Introducción
Cada vez son más frecuentes los ataques de Ransomware, con una empresa afectada cada pocos segundos. Las copias de seguridad son el último recurso y es muy importante tener nuestro entorno preparado. En muchos de estos ataques también se han visto comprometidas las copias de seguridad, teniendo que recurrir a copias muy antiguas o a pagar el rescate (y sólo el 50% de las empresas que pagan el rescate recuperan sus datos).
Incluso teniendo nuestras copias muy bien protegidas, siempre cabe la posibilidad de que el atacante consiga las claves de administrador y pueda eliminarlas (se han dado incluso casos donde el atacante ha formateado las cintas que estaban en linea en el robot en el momento del ataque). Por lo tanto, es importante cualquier medida de seguridad adicional que podamos pensar. Una muy importante son las cintas almacenadas en una ubicación distinta a la principal, y en cuanto a las copias de seguridad a disco, los appliances de Veritas desde hace tiempo ofrecen la característica de «almacenamiento inmutable» que garantiza que una copia de seguridad va a permanecer sin ser borrada ni alterada hasta su fecha de expiración.
Esta característica de inmutabilidad viene incorporada en los appliances de Veritas desde la versión 2.0 de Flex, que tienen las siguientes medidas de seguridad:
- Bastionado del sistema operativo, incluyendo SELinux, definiendo políticas sobre como los procesos tienen que interactuar con los ficheros y entre ellos mismos. Solo se permiten accesos si hay una política que lo permite explicitamente.
- Soporte de almacenamiento de sólo lectura (WORM) con controles de seguridad adicionales para impedir el borrado o modificación de los datos antes de que expiren.
- Política muy fuerte de contraseñas, obligando al cambio de las contraseñas iniciales, posibilidad de configurar la política de contraseñas, así como bloqueo durante 15 minutos si se introduce mal la contraseña.
- Cierre de sesión tras 10 minutos de inactividad.
A partir de la versión 8.3 de Netbackup, se soporta el almacenamiento WORM (write once, read many) estableciendo los periodos mínimos y máximos de retención. El appliance Flex permite ejecutar instancias de media server que soportan WORM, bloqueos de retención y están bastionados para evitar ataques de ransomware. Se tienen 2 opciones a la hora de configurar:
- «Enterprise mode»: se pueden borrar las instancias si no hay datos inmutables, y si hay datos inmutables solo el administrador por defecto puede borrarlas.
- «Compliance mode»: se pueden borrar las instancias si no hay datos inmutables, pero si hay datos inmutables no es posible el borrado.
La siguiente tabla compara ambos modos:
Como vemos en esta tabla, es muy importante elegir el modo correcto ya que es difícil cambiarlo. Vemos también que la protección en el modo «compliance» es máxima ya que ni conociendo las credenciales es posible borrar los datos inmutables, lo que nos va a dar la mayor protección frente a los ataques de ransomware.
En estas instancias de almacenamiento inmutable se ha eliminado el acceso root al sistema operativo y a los contenedores de msdp. Sólo la cuenta host admin puede entrar en estos nodos, y hay políticas para que sólo se puedan ejecutar ciertos comandos. No existe tampoco el modo «single user» ni opciones de arranque. no hay opción para hacer un «factory reset» del almacenamiento.
Configuración
Lo primero es configurar el «lockdown mode» para poder desplegar servidores con el almacenamiento inmutable. Para ello, desde la consola de administración del appliance Flex elegiremos la opción correspondiente y podremos editar la configuración:
Por defecto está en modo normal, y podremos elegir «Enterprise mode» o «Compliance mode»:
Una vez activado el modo correspondiente, podremos crear una instancia de almacenamiento inmutable:
Pasados unos minutos, tendremos la instancia creada:
Una vez creada la instancia, podremos ver desde la consola de Netbackup que se ha creado un «storage server» y si vamos a las propiedades veremos que tiene activada la característica de «WORM»:
Por último crearemos el «disk pool» como cualquier otro «msdp». Es importante crear la «storage unit» seleccionando la opción «on demand only» y «Use WORM»:
Si intentamos borrar las imágenes creadas antes de tiempo obtendremos el siguiente error:
Obtenemos de esta forma la posibilidad de tener un entorno muy protegido, basado en Appliances Flex de Netbackup, con un sistema operativo bastionado con las mayores medidas de seguridad, y con contenedores desplegados también protegidos y almacenamiento que no se puede borrar antes de tiempo aun si un atacante consigue tener acceso a las credenciales de administrador.
Referencias
Flex Appliances with Netbackup Security
Tan claro como siempre
Se te echaba de menos
Hola MJ,
Mil gracias, es un honor viniendo de tí :-)
Espectacular articulo Enrique…en tu línea de siempre…saludos a MJ
Hola Angel,
Mil gracias por tus comentarios, y se lo digo también a MJ :-)
Un saludo
Siempre a la espera, gracias por los aportes.
Hola Benjamin,
Muchas gracias, es un placer.
Un saludo,
Enrique