10 tips om uw Veeam back-up server te versterken

Het is altijd belangrijk om de gouden 3-2-1-1-0 regel te implementeren. Naast deze regel is een van de eerste dingen die je in gedachten moet houden om je back-ups zo goed mogelijk te beschermen, omdat deze je kunnen redden wanneer je wordt gehackt en je ze nodig hebt. Het eerste waar je aan moet denken is om je Veeam Backup & Replication server zoveel mogelijk te versterken. We geven hier 10 tips die je kunt implementeren. Er zijn natuurlijk meer dingen mogelijk, maar het is een begin.

Een best-practice is om de VBR server in een workgroup te plaatsen en niet in een AD domain-joined voor kleinere omgevingen.

Waarom? Als ransomware is genest in een roaming profiel van een domeingebruiker die verbinding maakt met de domain-joined VBR server, kan deze malware worden geactiveerd op de VBR server en de back-ups beïnvloeden. Ook als deze domeingebruiker is ingelogd op zijn client en admin-access heeft tot de VBR-server, kan de ransomware worden geactiveerd op drives van de VBR-server.

Als de VBR-server lid is van een workgroup kan dit worden voorkomen. Voor grotere omgevingen wordt aanbevolen om een apart beheerdomein te implementeren. De VBR-server is dan lid van dit beheerdomein en niet van het productiedomein. Doe hetzelfde voor andere Veeam-componenten (proxy-servers, repositories, ...).

U kunt zelfs nog verder gaan: schakel de RDP-service uit. U kunt dan de beheerinterface (ILO, iDRAC, ...) van de server gebruiken (in het geval van een fysieke server) of de console (HyperV, vSphere, ...) in het geval van een virtuele machine.

De server waarop VBR wordt geïmplementeerd mag maar één rol hebben, die van Veeam backup server! Er mogen geen andere rollen (zoals WSUS, antivirusbeheer, file-server, domain-controller, ...) worden uitgevoerd door deze server. Dus alleen software installeren die nodig is voor Veeam en niets anders.

Vaak worden Windows-updates automatisch geïnstalleerd met behulp van GPO's of andere mechanismen op Windows-servers. Vaak worden ze ook automatisch opnieuw opgestart. Dit wordt meestal uitgevoerd in een maintenance window dat wordt besproken met het management van het bedrijf. Dit maintenance window is vaak 's nachts of in het weekend, vooral voor kritieke productieservers.

Dit maintenance window is meestal niet beschikbaar voor de back-upserver en -componenten. Dit omdat back-ups meestal 's nachts worden uitgevoerd en volledige back-ups in het weekend.

Daarom is een tweede maintenance window voor het updaten van de VBR-server en -componenten noodzakelijk. Dit kan automatisch als je zeker weet dat er geen backup-jobs of replicatie-jobs meer draaien.

Persoonlijk geef ik er de voorkeur aan om Windows updates te installeren en de server handmatig te herstarten. Dan kun je dit op een gecontroleerde manier doen. Controleer eerst de status van de jobs, als alles in orde is, schakel ze dan uit, herstart de server, installeer alle beschikbare updates, herstart opnieuw, controleer opnieuw, schakel de jobs in, volg de back-ups de dag nadien op.

Als u een fysieke VBR-server gebruikt, plan dan regelmatig een maintenance window in waarin u de meest recente firmware en stuurprogramma's voor deze server installeert. Denk niet alleen aan fysieke Windows-servers, maar vergeet ook de NAS-apparaten niet die worden gebruikt als back-uprepository. De laatste tijd worden deze apparaten regelmatig beïnvloed.

Vergeet niet om dit regelmatig in te plannen, niet één keer per jaar!

Gebruik het principe van de minste rechten, vooral in grotere omgevingen. Geef iemand de minimale rechten die nodig zijn om de benodigde taken uit te voeren. Als er meerdere backupbeheerders zijn, zorg er dan voor dat ze een eigen, speciaal account hebben. Maak deze gebruiker lid van een groep met de benodigde rechten voor deze rol. Geef alleen toegang tot wat nodig is voor hun taak. Gebruik natuurlijk altijd en alleen sterke wachtwoorden. Ik neem als minimum 20 karakters met minstens a-z A-Z 0-9 en een speciaal karakter.

Zorg ervoor dat op de VBR-server en alle componenten ervan een antivirustoepassing is geïnstalleerd, zoals je dat op alle servers en clients zou moeten doen.

Zorg er ook voor dat de exclusions (bijv. mappen die worden gebruikt als opslagplaats, Veeam-toepassingen, ...) correct zijn ingesteld. Anders kan dit een negatief effect hebben op de prestaties.

Voor de hand liggend denk je, maar helaas wordt dit vaak vergeten of niet correct geïmplementeerd.

Vaak worden iSCSI LUN's gebruikt als back-upopslagplaats. Dat is perfect, veel beter dan het gebruik van SMB-shares naar mijn mening (veel stabieler en efficiënter). Vaak wordt authenticatie dan niet gebruikt, alleen het iQN is nodig, meer niet. Probeer de toegang te beperken tot de LUN's die als opslagplaats worden gebruikt. Je kunt het CHAP-protocol gebruiken. Het staat niet bekend als het beste en veiligste protocol, maar het is beter dan niets gebruiken als authenticatie.

Last but not least, zorg ervoor dat de fysieke apparaten die worden gebruikt als back-upopslag fysiek beveiligd zijn. Meestal staan deze apparaten in een serverruimte, maar zorg ervoor dat alleen mensen toegang hebben tot deze ruimte die dat nodig hebben. Vergeet de tweede opslagruimte niet (vaak op een andere locatie of andere site van het bedrijf en vaak niet fysiek beveiligd). Vergeet niet om Veeam encryptie te gebruiken (met een zeer sterk wachtwoord) op die back-up opslagplaats die niet fysiek worden beschermd! Ik denk hierbij vooral aan mobiele back-upopslagplaatsen zoals geroteerde USB-schijven, tapes, kleine NAS-apparaten.

Als zo'n apparaat in verkeerde handen komt zonder dat encryptie is geïmplementeerd...