IT Blog | michael wessel

Veeam-Umgebung richtig sichern | Blog

Geschrieben von Thomas Pein | 08.2024

Die Datensicherungs-Lösung Backup and Replication von Veeam schützt täglich zuverlässig virtuelle und auch physikalische Infrastrukturen. Somit können nach einer Kompromittierung der Systeme diese schnell aus dem letzten Backup wiederhergestellt werden. Aber wie schützt man den Backup Server an sich vor einer Verschlüsselung oder dem Löschen von Restore Points?

Schutz des Veeam Backupservers vor Angriffen: Erste Schritte

Wenn der Backupserver auch Ziel des Angriffes geworden ist, hilft in den meisten Fällen nur noch der Restore von einem externen Medium wie Tape Laufwerk, Cloud Storage oder einem Backup Copy Ziel mit der "Immutable"-Funktionalität.

Man kann es aber dem Angreifer auch mit einfachen Mitteln erschweren an sein Ziel zu gelangen. In diesem Artikel möchte ich Ihnen aufzeigen, wie Sie mit kleinen Änderungen an Ihrer Veeam-Installation die Sicherheit der Umgebung erhöhen können.

 

Installieren Sie den Veeam Backup Server auf einem Windows Standalone-System. Für die Ausführung und Anmeldung an den zu sichernden Systemen muss der Backupserver nicht Mitglied einer Active Directory-Domain sein. Dies bietet den Vorteil, dass der Angreifer, nach erlangen eines administrativen Accounts, sich nicht auch auf dem Backup Server seine Schadsoftware verteilen kann.

So konfigurieren Sie Ihre ACLs für maximale Sicherheit

Wenn der Veeam Backupserver auch das Repository für die Datensicherungen bereitgestellt, sollten Sie die ACL’s für diesen Ordner anpassen. Sofern bei der Installation nichts anderes angegeben worden ist, laufen die Veeam-Dienste unter dem Systemaccount des Windows OS. Entfernen Sie alle File System-Berechtigungen außer Ihrem persönlichen Admin und dem Systemaccount. Mit einem kompromittierten Account ist es somit nicht möglich die Backup Files zu löschen oder zu verschlüsseln.

Verschlüsselung Ihrer Backup Jobs: Sicherheit durch Multiple Encryption Keys

Nutzen Sie die Encryption Funktion für die jeweiligen Backup Jobs. Richten Sie dies für das interne Configuration Backup der Veeam-Datenbank sowie auch für alle anderen Backup Jobs ein. Nutzen Sie ebenso mehrere Encryption Keys für die einzelnen Backup, Copy oder Tape Jobs. Hierdurch vermindern Sie das Risiko, dass der Hacker durch Datenklau Ihre Unternehmensdaten wiederherstellen kann.

Regelmäßige Updates und das 4-Augen-Prinzip in Veeam

Durch regelmäßige Aktualisierung Ihrer Veeam Backup & Replikation Software werden Sicherheitslücken geschlossen. Gleichzeitig werden auch neue Sicherheitsfunktionen mit eingeführt. Ab der Version 12.1.0.2131 wurde daher das 4-Augen-Prinzip etabliert. Diese Funktion bewirkt, dass sie z.B. bei einer Löschaktion erst von einem 2. Veeam-Administrator bestätigt wird, bevor die Operation durchgeführt wird. Diese Option dient nicht nur dem Schutz, dass ein Angreifer Zugangsrechte zum Veeam-System erlangt hat und sein Unwesen treibt, sondern auch der eigenen Sicherheit- um nicht aus Versehen durch Löschen von Backups SLA’s zu verletzten.

Diese Four-Eyes-Authorization wird auf Operationen die in der Veeam-Console, über das PowerShell "Cmdlet", der Rest API oder dem Veeam Backup Enterprise Manager getätigt werden angewendet.

  • Löschen von Backup Dateien vom Repository oder der Configuration-Datenbank
  • Löschen von Unavailable Backups aus der Configuration Datenbank
  • Entfernen von Backup Repositories, Storage oder Service Provider in der Backup Infrastruktur
  • Operationen in der Dateiansicht
    • Ändern, Umbenennen oder Löschen von Dateien
    • Überschreiben von Dateien
    • Umbenennen oder Löschen von Ordnern
  • Hinzufügen, Aktualisieren und Löschen von User oder Usergruppen
  • Aktivieren und Deaktivieren der Multi-Faktor Authentication (MFA) von Usern oder Gruppen
  • Zurücksetzten von MFA für einen Benutzer
  • Aktivieren, Ändern oder Ausschalten des automatischen Logoff

 

Malware-Scanning und Bedrohungserkennung in Veeam Version 12.1

Ab der gleichen Veeam-Version wurde auch der Malware Scanner eingeführt. Dieser scannt die gesicherten Daten inline oder nachgelagert gegen eine interne Datenbank mit bekannten Malware Files und Endungen. Der Scanner schaut sich auch die Aktivitäten im Filesystem des zu sichernden Systems an. Sollten hier zu viele Daten gleichzeitig gelöscht oder verändert worden sein, welches ein Anzeichen auf einen Verschlüsselungstrojaner ist, wird ebenso eine Warnung generiert.

Im Filesystem des Backup Server kann in der dazugehörigen Logdatei nachgeschaut werden, welche Bedrohungen oder Bulk File-Löschungen auf dem zu sichernden Objekt gefunden worden sind.

Tipp: Best Practices zur Absicherung Ihrer Veeam-Backup-Infrastruktur

Dies sind nur einige Punkte wie Sie Ihre Veeam-Backup-Infrastruktur schützen und absichern können. Noch mehr Möglichkeiten der Härtung Ihrer Veeam Umgebung bekommen Sie bei uns oder im Introduction - Veeam Backup & Replication Security Best Practice Guide sowie in der entsprechenden Veeam Technical Documentation des Helpcenters.

Sprechen Sie uns gern an. Unser Vertriebsteam und unsere Techniker stehen Ihnen mit Rat und Tat zur Seite.