Posted inBackup

Veeam v12.3 Alcuni consigli sulle funzionalità di sicurezza – Security and Compliance Analyzer

Nell’attuale panorama delle minacce informatiche, il backup non è più solo l’ultima linea di difesa: è la migliore protezione contro gli attacchi informatici e le funzionalità di sicurezza sono diventate fondamentali per i backup.

In questo articolo, il primo di una serie, iniziamo ad esaminare una serie completa di funzionalità di sicurezza relative all’ultima versione di Veeam Backup & Replication.

A partire dalla versione 12, e con ulteriori miglioramenti nelle versioni successive, Veeam Data Platform ha iniziato a offrire una maggiore protezione per i dati di backup riducendo l’impatto di un attacco informatico.

Ciò è possibile grazie alle funzionalità di sicurezza integrate e in questo articolo ne analizzeremo una.

 

Security and Compliance Analyzer

Cos’è l’analyzer? È uno strumento di controllo della sicurezza integrato in Veeam. È stato sviluppato seguendo le linee guida stabilite da esperti di protezione dei dati e sicurezza informatica. Possiamo utilizzarlo nella console VBR e ci consente di verificare la conformità di tutte le attività alle migliori pratiche di sicurezza.

Il report “Backup Security & Compliance” valuta la configurazione di tutti i server di backup per garantire che siano in linea con le migliori pratiche di sicurezza stabilite. Questo aiuta le aziende a mantenere un’infrastruttura di backup solida, contribuendo ad aumentare la fiducia nella loro strategia di protezione dei dati.

La conformità è suddivisa in due grandi categorie:

Sicurezza del server Veeam: verifica le migliori pratiche per rafforzare il sistema operativo su cui è installato VBR. L’elenco completo è disponibile qui:

  • Remote Desktop Services (TermService) should be disabled
  • Remote Registry service (RemoteRegistry) should be disabled
  • Windows Remote Management (WinRM) service should be disabled
  • Windows Firewall should be enabled
  • WDigest credentials caching should be disabled
  • Web Proxy Auto-Discovery service (WinHttpAutoProxySvc) should be disabled
  • Deprecated versions of SSL and TLS should be disabled
  • Windows Script Host should be disabled
  • SMBv1 protocol should be disabled
  • Link-Local Multicast Name Resolution (LLMNR) should be disabled
  • SMBv3 signing and encryption should be enabled
  • Local Security Authority Server Service (LSASS) should be set to run as a protected process
  • NetBIOS protocol should be disabled on all network interfaces

Configurazione Veeam: verifica l’applicazione delle best practice di configurazione Veeam al fine di rendere il software di backup più sicuro.

Ecco l’elenco

  • MFA for the backup console should be enabled
  • Immutable or offline (air gapped) media should be used
  • Password loss protection should be enabled
  • Backup server should not be a part of the production domain
    Email notifications should be enabled
  • All backups should have at least one copy (the 3-2-1 backup rule)
  • Reverse incremental backup mode is deprecated and should be avoided
  • Unknown Linux servers should not be trusted automatically
  • The configuration backup must not be stored on the backup server
  • Host to proxy traffic encryption should be enabled for the Network transport mode
  • Hardened repositories should not be hosted in virtual machines
  • Network traffic encryption should be enabled in the backup network
  • Linux servers should have password-based authentication disabled
  • Backup services should be running under the LocalSystem account
  • Configuration backup should be enabled and use encryption
  • Credentials and encryption passwords should be rotated at least annually
  • Hardened repositories should have the SSH Server disabled
  • S3 Object Lock in the Governance mode does not provide true immutability
  • Backup jobs to cloud repositories should use encryption
  • Latest product updates should be installed
  • PostgreSQL server should be configured with recommended settings
  • Hardened repositories should not be used as backup proxy servers
  • Backup encryption password length and complexity recommendations should be followed

Ora vediamo come possiamo utilizzare lo strumento.

Avvio

Abbiamo tre possibili modalità per avviare il report dell’analyzer:

  1. lanciandolo manualmente direttamente dalla console VBR
  2. Pianificazioni giornaliere
  3. Come reporti di Veeam One

Vediamo adesso nello specifico le varie possibilità

Avvio manuale: Per avviare il controllo di sicurezza, è possibile fare clic sul pulsante “Security & Compliance”. Si aprirà la finestra dell’Analyzer e il controllo di sicurezza verrà avviato automaticamente.

 

Pianificazione giornaliera: Si consideri che l’Analyzer può essere schedulato quotidianamente cliccando sul bottone “Schedule” e il risultato può essere inviato via mail sia con la notifica standard sia personalizzando l’oggetto e il tipo di notifica.

 

Report con Veeam One: Come per la schedulazione giornaliera è possibile schedulare un report periodico direttamente da Veeam One e ricevere le informazioni sulle compatibilità come da immagine in basso.

Per avviare il report, basta aprire il Web Client di Veeam ONE e successivamente eseguendo una semplice ricerca rapida oppure aprendo la cartella Veeam Backup Overview. Una volta eseguito il report, si ottengono tutte le informazioni sui server di backup collegati a Veeam ONE.

Veeam ONE fornisce un report completo sul livello di sicurezza e conformità dell’infrastruttura di backup e ti avvisa in caso di eventuali problemi. Gli avvisi sono perfetti per tenere sotto controllo quello che succede intorno a te. Ti arriveranno avvisi su ogni best practice relativa a ogni server di backup, così puoi tenere tutto sotto controllo e assicurarti che il tuo ambiente soddisfi gli standard corretti.

 

Risultati

Dopo che l’Analyzer è stato lanciato è possibile verificare i report sulla console VBR dove sarà riportato lo stato attuale di ogni controllo.

Cliccando sul pulsante Last run possiamo vedere il risultato completo per ogni riga e verificare cosa non è conforme.

Remediation

Nella pagina Security & Compliance Analyzer possiamo trovare tutte le condizioni non rispettate e le azioni necessarie per implementare le soluzioni e ottenere avere un ambiente complesso e sicuro.

Potete applicare queste azioni in due modalità:

  1. manualmente
  2. automaticamente con uno script

Operazioni manuali

Facciamo una premessa, alcune azioni potrebbero non essere applicabili per determinati motivi. C’è la possibilità di sopprimere l’avviso facendo clic sul pulsante Suppress.

Dobbiamo aggiungere una nota e cliccare su OK

Ritroveremo l’allarme soppresso alla fine della pagina come si può notare dall’immagine.

Poi quando saremo pronti ad effettuare le azioni di remediation l’alert può essere selezionato cliccando sul tasto Reset

L’alert verrà proposto nello stato Not checked.

Lanciando adesso l’analyzer esso verrebbe marcato come ‘Not Implemented‘. Una volta che le azioni di remediation sono state applicate, seguendo le istruzioni nellapagina della documentazione sopra descritta, al prossimo avvio dell’analyzer l’allarme verrà spostato nella sezione Passed e quindi nessuna altra operazione si rende necessaria.

Automaticamente con uno script

Le remediation possono essere applicate autoamticamente grazie ad uno script che si può trovare dal link presente nella sezione della descrizione della pagina del tool.

Cercate la pagina di Veeam KB4525 e scaricate lo script che vi aiuterà nell’implementazione automatica delle proprietà di sicurezza.

The script on this page is provided to expedite the implementation of Security & Compliance Analyzer recommendations. It was created by Veeam’s development team and will be updated as further Security & Compliance recommendations are added to Veeam Backup & Replication.

(source Veeam kb4525 page)

Una volta lanciato e ricevuto l’output dello stato della sicurezza, lo script permetterà tre azioni:

1: Refresh compliance report

2: Apply ALL recommended configurations

3: Apply selected configuration only…

0: Exit

Con l’opzione 2 tutte le remediation saranno applicate automaticamente a quelle voci che riporteranno la dicitura:

Not implemented (Use 'Apply Configurations' option to fix)

Nota: Le voci che sono state soppresse nel Security & Compliance Analyzer dalla console VBR saranno visibili come “Suppressed” e NON saranno modificate dallo script.

Con l’opzione 3 verrà richiesto l’ID della raccomandazione e lo script tenterà la correzione solo della voce con l’ID specificato.

Questo è tutto per la parte di Security and Compliance Analyzer. Il prossimo articolo riguarderà la parte di Four-Eyes Autorisation,

 

 

 

 

 

 

 

 

Post Views: 59
Tags: