Die Datensicherungs-Lösung Backup and Replication von Veeam schützt täglich zuverlässig virtuelle und auch physikalische Infrastrukturen. Somit können nach einer Kompromittierung der Systeme diese schnell aus dem letzten Backup wiederhergestellt werden. Aber wie schützt man den Backup Server an sich vor einer Verschlüsselung oder dem Löschen von Restore Points?
Wenn der Backupserver auch Ziel des Angriffes geworden ist, hilft in den meisten Fällen nur noch der Restore von einem externen Medium wie Tape Laufwerk, Cloud Storage oder einem Backup Copy Ziel mit der "Immutable"-Funktionalität.
Man kann es aber dem Angreifer auch mit einfachen Mitteln erschweren an sein Ziel zu gelangen. In diesem Artikel möchte ich Ihnen aufzeigen, wie Sie mit kleinen Änderungen an Ihrer Veeam-Installation die Sicherheit der Umgebung erhöhen können.
Installieren Sie den Veeam Backup Server auf einem Windows Standalone-System. Für die Ausführung und Anmeldung an den zu sichernden Systemen muss der Backupserver nicht Mitglied einer Active Directory-Domain sein. Dies bietet den Vorteil, dass der Angreifer, nach erlangen eines administrativen Accounts, sich nicht auch auf dem Backup Server seine Schadsoftware verteilen kann.
Wenn der Veeam Backupserver auch das Repository für die Datensicherungen bereitgestellt, sollten Sie die ACL’s für diesen Ordner anpassen. Sofern bei der Installation nichts anderes angegeben worden ist, laufen die Veeam-Dienste unter dem Systemaccount des Windows OS. Entfernen Sie alle File System-Berechtigungen außer Ihrem persönlichen Admin und dem Systemaccount. Mit einem kompromittierten Account ist es somit nicht möglich die Backup Files zu löschen oder zu verschlüsseln.
Nutzen Sie die Encryption Funktion für die jeweiligen Backup Jobs. Richten Sie dies für das interne Configuration Backup der Veeam-Datenbank sowie auch für alle anderen Backup Jobs ein. Nutzen Sie ebenso mehrere Encryption Keys für die einzelnen Backup, Copy oder Tape Jobs. Hierdurch vermindern Sie das Risiko, dass der Hacker durch Datenklau Ihre Unternehmensdaten wiederherstellen kann.
Durch regelmäßige Aktualisierung Ihrer Veeam Backup & Replikation Software werden Sicherheitslücken geschlossen. Gleichzeitig werden auch neue Sicherheitsfunktionen mit eingeführt. Ab der Version 12.1.0.2131 wurde daher das 4-Augen-Prinzip etabliert. Diese Funktion bewirkt, dass sie z.B. bei einer Löschaktion erst von einem 2. Veeam-Administrator bestätigt wird, bevor die Operation durchgeführt wird. Diese Option dient nicht nur dem Schutz, dass ein Angreifer Zugangsrechte zum Veeam-System erlangt hat und sein Unwesen treibt, sondern auch der eigenen Sicherheit- um nicht aus Versehen durch Löschen von Backups SLA’s zu verletzten.
Diese Four-Eyes-Authorization wird auf Operationen die in der Veeam-Console, über das PowerShell "Cmdlet", der Rest API oder dem Veeam Backup Enterprise Manager getätigt werden angewendet.
Ab der gleichen Veeam-Version wurde auch der Malware Scanner eingeführt. Dieser scannt die gesicherten Daten inline oder nachgelagert gegen eine interne Datenbank mit bekannten Malware Files und Endungen. Der Scanner schaut sich auch die Aktivitäten im Filesystem des zu sichernden Systems an. Sollten hier zu viele Daten gleichzeitig gelöscht oder verändert worden sein, welches ein Anzeichen auf einen Verschlüsselungstrojaner ist, wird ebenso eine Warnung generiert.
Im Filesystem des Backup Server kann in der dazugehörigen Logdatei nachgeschaut werden, welche Bedrohungen oder Bulk File-Löschungen auf dem zu sichernden Objekt gefunden worden sind.
Dies sind nur einige Punkte wie Sie Ihre Veeam-Backup-Infrastruktur schützen und absichern können. Noch mehr Möglichkeiten der Härtung Ihrer Veeam Umgebung bekommen Sie bei uns oder im Introduction - Veeam Backup & Replication Security Best Practice Guide sowie in der entsprechenden Veeam Technical Documentation des Helpcenters.
Sprechen Sie uns gern an. Unser Vertriebsteam und unsere Techniker stehen Ihnen mit Rat und Tat zur Seite.