La sécurité de l'infrastructure de sauvegarde s'articule autour de plusieurs axes:

• Des fichiers de sauvegardes autonomes ne nécessitant pas de catalogue de sauvegarde pour être restauré et n'ayant aucune adhérence à l'infrastructure de sauvegarde en production.

• Appliquer la règle du 3-2-1-1-0, où 1 média est hors site et 1 média est en air-gapped, immuable ou hors ligne. 0 signifie "0 erreur" lors de la vérification automatique de la recouvrabilité de chaque sauvegarde avec SureBackup de Veeam.

• Sécuriser l'accès logique et physique aux différents composants clés de l'infrastructure de sauvegarde.

• Mettre en place des outils permettant d'avoir des alertes et une visibilité claire et efficace de votre infrastructure de manière à détecter ou anticiper les attaques.

• Avoir une stratégie claire de restauration massive (Plan de reprise d'activité automatisée).

• Configurer l'accès à l'infrastructure à travers du RBAC (Role Based Access Control).

• Configurer le chiffrement de traffic et des données.

• Former les équipes.

Vous pouvez trouver l'ensemble des bonnes pratiques de sécurité sur le site des architectes Veeam :

Veeam Data Platform permet de minimiser les pertes de données dues à une cyberattaque en détectant les menaces connues et les anomalies de sauvegarde en ligne pendant la sauvegarde ou en temps réel en utilisant les outils de détection existants type EDR (Endpoint Detection and Response) existants, en les soumettant à un système SIEM au choix et en lançant une chasse proactive aux menaces afin de réduire les risques pour les données.

Inline Malware Detection

L'Inline Malware Detection est disponible dès la version Veeam Data Platform Foundation. Cette fonctionnalité permet d'effectuer une analyse entropique en ligne, à la volée, d'un flux de données afin de détecter immédiatement les données chiffrées par un ransomware

Le Dashboard Veeam Threat Center affiche l'état de la sécurité de l'infrastructure de Veeam Backup et Replication et aide à évaluer la sécurité globale et la conformité des objets de l'infrastructure.

Veeam Threat Center fournit toute la visibilité nécessaire à la protection des données en un coup d'œil, permettant ainsi d'accéder rapidement et facilement à toutes les menaces, les meilleures pratiques et les données SLA dont un administrateur a besoin pour opérer en toute sécurité.

Le dashboard Veeam Threat Center inclu les widgets suivants:

La sécurité des données est un élément important de la stratégie de sauvegarde. Il est primordial de protéger les informations contre tout accès non autorisé, en particulier s’il est sauvegardé des données sensibles de VM sur des sites distants ou dans le cas d’archivage sur bandes. Le chiffrement des données permet d’assurer leur sécurité.

Le chiffrement des données transforme les données en un format illisible à l'aide d'un algorithme cryptographique et d'une clé secrète. Si des données chiffrées sont interceptées, elles ne peuvent pas être déverrouillées et lues. Seuls les destinataires en possession de la clé secrète peuvent déchiffrer l'information.

Dans Veeam Backup & Replication, le chiffrement peut s'activer sur les sauvegardes et médias suivants :

• Backup

• Transaction log backup

• Backup Copy

• VeeamZIP

• Tapes in media pools

Veeam Backup & Replication utilise un algorithme de chiffrement par blocs. Le chiffrement fonctionne du côté source. Veeam Backup & Replication lit les données des VM ou des fichiers, encode les blocs de données, les transfère vers la cible dans le format chiffré et stocke les données dans un Repository de sauvegarde ou archive sur bande. Le déchiffrement des données est également effectué du côté source : Veeam Backup & Replication transfère les données chiffrées vers la source et les déchiffre à cet endroit.

En plus du chiffrement au niveau des job, Veeam Backup & Replication permet de chiffrer le trafic réseau entre le site principal et le site de secours. Le chiffrement du trafic réseau est une configuration globale définie au niveau des composants de l'infrastructure de sauvegarde.

Pour le chiffrement du trafic réseau, Veeam Backup & Replication utilise l'Advanced Encryption Standard (AES) 256 bits.

Chiffrement des données et compression

Si la compression et le chiffrement des données sont activés pour un job, Veeam Backup & Replication compresse d'abord les données des VM, puis encode les blocs de données compressés. Les deux opérations sont effectuées du côté source.

Normes de chiffrement

Veeam Backup & Replication utilise les algorithmes de chiffrement de données suivants, conformes aux normes de l'industrie :

Chiffrement des données

Pour chiffrer les blocs de données dans les fichiers de sauvegarde et les fichiers archivés sur bande, Veeam Backup & Replication utilise l'AES 256 bits avec une longueur de clé de 256 bits en mode CBC.

Pour générer une clé basée sur un mot de passe, Veeam Backup & Replication utilise la Password-Based Key Derivation Function, PKCS #5 version 2.0. Veeam Backup & Replication utilise 10 000 itérations HMAC-SHA1 et un salt 512 bits.

Enterprise Manager Keys

Pour générer les clés Enterprise Manager nécessaires à la restauration des données sans mot de passe, Veeam Backup & Replication utilise l'algorithme RSA avec une longueur de clé de 4096 bits.

Pour générer une demande de restauration de données à partir d'un serveur de sauvegarde, Veeam Backup & Replication utilise l'algorithme RSA avec une longueur de clé de 2048 bits.

Algorithmes de Hashing

Veeam Backup & Replication utilise les algorithmes de hashing suivants :

• Pour la génération de signatures numériques : SHA-256

• Pour la vérification des empreintes SSH : HA-256

• Pour la génération de HMAC : SHA-1

Librairies de chiffrement

Pour les Repository basés sur Microsoft Windows et le chiffrement logiciel des bandes, Veeam Backup & Replication utilise l'API Windows Crypto conforme aux normes FIPS 140 (Federal Information Processing Standards).

Veeam Backup & Replication utilise les fournisseurs de services cryptographiques suivants :

• Microsoft Base Cryptographic Provider.

• Microsoft Enhanced RSA and AES Cryptographic Provider.

• Microsoft Enhanced Cryptographic Provider.

Pour les Repository basés sur Linux, Veeam Backup & Replication utilise une librairie de chiffrement OpenSSL liée statiquement, sans le support FIPS 140.

Veeam Backup & Replication chiffre les informations d'identification stockées en utilisant les mécanismes de l'API de protection des données (DPAPI).

Intégration KMS

Veeam intègre les serveurs de gestion des clés (KMS). Cette fonctionnalité permet d'éliminer le besoin de sauvegarder manuellement la gestion du cycle de vie des clés de chiffrement en l'intégrant au serveur KMS dédié.

Veeam porte les avantages de l'utilisation de KMS à un niveau supérieur en s'appuyant sur des clés de chiffrement asymétriques, rendant impossible à l'attaquant de déchiffrer les sauvegardes.

Cette fonctionnalité permet également de faire face à l'exfiltration des sauvegardes lors d'une cyberattaque, aux sauvegardes perdues pendant le transport, etc. en leur permettant de "détruire" à distance toutes les sauvegardes en supprimant la clé de chiffrement privée du serveur KMS et en rendant ainsi les sauvegardes complètement irrécupérables.

L'intégration est basée sur la spécification KMIP (Key Management Interoperability Protocol) version 1.4.

Les dernières versions des solutions suivantes ont été validées comme supportées par l'Assurance Qualité de Veeam (QA) dans le cadre des tests d'acceptation des fonctionnalités :

• Fortanix Data Security Manager,

• IBM Security Guardium Key Lifecycle Manager

• et Thales CipherTrust Manager.

Cette fonctionnalité n'est disponible que dans les éditions Advanced et Premium de Veeam Data Platform.

Chiffrement du traffic

Par défaut, Veeam Backup et Replication chiffre le trafic réseau transféré entre les réseaux publics.

Veeam offre la possibilité de créer des règles de trafic réseau permettant également de chiffrer les connexions de transfert de données de sauvegarde entre Veeam Data Movers dans des réseaux privés. Le chiffrement du trafic réseau est assuré par la connexion TLS 1.2 et 1.3.

Veeam Backup et Replication fournit un outil intégré pour s'assurer que la configuration du serveur de sauvegarde suit les meilleures pratiques de sécurité pour les composants de l'infrastructure de sauvegarde Veeam basés sur les systèmes d'exploitation Microsoft Windows Server et Linux.

L'utilitaire Security & Compliance Analyzer permet d'éviter les changements d'infrastructure accidentels ou temporaires qui exposent l'infrastructure aux hackers et affectent le succès de la restauration grâce à des analyses périodiques et automatisées.

Cela permet de s'assurer que toutes les meilleures pratiques de renforcement de l'infrastructure de sauvegarde et de protection des données restent mises en œuvre et cohérentes avec la base de référence établie.

Roles Based Access Control (RBAC)

Four-eyes Authorization

Veeam permet d'activer l'autorisation "quatre yeux" pour réduire le risque d'actions accidentelles affectant des données sensibles. Cette fonctionnalité utilise un mécanisme de contrôle additionnel qui requiert une approbation supplémentaire pour des opérations particulières dans Veeam Backup et Replication, donnée par un autre utilisateur ayant le rôle d'Administrateur de Veeam Backup.

Veeam Backup et Replication supporte l'autorisation des quatre yeux pour les opérations suivantes :

• Suppression des fichiers de sauvegarde ou des snapshots du disque ou de la base de données de configuration

• Suppression des informations sur les sauvegardes indisponibles dans la base de données de configuration

• Suppression des repositories de sauvegarde, du stockage et des service providers de l'infrastructure de sauvegarde