Meer informatie over Back-up en Linux

Algemeen
Omdat we steeds meer ransomware-aanvallen zien bij bedrijven wordt de back-up van je IT infrastructuur nog belangrijker.
Als jouw bedrijf wordt getroffen door een aanval wil je altijd een back-up van je systemen en data achter de hand hebben.
Echter zijn de aanvallers zo slim dat ze de back-up oplossing in je infrastructuur als eerste proberen aan te vallen voordat ze de boel plat leggen, zodat jij geen mogelijkheid meer hebt om te kunnen herstellen.
Daarom adviseren we vanuit Promax je back-up oplossing door ons te laten beoordelen en verder te beveiligen als dat kan, zodat je altijd een back-up veilig hebt staan.

We hanteren een 3-2-1 strategie voor alle back-ups, wat betekent dat je je data op 3 plekken moet bewaren: productie, lokale back-up en een back-up buiten de deur.
Die laatste back-up kunnen we nu nog verder beveiligen met een oplossing die in staat is aanpassingen van bestanden tegen te gaan. Daarmee kan een aanvaller back-up bestanden niet verwijderen of encrypten, ook niet vanuit de back-up oplossing zelf.
Dit wordt aangeboden als een ‘Hardened Repository’ naast je huidige back-up, en kan in plaats van of naast je huidige back-up copy als je die al hebt.

Wat de Linux variant inhoudt
De Hardened Repository is een WORM*-opslagoplossing die beschermt tegen ongewenste wijzigingen in de back-up bestanden.
(WORM* staat voor write once, read many, de technologie om gegevens eenmalig te kunnen wegschrijven en herhaaldelijk te kunnen lezen.)
De Hardened Repository heeft een externe audit voor WORM-opslag doorstaan ​​en voldoet aan de hoogste nalevingsnormen.
Met dergelijke oplossingen kunnen bestanden, binnen een vooraf bepaalde periode, niet verwijderd of aangepast worden op het bestandssysteem.

Technisch
Hiermee zijn back-up bestanden niet aan te passen voor een bepaalde periode, bijvoorbeeld 14 dagen.
Zonder root toegang tot de Linux-server die de back-up copy host, kunnen back-ups niet worden verwijderd binnen die periode.

  • De vereisten zijn:
    • Veeam Backup & Replication v11.
    • Een fysieke Linux-server met voldoende lokale opslag, met Debian of Ubuntu als OS.
    • Back-up manier: voorwaarts incrementeel met periodieke ‘synthetische’ fulls.
  • En bij gebruik van het XFS-bestandssysteem biedt reflink voordelen voor snel klonen, waarmee ‘synthetische full back-ups‘ sneller worden gemaakt.

Linux-beveiliging

  • Veeam-transportagent wordt uitgevoerd met een niet-geprivilegieerde gebruiker.
  • SSH is niet nodig en wordt uitgeschakeld naar de Linux-server.
  • Slechts één netwerkpoort open voor communicatie naar Linux: TCP/6162.
  • ILO/DRAC/IMM port op switch uitschakelen.

 
Je kan voor deze optie kiezen als je je back-up verder wil beveiligen tegen aanvallers.
Stel dat je toch getroffen wordt door een aanval, dan kan niemand de back-up bestanden aantasten.

Hieronder zie je de verschillende onderdelen die wij adviseren te laten beveiligen:

  1. Physical Security < Algemene fysieke beveiliging (deur, slot, sleutel, toegang)
  2. Infrastructure Hardening < Algemene best-practices
  3. Security Domains < Backupserver uit het domein halen
  4. Segmentation using Zones < Zone/vlan beveiliging 
  5. Hardening Backup Repository - Windows < Veeam server beveiliging 
  6. Hardening Backup Repository - Linux < Veeam Hardenend repository

 

Voor een goede beveiliging worden de punten 1,2,3 en 5 in orde gezet.

Voor een betere beveiliging worden de vorige punten plus punt 4 in orde gezet.

Voor de beste beveiliging worden alle punten, dus ook punt 6, in orde gezet.


Contacteer ons salesteam voor de mogelijke opties die bij jouw bedrijf passen.