VeeamON 2023, 22. bis 25. Mai, Miami
Sonnig, mit Aussicht auf Ransomware-Schutz
Veröffentlicht in Ausgabe 07/2023 - AKTUELL
Das Release von Veeam Backup & Replication v12 (VBR) hatte der Hersteller auf der letztjährigen VeeamON angekündigt und Mitte Februar 2023 zum Download bereitgestellt. Die Liste der neuen und verbesserten Features ist lang und Veeams "What’s New in v12"-Dokument [1] listet alle Details. Ein Highlight ist sicherlich einerseits die neu hinzugekommene Möglichkeit, Backups ohne Umwege direkt auf Object-Storage-Speichersystemen wie Microsoft Azure Blob, Amazon S3 und S3-kompatiblen Werkzeugen oder Google Cloud abzulegen.
Neu ist auch eine "Smart Object Storage API" getaufte Schnittstelle, die es Herstellern von Objektspeichern ermöglicht, eine tiefere Integration mit VBR einzugehen, um Leistung und Benutzererfahrung zu verbessern. In der ersten Version der API ist es zunächst möglich, VBR über die verbleibende Kapazität in einem "Bucket" des Objektspeichers zu informieren und das interne Routing der Backup-Datenströme zu kontrollieren.
Fokus auf die Security
Eine deutliche Verbesserung in Sachen Sicherheit stellt die Einführung einer Multifaktor-Authentifizierung dar, die den Zugriff auf die VBR-Administratorkonsole mit einem optionalen zweiten Faktor absichert. Veeams Implementierung basiert auf Time-Based-One-Time-Passwörtern nach RFC 6238. IT-Verantwortliche können die Zweifaktor-Authentifizierung für ausgewählte Konten innerhalb der "Users and Roles"-Einstellung auf dem Backupserver einschalten und benötigen dazu eine Authenticator-Applikation wie etwa Googles Authenticator auf dem Smartphone.
Das Release von Veeam Backup & Replication v12 (VBR) hatte der Hersteller auf der letztjährigen VeeamON angekündigt und Mitte Februar 2023 zum Download bereitgestellt. Die Liste der neuen und verbesserten Features ist lang und Veeams "What’s New in v12"-Dokument [1] listet alle Details. Ein Highlight ist sicherlich einerseits die neu hinzugekommene Möglichkeit, Backups ohne Umwege direkt auf Object-Storage-Speichersystemen wie Microsoft Azure Blob, Amazon S3 und S3-kompatiblen Werkzeugen oder Google Cloud abzulegen.
Neu ist auch eine "Smart Object Storage API" getaufte Schnittstelle, die es Herstellern von Objektspeichern ermöglicht, eine tiefere Integration mit VBR einzugehen, um Leistung und Benutzererfahrung zu verbessern. In der ersten Version der API ist es zunächst möglich, VBR über die verbleibende Kapazität in einem "Bucket" des Objektspeichers zu informieren und das interne Routing der Backup-Datenströme zu kontrollieren.
Fokus auf die Security
Eine deutliche Verbesserung in Sachen Sicherheit stellt die Einführung einer Multifaktor-Authentifizierung dar, die den Zugriff auf die VBR-Administratorkonsole mit einem optionalen zweiten Faktor absichert. Veeams Implementierung basiert auf Time-Based-One-Time-Passwörtern nach RFC 6238. IT-Verantwortliche können die Zweifaktor-Authentifizierung für ausgewählte Konten innerhalb der "Users and Roles"-Einstellung auf dem Backupserver einschalten und benötigen dazu eine Authenticator-Applikation wie etwa Googles Authenticator auf dem Smartphone.
Ebenfalls der Verbesserung der Sicherheit dient die Möglichkeit, in VBR v12 erstmalig komplett auf die in die Jahre gekommene und sehr unsichere NTLM-Authentifizierung zu verzichten. Veeam Backup & Replication v12 unterstützt nun eine reine Kerberos-Authentifizierung für die komplette Infrastruktur. Hierfür sind lediglich alle Komponenten mit dem Backupserver anhand ihrer gültigen und auflösbaren DNS-Namen zu registrieren, da IP-Adressen alleine die Kerberos-Anforderungen nicht erfüllen.
Um Sicherheitslücken aufgrund von Fehlkonfigurationen zu vermeiden, bietet VBR v12 nun einen eingebauten Assistenten an, der den Backupserver und die Veeam-Konfiguration auf die Einhaltung von Best Practices überprüft und bei Bedarf wichtige Änderungen vorschlägt. Bislang beinhaltet die Version 12 nur einige wesentliche Überprüfungen, viele weitere sollen in kommenden Versionen folgen.
Daten einfacher und sicherer bewegen
Neben Verbesserungen bei der Sicherheit bietet VBR 12 Optimierungen bei der Speichernutzung und der Administration von Storage-Systemen. Insbesondere bedingt durch den zunehmenden Einsatz von Objektspeichern ist es nun nicht mehr so einfach wie früher, bei reinen Block- und File-basierten Speichersystemen Sicherungsdaten zwischen den Backup-Repositories zu verschieben.
Die neue Version schafft hier Abhilfe mit der als "VeeaMover" getauften "Backup Movement Engine", die Backupdaten zwischen beliebigen Repositories umziehen kann. VeeaMover hilft dabei, Backup-Repositories von NTFS auf ReFS zu migrieren, um das dort von Veeam angebotene Fast-Clone-Feature zu nutzen.
Ebenso unterstützt der VeeaMover den Umzug von Backupdateien auf das sogenannte "Hardened Repository". Darunter versteht der Hersteller die in VBR v11 eingeführte Möglichkeit, einen Backupspeicher mit der in Zeiten von Ransomware-Angriffen so wichtigen "Immutability" (Unveränderbarkeit) im Ei- genbau auf Basis eines Linux-Servers bereitzustellen. Veeam empfiehlt hierfür das XFS-Dateisystem. Beim Umzug der Backups mit dem VeeaMover kann dieser die Dateien auch mit Effizienzgewinnen verschieben.
Wer hierfür nicht auf Linux als Backup-Repository setzen, sondern dafür weiterhin Windows-Server nutzen möchte, kann diesen dank der "Blocky"-Software des deutschen Unternehmens Grau Data ebenfalls die Vorzüge einer Zero-Trust- und Immutable-Umgebung spendieren. Blocky schützt gegen Ransomware-Angriffe, indem es das Repository in ein WORM-Volume umwandelt und nur noch vertrauenswürdige Veeam-Prozesse Backupdaten löschen, verschlüsseln oder ändern können.
Hierfür arbeitet Blocky mit einem Application-Fingerprinting-Verfahren, um ausschließlich den Veeam-eigenen Prozessen den Vollzugriff auf den wichtigen Backupspeicher zu gewähren und so eine Verschlüsselung des Repositories bei einem Ransomware-Angriff auszuschließen. Blocky kann kostenfrei für 30 Tage getestet werden und ist unter [2] verfügbar.
Ausblick auf Version 12a
Auf der Hausmesse gab es auch einen Ausblick auf das kommende VBR-Release. Die Vorstellung der geplanten Features übernahm Anton Gostev, Chief Product Officer bei Veeam und die treibende Kraft hinter VBR. Für das in den nächsten Monaten erwartete Minor Release VBR 12a sind dies die Unterstützung von Objektspeichern als Backupquelle, Ransomware-Erkennung bereits während der Sicherung und Erweiterungen für Enterprise-Umgebungen.
Veeam unterstützt mit VBR v12 die direkte Sicherung auf Objektspeicher, in v12a sollen diese auch als neue Backupquelle unterstützt werden. Damit schließt der Hersteller eine Lücke und in v12a lassen sich Objektspeicher daher in Veeam-Backup-Repositories oder direkt auf Band sichern. Im Wiederherstellungsfall ist es dann möglich, komplette Buckets inklusive ihrer Berechtigungen, Attribute und Tags wiederherzustellen – oder nur einzelne Objekte oder bestimmte Versionen von Objekten. Das Feature steht seit April als Technology Preview zur Verfügung und Veeam-Kunden können es über den Hersteller bereits jetzt für ihre Umgebung freischalten lassen.
Ebenfalls neu ist die Erkennung von aktiven Ransomware-Angriffen während des Backupvorgangs. Seit Längerem schon unterstützt Veeam die Möglichkeit, nach einer Sicherung auffällige Veränderungen, wie sie Ransomware auslöst, zu erkennen. Das kann helfen, solche Attacken noch vor ihrer aktiven Phase zu identifizieren. Allerdings ist der Vorgang recht zeitaufwendig, da die Backupdaten über eine Integration mit einem Sicherheitsanbieter analysiert werden, was Stunden dauern kann.
Angekündigt für v12a wurde zudem eine Erkennung von Veränderungen bereits während des Backups, um Administratoren über potenziell ungültige Restore Points sofort in Kenntnis zu setzen. Weitere Neuerungen von v12a sind vor allem für große Umgebungen relevant: Integration mit SIEM-Systemen, insbesondere ein ServiceNow-Plug-in für das hauseigene Monitoring mit Veeam One, das Alarme als Ticket in ServiceNow erzeugen kann. Zudem soll Syslog als neues Ziel für Events aus VBR unterstützt werden. Für Kunden, die die Verschlüsselungs-Keys ihrer Backups zentral verwalten möchten, bringt die Unterstützung von Key-Management-Servern über das standardisierte KMIP-Protokoll die gewünschte Erleichterung in der Verwaltbarkeit.
Kubernetes schützen
Ebenfalls neu auf der Hausmesse vorgestellt hat der Hersteller die Version 6.0 des Kubernetes-Backupsystems Kasten K10. Veeam hatte das zugehörige Startup im Oktober 2020 übernommen und seitdem mit seinem Kernprodukt VBR integriert und ständig erweitert. In der neuen Version erweitert Kasten die Unterstützung von Kubernetessystemen auf die Version 1.26 und deckt alle relevanten kommerziellen Kubernetes-Distributionen der Hyperscaler ab sowie VMware Tanzu und Red Hats OpenShift-Container-Plattform.
Ähnlich wie in der kommenden Version 12a von VBR steht auch bei Kastens neuer Version 6.0 die Erkennung von Ransomware-Angriffen über die Analyse von Kubernetes-Auditlogs im Vordergrund. Wer Kasten K10 testen möchte, dem bietet Veeam eine kostenfreie und voll funktionsfähige Version [3] an, die Kubernetes-Cluster mit maximal fünf Kubernetes-Worker-Nodes sichert.
Fazit
Die VeeamON 2023 verdeutlicht anhand der neuen und angekündigten Features in Veeam Backup & Replication, dass Ransomware ganz oben auf der Liste der Sorgen von Backupverantwortlichen steht. Veeam setzt den Schutz vor solchen Attacken auf Backups konsequent um und liefert daneben noch eine ganze Reihe neuer Funktionen, um die Sicherung von Daten zu vereinfachen.
(jp)
Link-Codes
[1] Neuerungen in v12: https://www.veeam.com/veeam_backup_12_0_whats_new_wn.pdf/
[2] Blocky: https://blockyforveeam.com/