Veeam – Repositório Imutável – Parte 1

Veeam – Repositório Imutável – Parte 1

Veeam – Repositório Imutável – Parte 2

Veeam – Repositório Imutável – Parte 3

Olá, pessoal.

Uma das novas funcionalidades da v11 do Veeam é a possibilidade de criar um repositório imutável onde você pode definir em dias os restore points que não podem ser alterados ou removidos. Isso traz uma proteção adicional a recente onda de ataques ransomware que temos vivido no Brasil e no mundo.

Nesse primeiro post vou falar dos pré-requisitos e como funciona o Repositório Imutável da Veeam.

 

Pré-Requisitos

 

Antes de começar a configuração precisamos verificar os pré-requisitos para criação do repositório imutável:

  • Veeam Backup & Replication v11. É uma funcionalidade específica da v11, não existe nas versões anteriores.
  • Uma distribuição 64-bit do Linux para ser o repositório. Por enquanto só existe a possibilidade de criar o repositório imutável no Linux. Eu recomendo o uso do Ubuntu 20.04 LTS ou posterior, mas é possível também utilizar o RHEL/CentOS 8.2 ou superior, SLES 15 SP2 e Debian 10.
  • É possível utilizar uma máquina virtual sem problema nenhum, inclusive eu utilizarei uma VM para demonstrar, mas é altamente recomendado utilizar uma máquina física por questão de segurança. Hoje em dia já temos ransomware que visam criptografar o Datastore inteiro do vSphere e nesse caso, não adianta ter o backup imutável se os arquivos da VM onde encontra-se o backup forem criptografados.
  • O servidor Linux precisa suportar o sistema de arquivos XFS. Não é obrigatório, mas é recomendável o uso do XFS para tirar a vantagem do Veeam Fast Clone.
  • Os arquivos de backup não poderão ser modificados, portanto, temos algumas limitações quanto ao tipo de backup que pode ser utilizado com o Repositório Imutável. Os Jobs precisam estar configurados com o Synthetic Full ou Active Full agendados. Não podemos usar uma cadeia de backup no modo Forever Foward Incremental com o Repositório Imutável porque quando a cadeia chegar no limite de restore points é necessário fazer o merge do incremental mais antigo com o Full, mas como os backups são imutáveis isso não é possível. Sempre utilize cadeias do tipo Foward Incremental com Synthetic Full ou Active Full.

 

Além desses pré-requisitos temos a lista de Jobs que suportam o Repositório Imutável:

  • Backups Jobs e Backup Copy jobs de VMs no ESXi ou Hyper-V;
  • Backup Copy de backups criados no Veeam Backup for Azure, Veeam Backup for AWS e Veeam Backup for Google Cloud Platform;
  • Backups de máquinas físicas utilizando os Veeam Agents (Windows, Linux, MAC, AIX e Solaris);
  • Backup de VMs do vCloud Director;
  • Backups criados pelo VeeamZIP;
  • Backups Jobs de VMs do Nutanix AHV criados pelo Veeam Backup for Nutanix AHV.

 

Importante:

Você pode armazenar backups e backup copy de NAS Backup Jobs ou Transaction Log Backups Jobs, Jobs de RMAN/SAP HANA/SAP no repositório imutável, mas esses arquivos não serão imutáveis.

Demais pré-requisitos e informações podem ser lidos na seção “Hardened Repository” do User Guide. CLIQUE AQUI para acessar.

 

Como funciona?

 

O funcionamento do repositório imutável na verdade é bem simples. O Veeam utiliza a flag de imutabilidade do próprio Linux para fazer isso funcionar.

  1. Inicialmente o Veeam cria um arquivo com o nome “.veeam.N.lock” na cadeia de backups com a informação do tempo de imutabilidade de cada um dos arquivos de backups.
  2. Os arquivos de backup se tornam imutáveis seguindo o período configurado (mínimo de 7 dias e máximo de 9999 dias). O período de imutabilidade é extendido apenas para cadeia de backup ativa.
  3. Expirado o tempo determinado na configuração o Veeam remove a flag de imutabilidade, permitindo assim que esses arquivos mais antigos sejam alterados ou removidos.

O período de imutabilidade indicado no repositório começa a valer a partir do último restore point criado em uma cadeia de backups ativa. Por exemplo:

  • Uma cadeia de backups ativas tem o backup full criado no dia 1 de Janeiro. O primeiro incremental foi criado no dia 2 de Janeiro e o segundo incremental no dia 3 de Janeiro.
  • O período de imutabilidade foi ativado no repositório com a configuração de 10 dias.
  • Os arquivos de backups se tornarão imutáveis até o dia 13 de Janeiro: a data do último restore point + 10 dias da configuração da imutabilidade.

Do ponto de vista dos componentes, temos o diagrama abaixo para exemplificar o funcionamento:

 

 

Para manter a segurança do repositório imutável o Veeam recomenda o uso de “Single-User Credentials” na configuração do repositório. Esse tipo de credencial é utilizada uma única vez para fazer o deploy dos componentes do Veeam no host Linux. Depois disso o Veeam irá se comunicar com o repositório apenas com certificados, não sendo mais necessário o uso de credenciais e aumentando a segurança já que nenhuma credencial será armazenada. Além disso o usuário utilizado para isso será um usuário sem permissão de root.

Após ser feito o deploy o Veeam utilizará a flag de imutabilidade do Linux para tornar os backups imutáveis.

No próximo post vou passar pelos pontos principais da configuração do host Linux e depois faremos a configuração no Veeam e teste de Imutabilidade.

Até breve!

 

Compartilhe!