Introducción
Netbackup permite desde la versión 10.3 que ciertas tareas tengan que ser aprobadas por mas de una persona. De esta forma se puede evitar que un único administrador pueda realizar tareas que puedan impedir la recuperación de las copias de seguridad tras un ataque.
Como medida de seguridad adicional a todas las herramientas que está proporcionando Veritas para evitar que un cyber ataque pueda afectar a la plataforma de copias de seguridad se añade esta característica para conseguir una mayor protección en estos casos.
Activando esta funcionalidad se puede solicitar la aprobación para en las siguientes acciones (algunas disponibles a partir de 10.4):
- Cambios de configuración de seguridad
- Expiración de imágenes
- Eliminación de retención legal en imágenes
- Cambios de configuración en una instancia inmutable (Flex)
- Modificación de retención en instancia inmutable
- Borrado de instancias en Appliances Flex
Configuración
Se puede activar la validación multi persona desde la consola web, en «Security->Multi-person authorization», eligiendo los casos sobre los que queremos que se aplique:
Podremos elegir un administrador sobre el cual no se aplique esta configuración, así como el tiempo que se quedan pendientes las solicitudes hasta que un administrador las apruebe, y el tiempo que se guardan los tickets para su posterior consulta:
Una vez activada la configuración, cuando quiere realizar una acción que está sujeta a validación adicional se crea un ticket, por ejemplo en el caso que queramos expirar una imagen, tras confirmar el borrado vemos en la consola que se crea un nuevo ticket:
Otro administrador podrá revisar el ticket creado, en la consola web en «Security->Multi-person authorization»:
Se podrán revisar los detalles de la solicitud, y aprobarla (o denegarla si es necesario):
En el caso que queramos expirar la imagen por linea de comandos, primero es necesario hacer login:
[root@epereira-mas161 /]# bpexpdate -backupid epereira-med161_1718014689 -d 0
Are you SURE you want to delete epereira-med161_1718014689 y/n (n)? y
bpexpdate: A web login is required. Run the ‘bpnbat -login -loginType WEB|WEBUI|APIKEY’ command to login.
EXIT STATUS 5930: The request could not be authorized.
[root@epereira-mas161 /]# bpnbat -login -logintype web
Authentication Broker [epereira-mas161 is default]:
Authentication port [0 is default]:
Authentication type (NIS, NISPLUS, WINDOWS, vx, unixpwd, ldap) [unixpwd is default]: unixpwd
Domain: epereira-mas161
Login Name [epereira is default]:
Password:
Operation completed successfully.
[root@epereira-mas161 /]# bpexpdate -backupid epereira-med161_1718014689 -d 0
Are you SURE you want to delete epereira-med161_1718014689 y/n (n)? y
Multi-person authorization ticket <https://epereira-mas161.epereira-dom01.local/webui/security/mpa/13> for the given operation is created successfully and submitted for approval. Sign in to the NetBackup web UI to view the status of your ticket.
EXIT STATUS 9387: A multi-person authorization ticket is created for the given operation.
De esta forma, se obtiene mayor seguridad al evitar que una única persona sea capaz de alterar el entorno de copias de seguridad evitando que una restauración sea posible tras un ataque.
Referencias
The Case for Multi-Person Authorization
Gran contenido
Claro y conciso como siempre
Gracias a tí :-)
Valiosa información Enrique!!!
Muchas gracias, me alegro que sea de ayuda :-)