Zálohování – jak nepřijít o data při útoku hackera (praxe)

V minulém článku „Zálohování – jak nepřijít o data při útoku hackera (teorie)“ jsem psal, že zálohy jsou to, co vás musí v případě napadení sítě podržet a vy musíte mít jistotu, že se na ně můžete spolehnout. V PATRON-IT jsme po několika rocích práce (zkušeností s různými technologiemi) a řadě debat dospěli k pár osvědčeným technologiím, kterým věříme a používáme je u všech našich zákazníků (u každého zákazníka vždy minimálně dvě – jistota je jistota 😊).

Veeam endpoint backup + Synology NAS

Naše nejuniverzálnější zálohovací technologie, která je odolná proti ransomware i lidským útočníkům a zároveň je cenově dostupná. Spočívá v zálohování celých serverů/stanic pomocí Veeam endpoint backup (zdarma pro stanice i servery) do sdílené složky na NASu. NAS je jakýkoliv Synology s podporou Btrfs (podporuje snapshoty). Na NASu pak máme nastaveny automatické snapshoty sdílených složek se zálohami.

• Veeam Agent

  • Je zdarma pro stanice i servery.
  • Umožňuje zálohovat celé PC/servery a obnovit je následně na jiný HW, nebo z nich udělat virtuální PC/servery.
  • Umožňuje kompresi záloh (ušetří se hodně místa).
  • Udržuje volitelný počet záloh s libovolným plánováním.
  • Zálohy jsou velice rychlé a dají se pouštět i během pracovní doby. Pokud je server dostatečně dimenzován, uživatelé nic nepoznají.

• Synology NAS s Btrfs

  • Díky více diskům jsou zálohy odolné proti selhání jednoho disku.
  • V případě selhání celého NASu lze disky přehodit do jiného NASu, nebo Linuxového PC a k datům se dostat.

• Odolnost vůči elektronickým útokům

  • Sdílené složky na NASu vyžadují pro přístup přihlášení. Přihlašovací údaje jsou uloženy ve Veeamu, který běží jako služba pod účtem „systém“. Tzn. uživatel, pokud nemá na stanici administrátorská práva, se ke sdíleným složkám se zálohami nedostane. Tudíž se k nim ani nedostane virus/program běžící pod uživatelskými právy.
  • Pokud by se náhodou někdo k zálohám dostal a smazal je, dá se celá sdílená složka obnovit během pár sekund vrácením ke starému snapshotu.
  • Kdyby chtěl někdo smazat i snapshoty, musel by se dostat to administrace NASu, která je chráněna jinými přihlašovacími údaji. U nás jsme šli ještě tak daleko, že ze sítě zákazníka jsou dostupné pouze sdílené složky. Webmanagement NASu je dostupný pouze z našich poboček. Tzn. u zákazníka se nikdy na žádném PC toto heslo neobjeví a do webmanagementu NASu se nedá ani dostat. Zmenšili jsme tím zároveň „attack surface“ NASu (většina exploitů je totiž vedena proti webovému rozhraní, ale to je blokované na FW NASu).

• Co umíme navíc

  • Náš monitorovací systém každý den od všech stanic a serverů zjistí, zda byly zálohy přes Veeam úspěšné (není třeba provádět časově náročnou ruční kontrolu úspěšnosti záloh a v případě problému se jej dozvíme hned při první neúspěšné záloze).
  • Naše rozšíření monitorovacího systému monitoruje stav systému, disků, RAIDu, verze OS, funkčnosti FW a dostupnost NASu. Zároveň provádíme aktualizace NASu a SMART testy disků. Pokud se objeví problém, během 5 minut se o něm dozvíme.

Altaro + Hyper-V

Altaro je placený zálohovací SW podporující Hyper-V i VMware. Tím, že slouží k zálohování virtuálních serverů, není vhodný pro nejmenší firmy bez virtualizace. Altaro je levnější alternativa k dražšímu Veeam Backup & Replication. Altarem pak zálohujeme virtuály do lokálního úložiště serveru (vysoká propustnost), nebo nějakého síťového úložiště (jiný server nebo NAS).

• Altaro

  • Má deduplikaci a kompresy (ušetří se hodně místa).
  • Umožňuje spustit virtuální server přímo ze zálohy.
  • Podporuje šifrované zálohy i externí média jako Tandberg.
  • Provádí automatické ověřování integrity záloh.
  • Zálohy jsou velice rychlé a dají se pouštět i během pracovní doby. Pokud je server dostatečně dimenzován, uživatelé nic nepoznají.

• Odolnost vůči elektronickým útokům

  • Vždy všem doporučuji nemít Hyper-V ve stejné doméně jako virtuály (buď jej mít standalone, nebo vlastní oddělenou doménu). Jde o to, že v případě prolomení domény se útočník automaticky nedostane na Hyper-V servery, kde jsou i zálohy (nebo přístup k zálohám). Prolomit doménu není zase tak těžké a vy nechcete spolu s doménou přijít i o zálohy.
  • Dalším posílením zabezpečení je dát Hyper-V servery do oddělené VLAN. My tuto VLAN kompletně izolujeme od ostatních VLAN. Pro přístup do této VLAN je pak nutné se připojit na připravený port ve switchi, nebo jít přes VPN z našich kanceláří. Díky tomu nemá útočník při kompromitaci LAN možnost napadnou samotné Hyper-V servery (tedy za předpokladu, že nebude existovat funkční exploit VM -> Host).

• Co umíme navíc

  • Náš monitorovací systém každý den ověří, že zálohy byly úspěšné (není třeba provádět časově náročnou ruční kontrolu úspěšnosti záloh a v případě problému se o něm dozvíme hned při první neúspěšné záloze).
  • Dokážeme monitorovat HW stav cílových destinací záloh, ať už to jsou NASy, nebo lokální úložiště.

Windows server backup

Taková „nouzovka“ v naší výbavě. Jedná se o součást Windows Server od verze 2008. Windows server backup je jednoduchý na používání, umí si sám obhospodařovat místo pro zálohy, dokáže využívat VSS snapshoty (jako takový pseudo „change block tracking“) a tím zrychlit zálohování.

Dříve jsme jej používali více. Nyní ho nahrazujeme výše zmíněnými technologiemi. Statisticky se více porouchává, je pomalejší pro zálohování, zálohy jsou větší a nedá se obnovit do menších disků. Navíc hrozí nebezpečí přemazání starých záloh (pokud je velká změna na produkčních datech [např. kvůli ransomware] a cílový oddíl pro zálohování je malý).

• Windows server backup

  • Je přímo součástí Windows Server 2008 a novějších.
  • Umí si sám spravovat místo pro zálohování.

• Co umíme navíc

  • Náš monitorovací systém každý den ověří, že zálohy byly úspěšné (není třeba provádět časově náročnou ruční kontrolu úspěšnosti záloh a v případě problému se o něm dozvíme hned při první neúspěšné záloze).
  • Automatizovaně sledujeme množství záloh na cílovém úložišti (občas se nám stalo, že se zálohy přehrávaly stále dokola).

Doplňkové technologie

Kromě předchozích stěžejních technologií, kterými zálohujeme vždy celou stanici/server, používáme i následující doplňkové.

Managed online backup

Jedná se o zálohování dat do cloudu, které jsme integrovali do našeho monitorovacího systému. Podporuje zálohování různých databází, virtuálních serverů i lokálních a sdílených složek. Navíc máme možnost archivace (zálohy uchovávat po neomezeně dlouhou dobu). Jako alternativu můžete používat Azure Backup, nebo jiné cloudové zálohování.

Výhodou cloudového zálohování je, že zálohy se nedají ze stanice ani serveru smazat a jsou tak odolné vůči virům i hackerům. Navíc, protože jsou na jiném místě, odolají i živelným pohromám a zlodějům u vás ve firmě. Výhodou je přímé napojení na náš monitorovací systém.

Pásky/tandberg

Alternativa pro cloudové zálohování tam, kde je nedostatečná rychlost internetového připojení, nebo si zákazník nepřeje mít data někde v cloudu. Externí média (se zašifrovanými zálohami) se odnáší mimo firmu a nejsou on-line dostupná. Proto jsou zálohy odolné vůči zlodějům, živelným pohromám, virům i hackerům. Samozřejmostí je opět monitorování záloh monitorovacím systémem.

Previous versions

Základní funkcionalita operačního systému od verze Windows 7 a Windows Server 2008. Umožňuje nastavit, aby se pravidelně vytvářely „snapshoty“ disku. Uživatelé si pak mohou sami obnovovat data (pravé tlačítko myši na složku/soubor a volba „restore previous versions“).

Výhodou technologie je hlavně rychlost provedení „zálohy“ (snapshotu), která je pár sekund. Ideálně se hodí na disk se sdílenými složkami, kde se dá naplánovat zálohování každou hodinu (klidně i častěji). Když si pak uživatel smaže nějaký sdílený soubor, nebo udělá chybnou úpravu, obnovíte si soubor za pár desítek minut ze staré zálohy. Zálohy jsou navíc úsporné na místo (ve skutečnosti začínají zabírat místo až ve chvíli, kdy se data na disku změní – tzv. copy-on-write).

Technologii u nás používáme na všech serverech se sdílenými složkami a odlehčeně i na všech stanicích.

• Co umíme navíc

  • U serverů monitorovací systém hlídá, že nad každým diskem, kde jsou sdílené složky, jsou previous versions zapnuté a pravidelně se vytváří. Když někdo vytvoří novou sdílenou složku, nemůže se stát, že by pro ni nezapnul previous versions.
  • U stanic zase monitorovací systém hlídá, že je zapnutá technologie „system restore“. System restore provádí automaticky snapshoty celého disku při instalaci aktualizací, aplikací a změnách v systému. Pokud na nějakém počítači monitorovací systém zjistí, že je funkce vypnutá, sám ji zapne.

Snapshoty

U některých zákazníků využíváme i snapshoty u Hyper-V, nebo přímo na sdíleném síťovém úložišti. Zatím se nejedná o nic standardizovaného, spíše jde o prostředek řešení specifických potřeba zákazníka (bohužel i výjimky pro standardy někdy existují). Podle toho, jak se věci budou vyvíjet do budoucna, uvidíme, zda se z toho stane standard.

Závěr

Pro větší přehlednost jsem zkusil zachytit rozdílné vlastnosti jednotlivých metod do jedné souhrnné tabulky.

Jak se vám líbí naše řešení zálohování? Máte nějaké lepší řešení, nebo nápady na inovaci? Dejte mi vědět, budu za vaši zpětnou vazbu rád.