key) của nhà cung cấp, lưu lượng backup có thể bị nghe lén và giải mã. Kẻ tấn công cũng có thể sử dụng chứng chỉ để mạo danh nhà cung cấp (tấn công trung gian man-in-the-middle). Để giảm thiểu rủi ro, nhà cung cấp Veeam Cloud Connect phải đảm bảo rằng chứng chỉ TLS được lưu giữ ở nơi có độ bảo mật cao và bên thứ ba không thể phát hiện được.

Tags: