Odborná sekcia
S3 Cloud Objektové úložisko proti ransomware - VEEAM Backup
07.10.2024, 15:11
Rozšírte svoje VEEAM zálohovanie o Imutabilitu a ochranu dát v ďalšej lokalite! S3 Cloud Objektové úložisko s dátovými centrami v SR je jedným zo základných kameňov stratégie obrany proti kybernetickým útokom.
Jedným z najvážnejších kybernetických útokov je ransomware. Frekvencia útokov je alarmujúca – dochádza k nim každých 11 sekúnd a zhruba 80 % prípadov smeruje na firmy. Zraniteľné nie sú len veľké korporácie, ale aj stredne veľké a menšie podniky. Najmä menšie spoločnosti často nemajú dostatočné zdroje na robustnú kybernetickú ochranu, čo ich robí atraktívnejšími cieľmi.
Najmä pre tieto spoločnosti je výhodné neinvestovať do vlastnej technológie zálohovania v ďalšej lokalite , ale prenajať si imutabilnú kapacitu ako službu S3 Cloud úložisko, ktoré je kompatibilné s Amazon S3 REST API.
Naša služba S3 Cloud Objektové úložisko je postavená na Enterprise technológii Hitachi Content Platform (HCP) . Je certifikovaná podľa zákona „§ 499 O archívnictve a spisovej službe“ a ďalej Digitálnou a informačnou agentúrou (DIA) ako poskytovateľ „cloud computingu podľa § 6q zákona č. 365/2000 Zb. o informačných systémoch verejnej správy“.
Čo je to imutabilita?
Imutabilná záloha je typ zálohy, ktorú poskytujú S3 Objektové úložiská. Takú zálohu nemožno zmeniť alebo zmazať. Nemennosť je vynútená samotným objektovým úložiskom a nemožno teda obísť ani v situácii, keď útočník získa najvyššie ADMIN oprávnenie (aj v rámci zálohovacej infraštruktúry).
Imutabilná záloha teda chráni nielen proti vonkajšej hrozbe (kyber útok), ale taktiež proti vnútornej hrozbe (snaha zamestnanca škodiť).
Nemenné zálohy je možné odstrániť iba po uplynutí nastaveného časového obdobia. S nástupom ransomwaru sa nemenná záloha stala pre obnovu zásadnou. Je to preto, že aktéri hrozieb teraz bežne útočia na zálohy. S nemennou zálohou sú dáta chránené pred týmito typmi útokov.
Zálohovanie dát do S3 Cloud Objektové úložisko s Imutabilitou
VEEAM Data Platform umožňuje zálohovať dáta do S3 Cloud úložiska a využívať funkciu S3 Object Lock tak, aby boli ich zálohy boli nemenné – imutabilné. Nemennosť zaisťuje, že akonáhle sú dáta zapísané, nie je možné ich zmeniť alebo zmazať, kým nevyprší zadaná doba Imutability. Táto funkcia je obzvlášť výhodná pri ochrane pred útokmi ransomvéru, pretože zabraňuje zlomyseľným aktérom manipulovať so zálohovanými dátami. Pridanie šifrovania k vašim dátam tiež pomáha zabrániť zlodejom v krádeži vašich dát, pretože bez správneho kľúča sú k ničomu. Konfigurácia vzdialeného S3 Objektového úložiska v prostredí VEEAM je veľmi jednoduchá...
Ako funguje nemennosť
Pri konfigurácii úložiska záloh vo VEEAM Backup môžu používatelia povoliť Imutabilitu pre svojich S3 repositárov. Doba Imutability je nastavená na základe zásad nakonfigurovaných v rámci S3 Object repositára. Ak napríklad zásady uchovávania stanovujú 30-dňové obdobie, vaše dáta zostanú po týchto 30 dní nemenné.
VEEAM používa na komunikáciu s S3 Objektovým úložiskom dve možné metódy, kde každá z metód prináša určité výhody:
- Metóda DIRECT (komunikuje priamo s S3 úložiskom a nevyžaduje lokálnu kapacitu. Môže však čerpať viac kapacity úložiska.
- Metóda Scale-Out ( Vďaka spojeniu lokálneho a S3 úložiska vytvára kapacitne veľmi efektívne riešenie s minimálnymi nárokmi na prenosové linky. Vyžaduje však isté množstvo lokálnej "akceleračnej" kapacity)
Použitie vhodnej metódy je otázkou voľby na základe viacerých faktorov a radi Vám poskytneme k týmto možnostiam konzultáciu.
Veeam Backup - Zálohovacia metóda DIRECT ► S3 Objektové úložisko
Metóda „Direct“ zálohuje on-line priamo do S3 Cloud Objektového úložiska a nevyžaduje žiadnu lokálnu backup repository. Jednoduchosť tejto metódy je vyvážená určitými vlastnosťami, ktoré treba vziať do úvahy:
- Aby zálohovacia úloha mohla prebehnúť, vyžaduje funkčnú konektivitu do S3 objektového úložiska.
- Nízka rýchlosť konektivity vedie k dlhému trvaniu zálohovacej úlohy a tým k príliš dlhému „životu“ VMware snapshotu.
- Okrem kompresie neprebieha žiadna ďalšia metóda zmenšenia objemu dát. Dvakrát vykonaný FullBackup alokuje dvakrát viac dát na úložisku.
- Rýchlosť restore je závislý od rýchlosti konektivity do S3 Objektového úložiska.
Veeam Backup - Zálohovacia metóda ScaleOut ► S3 Objektové úložisko
Metóda „ScaleOut“ vyžaduje lokálnu kapacitu - Backup Repository s kapacitou aspoň pre jednu plnú zálohu. Túto kapacitu využíva Veeam ako „lokálna akceleračná cache“ pre postprocesný prenos dát do S3 Objektového úložiska. Táto metóda síce vyžaduje potrebu určitého množstva kapacity na backup serveri, má však množstvo výhod:
- Záloha prebieha lokálnou rýchlosťou do Performance Tieru. Ten drží aspoň jednu poslednú plnú zálohu.
- VEEAM do S3 Objektového úložiska posiela iba unikátne dáta. Viac Full Backupov takmer nezvyšuje kapacitné čerpanie objektového úložiska.
- Transport dát do objektového úložiska je postprocesný. Pomalá konektivita nevadí av prípade výpadku konektivity VEEAM nadviaže transport dát do S3 úložiska.
- Vďaka postprocesnému transportu dát do S3 Objektového úložiska je možné definovať časové okno pre prenos dát (napríklad nočných hodín) a zladiť tak potreby čerpania internetovej konektivity medzi užívateľov a zálohy.
- Vysoká rýchlosť restore vďaka využitiu lokálne dostupných dátových blokov. VEEAM restore z S3 Objektového úložiska čerpá len unikátne bloky (ktoré nedržia lokálne).
- Na S3 objektovom úložisku sú uložené všetky bloky pre kompletné restore. Obnova je tak možná aj v prípade úplnej straty zálohovacieho servera (lokálne dáta nie sú pre obnovu nevyhnutné, slúžia iba pre akceleráciu rýchlosti)
Šifrovanie
Medzi základné Best Praciticies patrí šifrovanie dát. To znamená, že dáta by nemala spoločnosť opúšťať v inej ako šifrovanej podobe. Veeam Backup na tieto účely ponúka šifrovanie nielen na úrovni jednotlivých Backup úloh.
Technológia VEEAM „ScaleOut“ umožňuje globálnu enkrypciu dát AES256 pri odosielaní dát do S3 Objektového úložiska. Nie je tak potrebné definovať enkrypciu na úrovni jednotlivých backup jobov. Best practicies odporúčajú túto enkrypciu využívať a mať heslo uložené v analógovej podobe pre prípad restore v prípade dissaster.
Bez šifrovacích kľúčov sú Vaše dáta na S3 Cloud Objektovom úložisku nečitateľné a nehrozí žiadna možnosť ich vyťaženia ani pokiaľ by prípadný útočník získal prístupové údaje k úložisku.
NIS2 je tu. Ste pripravení?
NIS 2 je nový rámec povinností v národnej legislatíve týkajúcej sa kybernetickej bezpečnosti. Okrem iného má vplyv aj na pravidlá pre zálohovanie, obnovu a dlhodobé ukladanie dát a informácií vrátane testovania obnovy v rámci IS ISMS:
- Zálohy musia byť minimálne v jednej inštancii umiestnené v inom fyzickom prostredí ako prevádzkové dáta.
- Zálohy dát musia byť uložené v priestore, ktorý má zaistené riadenie prístupu osôb podľa oprávnenia a prístupy do priestoru sú monitorované
- Pre zálohy dát, ktoré sa ukladajú online na iné dátové úložiská, musí byť zabezpečené:
• prístup k dátovému úložisku je riadený cez iné prístupové oprávnenia ako oprávnenia zálohovaných systémov/dát
• Zaistenie záloh heslom, šifrovanie záloh