La sécurité de l'infrastructure de sauvegarde s'articule autour de plusieurs axes:

• Des fichiers de sauvegardes autonomes ne nécessitant pas de catalogue de sauvegarde pour être restauré et n'ayant aucune adhérence à l'infrastructure de sauvegarde en production.

• Appliquer la règle du 3-2-1-1-0, où 1 média est hors site et 1 média est en air-gapped, immuable ou hors ligne. 0 signifie "0 erreur" lors de la vérification automatique de la recouvrabilité de chaque sauvegarde avec SureBackup de Veeam.

• Sécuriser l'accès logique et physique aux différents composants clés de l'infrastructure de sauvegarde.

• Mettre en place des outils permettant d'avoir des alertes et une visibilité claire et efficace de votre infrastructure de manière à détecter ou anticiper les attaques.

• Avoir une stratégie claire de restauration massive (Plan de reprise d'activité automatisée).

• Configurer l'accès à l'infrastructure à travers du RBAC (Role Based Access Control).

• Configurer le chiffrement de traffic et des données.

• Former les équipes.

Vous pouvez trouver l'ensemble des bonnes pratiques de sécurité sur le site des architectes Veeam : https://bp.veeam.com/security/

Veeam Backup et Replication fournit un outil intégré pour s'assurer que la configuration du serveur de sauvegarde suit les meilleures pratiques de sécurité pour les composants de l'infrastructure de sauvegarde Veeam basés sur les systèmes d'exploitation Microsoft Windows Server et Linux.

L'utilitaire Security & Compliance Analyzer permet d'éviter les changements d'infrastructure accidentels ou temporaires qui exposent l'infrastructure aux hackers et affectent le succès de la restauration grâce à des analyses périodiques et automatisées.

Cela permet de s'assurer que toutes les meilleures pratiques de renforcement de l'infrastructure de sauvegarde et de protection des données restent mises en œuvre et cohérentes avec la base de référence établie.

Veeam Data Platform permet de minimiser les pertes de données dues à une cyberattaque en détectant les menaces connues et les anomalies de sauvegarde en ligne pendant la sauvegarde ou en temps réel en utilisant les outils de détection existants type EDR (Endpoint Detection and Response) existants, en les soumettant à un système SIEM au choix et en lançant une chasse proactive aux menaces afin de réduire les risques pour les données.

Inline Malware Detection

L'Inline Malware Detection est disponible dès la version Veeam Data Platform Foundation. Cette fonctionnalité permet d'effectuer une analyse entropique en ligne, à la volée, d'un flux de données afin de détecter immédiatement les données chiffrées par un ransomware

L'Inline Malware Detection fonctionne à l'aide d'un modèle d'apprentissage automatique (ML) spécialement formé à cet effet. En outre, le même moteur détecte d'autres signes d'un logiciel malveillant ou d'une cyberattaque, tels que des liens en oignon, directement dans un flux de sauvegarde.

L'Inline Malware Detection est directement effectuée par les proxies ou les agents de l'infrastructure de sauvegarde.

Détection des activités suspectes des systèmes de fichiers

La seconde fonctionnalité de détection d'activité suspectes se base sur la recherche de fichiers Guest OS comportant des extensions connues de logiciels malveillants et d'autres signes de présence de malwares.

L'analyse de l'activité du système de fichiers compare les index des fichiers Guest OS afin de détecter les changements suspects tels que les suppressions ou renommages en masse de "bons" fichiers connus (tels que les documents et les images), l'apparition de nombreux nouveaux fichiers avec des extensions inconnues auparavant, et d'autres activités qui peuvent être le signe d'un ransomware, d'un pirate informatique ou d'une activité malveillante interne.

Veeam Incident API

Veeam Incident API permet aux outils EDR externes (y compris NDR/ MDR/XDR) de notifier le serveur de sauvegarde des infections à des stades d'attaque plus précoces, en s'assurant que tous les points de restauration créés après le moment correspondant pour la machine donnée sont marqués comme étant infectés.

De plus, Veeam peut créer instantanément un point de restauration out-of-band de la machine affectée, avant que le logiciel malveillant n'ait une chance de faire plus de dégâts.

Scan des sauvegardes et restauration avec YARA

Une fois qu'un malware est identifié dans une sauvegarde, Veeam permet de le localiser facilement grâce aux règles YARA.

Le scan via règles YARA permet de trouver rapidement le point de restauration sain le plus récent de la chaine de sauvegarde et d'empécher la réinfection de l'environnement de production.

Il est possible de programmer des scans de contenu à exécuter périodiquement avec SureBackup, ce qui est utile dans la phase de post-récupération pour confirmer que la récupération est propre et qu'il n'y a pas de réintroduction de malware.

Cette fonctionnalité n'est disponible que dans les éditions Advanced et Premium de Veeam Data Platform.

Traçabilité des menaces identifiées

Tous les points de restauration pour lesquels une menace aurait été détectée sont marqués comme suspect ou infectés dans la console Veeam Backup et Replication afin d'empêcher la restaurations accidentelles de machines infectées.

Si un certain évènement est confirmé comme faux-positif, tous les points de restaurations affectés sont automatiquement nettoyés.

Intégration SIEM

Quel que soit le type de menace identifié, Veeam permet la transmission de l'événement correspondant à un système SIEM de au choix grâce au nouveau support de Syslog.

Le Dashboard Veeam Threat Center affiche l'état de la sécurité de l'infrastructure de Veeam Backup et Replication et aide à évaluer la sécurité globale et la conformité des objets de l'infrastructure.

Veeam Threat Center fournit toute la visibilité nécessaire à la protection des données en un coup d'œil, permettant ainsi d'accéder rapidement et facilement à toutes les menaces, les meilleures pratiques et les données SLA dont un administrateur a besoin pour opérer en toute sécurité.

Le dashboard Veeam Threat Center inclu les widgets suivants:

• Data Platform Scorecard : Permet de résumer et afficher les scores de compliance de sécurité des plateformes, l'état des restaurations, l'état des sauvegardes ainsi que le statut d'immuabilité des sauvegardes. Cet affichage fournit en un coup d'œil toute la visibilité requise en matière de protection des données, ce qui permet d'identifier rapidement et facilement les informations nécessaires pour mettre en place des solutions face aux menaces qui pèsent sur l'infrastructure de sauvegarde.

• Malware Detections : Montre les détections de logiciels malveillants par emplacement géographique en fonction de la gravité de l'infection et de la suspicion d'infection. Il affiche également les points de restauration propres et les objets les plus affectés.

• Recovery Point Objective (RPO) Anomalies : affiche tous les objets de l'infrastructure qui n'ont pas respecté la période RPO définie.

• SLA Compliance Overview : affice une heatmap de la conformité des SLAs de l'entreprise, ce qui permet d'analyser les pourcentages de réussite sur une période définie.

Ce Dashboard est réalisé par Veeam ONE, disponible dans les éditions Advanced et Premium de Veeam Data Platform.

Il est intégré directement dans la console VBR, dans le cadre du nouvel onglet Analytics.

Roles Based Access Control (RBAC)

Four-eyes Authorization

Veeam permet d'activer l'autorisation "quatre yeux" pour réduire le risque d'actions accidentelles affectant des données sensibles. Cette fonctionnalité utilise un mécanisme de contrôle additionnel qui requiert une approbation supplémentaire pour des opérations particulières dans Veeam Backup et Replication, donnée par un autre utilisateur ayant le rôle d'Administrateur de Veeam Backup.

Veeam Backup et Replication supporte l'autorisation des quatre yeux pour les opérations suivantes :

• Suppression des fichiers de sauvegarde ou des snapshots du disque ou de la base de données de configuration

• Suppression des informations sur les sauvegardes indisponibles dans la base de données de configuration

• Suppression des repositories de sauvegarde, du stockage et des service providers de l'infrastructure de sauvegarde

• Effectuer des opérations dans la vue "Fichiers" :

  • Modifier, renommer et supprimer des fichiers

  • Ecraser des fichiers

  • Renommer et supprimer des dossiers

• Ajouter, mettre à jour et supprimer des utilisateurs ou des groupes d'utilisateurs

• Activer et désactiver le multi-factor authentication (MFA) pour tous les utilisateurs et groupes d'utilisateurs

• Réinitialisation du multi-factor authentication pour un utilisateur spécifique

• Activation, mise à jour et désactivation de la déconnexion automatique pour tous les utilisateurs et groupes d'utilisateurs

La sécurité des données est un élément important de la stratégie de sauvegarde. Il est primordial de protéger les informations contre tout accès non autorisé, en particulier s’il est sauvegardé des données sensibles de VM sur des sites distants ou dans le cas d’archivage sur bandes. Le chiffrement des données permet d’assurer leur sécurité.

Le chiffrement des données transforme les données en un format illisible à l'aide d'un algorithme cryptographique et d'une clé secrète. Si des données chiffrées sont interceptées, elles ne peuvent pas être déverrouillées et lues. Seuls les destinataires en possession de la clé secrète peuvent déchiffrer l'information.

Dans Veeam Backup & Replication, le chiffrement peut s'activer sur les sauvegardes et médias suivants :

• Backup

• Transaction log backup

• Backup Copy

• VeeamZIP

• Tapes in media pools

Veeam Backup & Replication utilise un algorithme de chiffrement par blocs. Le chiffrement fonctionne du côté source. Veeam Backup & Replication lit les données des VM ou des fichiers, encode les blocs de données, les transfère vers la cible dans le format chiffré et stocke les données dans un Repository de sauvegarde ou archive sur bande. Le déchiffrement des données est également effectué du côté source : Veeam Backup & Replication transfère les données chiffrées vers la source et les déchiffre à cet endroit.

En plus du chiffrement au niveau des job, Veeam Backup & Replication permet de chiffrer le trafic réseau entre le site principal et le site de secours. Le chiffrement du trafic réseau est une configuration globale définie au niveau des composants de l'infrastructure de sauvegarde.

Pour le chiffrement du trafic réseau, Veeam Backup & Replication utilise l'Advanced Encryption Standard (AES) 256 bits.

Chiffrement des données et compression

Si la compression et le chiffrement des données sont activés pour un job, Veeam Backup & Replication compresse d'abord les données des VM, puis encode les blocs de données compressés. Les deux opérations sont effectuées du côté source.

Normes de chiffrement

Veeam Backup & Replication utilise les algorithmes de chiffrement de données suivants, conformes aux normes de l'industrie :

Chiffrement des données

Pour chiffrer les blocs de données dans les fichiers de sauvegarde et les fichiers archivés sur bande, Veeam Backup & Replication utilise l'AES 256 bits avec une longueur de clé de 256 bits en mode CBC.

Pour générer une clé basée sur un mot de passe, Veeam Backup & Replication utilise la Password-Based Key Derivation Function, PKCS #5 version 2.0. Veeam Backup & Replication utilise 10 000 itérations HMAC-SHA1 et un salt 512 bits.

Enterprise Manager Keys

Pour générer les clés Enterprise Manager nécessaires à la restauration des données sans mot de passe, Veeam Backup & Replication utilise l'algorithme RSA avec une longueur de clé de 4096 bits.

Pour générer une demande de restauration de données à partir d'un serveur de sauvegarde, Veeam Backup & Replication utilise l'algorithme RSA avec une longueur de clé de 2048 bits.

Algorithmes de Hashing

Veeam Backup & Replication utilise les algorithmes de hashing suivants :

• Pour la génération de signatures numériques : SHA-256

• Pour la vérification des empreintes SSH : HA-256

• Pour la génération de HMAC : SHA-1

• Pour des raisons de compatibilités et génération d'empreinte de certificat: SHA-1

• Pour la génération de nombres aléatoires : OpenSSL, les bibliothèques cryptographiques fournies par le système d'exploitation

Librairies de chiffrement

Pour les Repository basés sur Microsoft Windows et le chiffrement logiciel des bandes, Veeam Backup & Replication utilise l'API Windows Crypto conforme aux normes FIPS 140 (Federal Information Processing Standards).

Veeam Backup & Replication utilise les fournisseurs de services cryptographiques suivants :

• Microsoft Base Cryptographic Provider.

• Microsoft Enhanced RSA and AES Cryptographic Provider.

• Microsoft Enhanced Cryptographic Provider.

Pour les Repository basés sur Linux, Veeam Backup & Replication utilise une librairie de chiffrement OpenSSL liée statiquement, sans le support FIPS 140.

Veeam Backup & Replication chiffre les informations d'identification stockées en utilisant les mécanismes de l'API de protection des données (DPAPI).

Intégration KMS

Veeam intègre les serveurs de gestion des clés (KMS). Cette fonctionnalité permet d'éliminer le besoin de sauvegarder manuellement la gestion du cycle de vie des clés de chiffrement en l'intégrant au serveur KMS dédié.

Veeam porte les avantages de l'utilisation de KMS à un niveau supérieur en s'appuyant sur des clés de chiffrement asymétriques, rendant impossible à l'attaquant de déchiffrer les sauvegardes.

Cette fonctionnalité permet également de faire face à l'exfiltration des sauvegardes lors d'une cyberattaque, aux sauvegardes perdues pendant le transport, etc. en leur permettant de "détruire" à distance toutes les sauvegardes en supprimant la clé de chiffrement privée du serveur KMS et en rendant ainsi les sauvegardes complètement irrécupérables.

L'intégration est basée sur la spécification KMIP (Key Management Interoperability Protocol) version 1.4.

Les dernières versions des solutions suivantes ont été validées comme supportées par l'Assurance Qualité de Veeam (QA) dans le cadre des tests d'acceptation des fonctionnalités :

• Fortanix Data Security Manager,

• IBM Security Guardium Key Lifecycle Manager

• et Thales CipherTrust Manager.

Cette fonctionnalité n'est disponible que dans les éditions Advanced et Premium de Veeam Data Platform.

Chiffrement du traffic

Par défaut, Veeam Backup et Replication chiffre le trafic réseau transféré entre les réseaux publics.

Veeam offre la possibilité de créer des règles de trafic réseau permettant également de chiffrer les connexions de transfert de données de sauvegarde entre Veeam Data Movers dans des réseaux privés. Le chiffrement du trafic réseau est assuré par la connexion TLS 1.2 et 1.3.