Ho aspettato un pò per scrivere questo articolo per capire meglio quali fossero davvero le funzionalità che la nuova versione 13 di Veeam potessero davvero dare quel quid in più. Ho letto più volte il documento di “What’s New” cercando di approfondire i dettagli e capirne il significato. Quindi quello che andrò a scrivere si baserà soprattutto su quanto indicato in quel documento.
L’attuale tendenza a mantenere una gestione di ambienti IT ibridi è diventata una sfida costante, contrapposta ad una complessità crescente e all’aumento dei rischi per la sicurezza. Oggi garantire la resilienza del dato di fronte a minacce informatiche sempre più sofisticate è una necessità assoluta per la continuità del business.
Con la v13 Veeam ha rilasciato una release che vuole affrontare direttamente queste sfide, ridisegnando l’architettura della piattaforma offrendo livelli di sicurezza, semplicità e performance senza precedenti.
In questo articolo ho selezionato le funzionalità che, secondo il mio parere, migliorano le operazioni quotidiane e le aspettative per una moderna piattaforma di data protection.
L’appliance ovvero sicurezza e semplicità “Out-of-the-Box”
Da sempre nel mio approccio architetturale cerco di tenere un approccio che si contestualizza con l’acronimo KISS (Keep It Simple, Stupid) ovvero semplice è meglio. Con le dovute accortezze chiaramente. Con questa versione Veeam introduce un cambiamento epocale rispetto alla tradizionale installazione basata su Windows grazie alla nuova Veeam Software Appliance (VSA).
Un approccio differente rispetto al passato dove bisognava costruire pezzo per pezzo l’ambiente di backup. La VSA integra sistema operativo hardenizzato e software di backup in un’unica soluzione gestita interamente da Veeam. Vediamo adesso alcune specifiche relativamente a quelle che io chiamo le “Tre Pre”. Caratteristiche che fanno si che la v13 sia stata resa più robusta e affidabile, che mirano a semplificare l’implementazione e garantire prestazioni stabili.
- Pre-built: La VSA viene fornita come un pacchetto unico che include un “JeOS” (Just enough Operating System) basata su Rocky Linux 9.2e il software di backup. Si tratta quindi di un’appliance virtuale già assemblata e pronta all’uso, aggiornata da Veeam, riducendo i tempi di installazione e configurazione.
- Pre-hardened: La sicurezza è integrata di default. Le impostazioni di sicurezza sono state ottimizzate secondo le rigorose linee guida DISA STIG per minimizzare la superficie d’attacco. L’autenticazione a più fattori (MFA) è obbligatoria e i servizi principali vengono eseguiti con account a bassi privilegi per ridurre drasticamente le opportunità di privilege escalation e lateral movement in caso di vulnerabilità. E’ inoltre obbligatoria la creazione di un Security Officer per le operazioni che necessitano di una doppia autorizzazione.
- Predictable: La VSA è progettata in modalità Zero Trust. Gli amministratori di backup non dispongono di privilegi di root a livello di sistema operativo, così si evitano configurazioni errate che potrebbero compromettere sicurezza, affidabilità e prestazioni.
Riassumendo: si riducono i tempi di implementazione, i costi operativi e i rischi per la sicurezza, l’ambiente di backup diventa quindi più accessibile, anche per ambienti PMI e ROBO (Remote Office/Branch Office).
Piccolo appunto personale: non mi piacciono gli utenti preconfigurati e parlanti che vengono creati in fase di installazione.
Un futuro senza Windows?
In quanti hanno, nel corso degli anni, chiesto prima i proxy Linux e poi anche il VBR su sistemi Open-source? Ecco ci siamo! Con la nuova architettura tutti i componenti potranno girare su sistemi operativi Linux. Questo permetterà di abbattere i costi di licenza legati al mondo Microsoft e soprattutto in ambienti complessi può diventare una vera e propria svolta economica. Fino alla versione 12.3 componenti come il Mount Server, il Gateway Server e il Guest Interaction Proxy, erano possibili solo su macchine Windows mentre ora supportano pienamente l’implementazione su Linux.
Riassumendo: flessibilità senza precedenti, significativa riduzione dei costi legati alle licenze Windows, allineamento della piattaforma verso soluzioni basate su Linux.
Piccolo appunto personale: c’è un però! Un mount server di tipo Windows è:
- obbligatorio in caso di restore di file su macchine Windows se ha dischi formattati in ReFS
- obbligatorio nel caso di Re-IP durante un failover di replica
- consigliato in tutti gli altri casi.
Consigliato in quanto Linux legge i FS di tipo NTFS ma con delle limitazioni. Comunque per qualsiasi dubbio è meglio consultare l’apposita pagina della documentazione.
Un nuovo cuore tecnologico
Come descritto in precedenza è stata migliorata l’intera piattaforma in termini di sicurezza ma anche nelle prestazioni.
- Addio a NTLM: Il protocollo di autenticazione NTLM, che ti creava tanti problemi se usavi utenti diversi da Administrator e che è ormai obsoleto e insicuro, viene deprecato e sostituito dal più robusto e moderno Kerberos, riducendo l’esposizione a note vulnerabilità.
- Abbandono di RPC e WMI: Questi protocolli legacy di Microsoft vengono sostituiti dal moderno e cross-platform gRPC permettendo un aumento delle prestazioni e riducendo il numero di porte di rete che devono essere aperte. La conseguenza immediata è la riduzione della superficie d’attacco della rete.
- SSO per Tutti: L’integrazione del Single Sign-On (SSO) con provider come Entra ID o Okta è ora disponibile in tutte le edizioni della Veeam Data Platform, non più solo nei livelli premium.
- Controllo degli accessi basato sui ruoli (RBAC): è possibile creare dei ruoli con permessi granulari. Si possono definire ruoli come Backup Operator o Restore Operator e limitarne l’accesso a specifici oggetti o operazioni, tutto sempre in ottica di sicurezza.
- Algoritmo BLAKE3: Grazie all’adozione del nuovo algoritmo di hashing BLAKE3 viene ridotto l’utilizzo della CPU su proxy e agent fino al 30%. Questo significa ottenere backup più veloci, specialmente in scenari dove la CPU rappresenta il collo di bottiglia. BLAKE3 attraverso l’utilizzo di una struttura ad albero binario aumenta la sua capacità di sfruttare un grado di parallelismo virtualmente illimitato. Elaborando grosse quantità di dati contemporaneamente e ottenendo prestazioni significativamente più elevate rispetto ad altri algoritmi di hashing, in ambiente di backup significa velocizzare il processo di trasferimento del dato tramite l’apposito ruolo di Data Mover che Veeam installa sui proxy.
Riassumendo: minor superficie di attacco in rete, SSO con provider esterni, nuovo algoritmo di hashing e backup più veloci, riduzione colli di bottiglia su ambienti con migliaia di job concorrenti.
Piccolo appunto personale: Ho dato uno sguardo al nuovo algoritmo Blake3. Decisamente più sicuro rispetto a SHA2/3 grazie alla sicurezza a 128bit e alle prestazioni superiori ma essendo relativamente giovane (rilasciato a gennaio 2020) potrebbe difettare di integrazione e compatibilità con sistemi esterni.
Nuova interfaccia web
Anche l’esperienza utente riceve un importante aggiornamento con l’introduzione di un’anteprima di una nuova e moderna interfaccia utente basata sul web.
Questa nuova UI elimina le dipendenze dalla piattaforma (non è più necessario installare una console dedicata su un PC Windows per molte delle attività quotidiane), migliora l’accessibilità e sfrutta meglio lo spazio dello schermo. Ma la classica console Windows, completa di tutte le sue funzionalità, rimane comunque disponibile scaricabile separatamente.
Non poteva mancare la Dark Mode, offrendo un’esperienza visiva più confortevole e moderna.
Riassumendo: riduzione delle componenti necessarie all’infrastruttura e visibilità in Dark mode.
Piccolo appunto personale: In questa prima versione non ha ancora tutte le funzionalità integrate ma la versione 13.1 attesa in Q4 dovrebbe integrare tutto.
HA per il server di backup
Siamo tutti abituati, in caso di guasto del server di backup al suo ripristino in 3 semplici passaggi: nuovo server Windows, installazione del softeware, restore della configurazione al fine di ottenere il ripristino completo delle funzionalità al momento del disastro.
Con la v13 viene introdotta la funzione di High Availability (HA) per la VSA in una configurazione cluster active/passive. Il database Postgres viene replicato continuamente su un nodo di standby, permettendo un failover con un solo clic in caso di guasto o disastro.
Riassumendo: Alta affidabilità grazie al cluster active/passive.
Piccolo appunto personale: Questa funzionalità richiede l’edizione VDP Premium e sarà disponibile a partire dalla versione 13.0.1 della VSA.
Prestazioni raddoppiate
Veeam garantisce l’aumento delle prestazioni in termini di velocità di esecuzione del backup (viene dichiarato un 2x). I miglioramenti sono così consistenti da meritare un punto a sé stante, poiché permettono di proteggere più carichi di lavoro utilizzando lo stesso hardware.
- Backup degli Agent: Il throughput è più che raddoppiato sia per gli agent Windows che Linux a parità di hardware.
- Scalabilità dei Job: Il motore di gestione dei job ora supporta fino a 5000 agent gestiti (il doppio rispetto a v12) e 750 backup job in parallelo.
- Numerosità VM per job: è stato portato a 2000 il numero di VM per ogni job di backup e raddoppiato (ora 10000) il numero di VM gestibili per ogni backup server.
Riassumendo: Backup più rapidi e ripristini più veloci con meno impatti sulle prestazione della VSA e dei proxy.
Piccolo appunto personale: A fronte di un aumento della velocità del throughput (sia in uscita che in entrata) diventa fondamentale disporre di uno storage repository che abbia altrettante prestazioni. Il consiglio è quello di puntare verso un object storage on-prem o al Veeam Hardened Repository basato però su hardware davvero prestazionale.
Quindi cosa ne deduco?
Chiaramente questa versione rilasciata in anticipo è destinata a nuove installazioni e senza possibilità di migrazione dalle versioni precedenti.
La versione completa (GA) è prevista in Q4 2025 (dal 1° ottobre tutto è possibile) includerà il pacchetto di installazione per Windows e tutte le funzionalità aggiuntive. A quel punto sarà disponibile l’upgrade in-place dalla versione V12.
Inoltre, con la Veeam Software Appliance è stato rilasciato anche Veeam One V13.
Chiaramente ci sono moltissime novità per quanto riguarda il backup degli ambienti ibridi che vanno verificate di volta in volta a seconda dell’uso che se ne vuole fare ma iniziare ad usarla in laboratorio permette di avere sotto mano la nuova interfaccia web, di paragonare con la versione precedente e di avere anche un controllo delle varie impostazioni di backup. Veeam ha voluto modernizzare la piattaforma, forse anche per un futuro passo legato al mondo cloud, ma soprattutto ha voluto dare certezza ai fattori di sicurezza, semplicità e prestazioni.
Ah… piccolo spoiler, per l’upgrade dalla versione 12.x alla 13 e da mondo Windows a Linux sarà necessario ingaggiare un fornitore di servizi affiliato al programma di Veeam chiamato VASP.
Per qualsiasi delucidazione puoi contattarmi su Linkedin
