Az ITBN 2020-ra készülvén úgy gondoltuk, hogy egy olyan témával foglalkozunk, ami első ránézésre nem függ össze – persze közvetlenül – az IT biztonsággal. A mentés egy olyan része a rendszereknek, ami van, amit be kell állítani, sikerességét naponta ellenőrizni és néha napján elővenni, mikor vissza kell állítani valamit.
Szóval ha a legrosszabb eseményre készülünk, akkor egyből világossá válik, hogy ez az utolsó bástya, az utolsó lehetőség arra, hogy a nem működő rendszerből egy újra működőt állítsunk elő. Ezáltal kiemelt fontosságú a mentés védelme, sőt a megbízható mentés maga. Az előadásban a Veeam Backup and Replication képességei mentén ismertettük a témát, de ez egy olyan általános dolog, hogy olyan mentőrendszer ami hasonlóra nem képes az nem felel meg az új kihívások elleni küzdelemre.
Ransomware és a mentés
Szól az a mondás. hogy “az az adat ami egy példányban létezik, valójában nem is létezik”. Ez a mentésre nézve is így van, tehát egyetlen mentés megléte biztonságot, megbízhatóságot egyáltalán nem ad. A Veeam már régóta jelen van a 3-2-1 szabállyal, amit még egy 0-val is megtoldottak – ami a hibamentes mentést jelenti. Ezt egy picit kibővítve javasoljuk az alábbit.
Tehát három másolati példány, két eltérő médián, egy a mentett éles adat helyétől független, továbbá – szerintünk – egy offline vagy online, viszont nem módosítható mentés megléte javallott. Ez elsőre elég extrémnek hat, azonban több olyan támadás volt hazánkban, ami nem csak az éles adatokat, hanem a mentéseket is érintette. Láttunk tisztára törölt szalagokat, titkosított lemezes mentési célterületet, szóval mindent adatvagyont elveszni. Egy ilyen eset a vállalat teljes vesztét is jelentheti.
Ne ringassuk magunkat abban a hitben, hogy ez nem történhet meg velünk. A vírusokra is ez gondoltuk és azért gyakran előfordul olyan fertőzés, hasonlóan van ez így a ransomware-el is. Lehet még nem érintett ilyen támadás, de csak idő kérdése. Ha viszont megtörténik, akkor kell egy utolsó mentsvár és ez a mentés.
Nyilvánvalóan fizethetünk “váltságdíjat” az adatainkért, de még az FBI sem javasolja, hiszen csak elenyésző esetben kapták meg a fizető “vendégek” a kulcsokat. Jobbnak látjuk azt, ha a mentés ellenállóvá tesszük.
A Veeam több mentési céltárolót képes használni:
- lemezre történő mentés – blokk alapú elérés
- megosztásra történő mentés – fájl alapú elérés
- szalagra történő mentés
- deduplikációs céltárolóra történő mentés
- felhős mentés
- (kvázi) storage snapshot készítés
A lemezre illetve a megosztásra történő mentés a leginkább sebezhető. Ezek online elérhetőek, be vannak csatolva egy Microsoft Windows kiszolgálón. Ezek könnyű célpontok egy ransomware számára. A deduplikációs céltároló is online, de API-n keresztül elérhető csak és egyelőre ezekkel nem tud mit kezdeni a fertzőzés, illetve beállítható rajtuk, hogy egy akarattal törölt mentés sem törlődik le igazából róla, pont az ilyenek miatt. A storage snapshot jó irány, de a mentett hely és a mentés helye azonos, tehát ez nem tekinthető mentésnek – ugyanakkor több gyártó esetén lehetséges ezen storage snapshot-ok replikációja egy másik tárolóra.
Most hogy van egy örök és elronthatatlan mentésünk, vajon bízhatunk-e benne?
Secure Restore
A mentett adatban megbújhatnak olyan kódok, amelyeket a mentés pillanatában még nem volt képes a védelmi szoftver azosítani. Ezek visszaállítása után nyilvánvalóan elszabadulhat a fertőzés. Ez most eléggé nyomasztóan hangzik, de nyugalom….van rá megoldás. Ez lenne a Secure Restore képesség.
Segítségével a visszaállítás során a vírusvédelmi szoftver – több gyártó támogatott – ellenőrizheti az adatokat még mielőtt újra elérhető lenne a visszaállított rendszer a hálózaton. Így biztosak lehetünk, abban, hogy amit visszaállítottunk az mentes minden kártékony kódtól.
Mi lenne ha nem csak ezt, hanem a mentett rendszerek tényleges működőképességét is lehetne tesztelni? Erre is van megoldás, a SureBackup.
Akár mentés után, óránként, naponta – bármilyen gyakorisággal – képes ilyen izolált kis buborékokat létrehozni, ahol a mentésből egy vagy több kiszolgáló elindulhat és beépített vagy teljesen egyedi tesztek mentén ellenőrizni, hogy a bennük futó alkalmazások használhatóak-e – egy SQL esetén például lekérdezéseket is lehet futtatni, hogy az adatbázis rendben van-e. Itt tényleg csak a képzelet szabhat határt.
Összefoglaló
Az előadásban próbáltam teljes megoldást adni a mentés használhatóságára, amelynek három eleme így a mentések védelme, kártékony kódtól való mentessége és a mentett adatok használhatósága.
Az 99999 Informatika Kft.-nél ezzel fogalkozunk, az infrastruktúra több rétegét, több gyártóját felhasználva olyan rendszerek kialakításával és üzemeltetésével, amelyek a fentieket maradéktalanul teljesítik.