NetBackup系统加固“十二式”(下)
VERITAS中文社区 2023-06-13 12:45 发表于北京
接上文,继续总结一些提升NetBackup系统安全状态的可行方法。
谨记:不要让你的关键备份数据处于危险之中。
Veritas建议用户充分利用产品方案中的安全功能,增强网络安全防御能力,包括多因素身份验证、锁定模式和防篡改存储等。
图片
启用加密
Veritas建议用户启用静态和传输中的数据加密。加密可防止未经授权的数据访问和盗窃。如果数据使用强大的行业标准进行加密,即使数据被盗,攻击者也无法访问它。
NetBackup提供多种选项来配置加密。用户可以在将数据发送到云之前对其进行加密,可使用内置的 NetBackup密钥管理器服务(KMS)或在存储服务器配置期间使用第三方KMS配置NetBackup。
保护数据的另一种方法是使用证书,在主机之间创建加密连接。默认情况下,Veritas产品使用自签名证书进行主机通信,用户也可以选择配置外部证书。当使用外部证书时,外部证书颁发机构(CA)会验证它们的真实性。这种方式下,证书持有者的身份通过一个可信的第三方来验证。
如何启用加密:
♚ Flex一体机
Flex一体机符合FIPS 140-2标准,可对静态和传输中的数据进行加密。FIPS在Flex一体机安装过程中启用。
♚ NetBackup一体机
参见“关于数据加密”:https://www.veritas.com/content/support/en_US/doc/160799157-160799174-0/v96283463-160799174
NetBackup一体机符合FIPS 140-2
https://www.veritas.com/content/support/en_US/doc/160799157-160799174-0/v129968713-160799174
♚ NetBackup
参见“关于NetBackup中的FIPS支持”
https://www.veritas.com/content/support/en_US/doc/160799157-160799174-0/v152161882-160799174
参见“安装KMS”
https://www.veritas.com/content/support/en_US/doc/160799157-160799174-0/v21634773-160799174
参见“外部KMS配置工作流”
https://www.veritas.com/content/support/en_US/doc/160799157-160799174-0/v141200088-160799174
参见“传输中数据加密配置工作流”
https://www.veritas.com/content/support/en_US/doc/160799157-160799174-0/v152844823-160799174
如何配置外部证书:
♚ Flex一体机
https://www.veritas.com/content/support/en_US/doc/160799157-160799174-0/v151908791-160799174
♚ NetBackup一体机
https://www.veritas.com/content/support/en_US/doc/160799157-160799174-0/v140481817-160799174
♚ NetBackup
https://www.veritas.com/content/support/en_US/doc/160799157-160799174-0/v135179329-160799174
图片
启用目录保护
Veritas建议用户使用专用策略,以用于灾难恢复目标的方式来保护NetBackup目录。倘若未能备份NetBackup主目录,系统可能会在发生站点灾难、硬件故障或恶意攻击时经历漫长的重建。应着重保护两个关键组件:NetBackup主服务器目录和介质服务器重复数据删除池(MSDP)目录。
对于不可变存储,用户还可以使用重复数据删除shell创建目录的shadow副本。
如何启用目录备份:
♚ Flex一体机
对于主服务器和介质服务器实例,遵循与NetBackup相同的步骤。
参见“在WORM存储服务器上保护NetBackup目录”
https://www.veritas.com/content/support/en_US/doc/160799157-160799174-0/v160397811-160799174
♚ NetBackup一体机
遵循与NetBackup相同的步骤。
♚ NetBackup
参见“管理主服务器NetBackup目录的准则”
https://www.veritas.com/content/support/en_US/doc/160799157-160799174-0/v19526579-160799174
参见“关于保护MSDP目录”
https://www.veritas.com/content/support/en_US/doc/160799157-160799174-0/v97247266-160799174
启用恶意软件扫描和异常检测
恶意软件和勒索软件程序可能在服务器和存储系统中潜伏数日、数周,甚至数月,未被发现。如果现有的防病毒和反恶意软件工具错过了签名,较长的持续时间使得恶意软件可能会与常规备份一起备份。在勒索软件事件处理过程中,*做法是在恢复之前扫描备份,以便在恢复前找到并消除恶意软件。用户应在实际网络事件发生之前提前计划,比如对生产备份实施异常检测和恶意软件扫描。
图片
Veritas NetBackup提供独特的内置异常检测和恶意软件扫描功能,有助于及早发现恶意软件和勒索软件。启用恶意软件扫描后,确保将关键事件发送到安全信息和事件管理(SIEM)系统,方便通过ServiceNow等平台进行警报和安全事件编排。
如何启用恶意软件扫描和异常检测:
♚ Flex一体机和NetBackup一体机
按照与NetBackup相同的步骤进行操作。
♚ NetBackup
参见“如何设置恶意软件扫描”
https://www.veritas.com/content/support/en_US/doc/160799157-160799174-0/v152646970-160799174
参见“关于备份异常检测”
https://www.veritas.com/content/support/en_US/doc/160799157-160799174-0/v149390998-160799174
启用安全观测
为了检测和预防威胁,组织需要及时发现恶意内部人员、受损帐户、恶意软件感染和其他问题。NetBackup和一体机支持用户将日志转发到外部日志管理服务器或安全信息和事件管理(SIEM)解决方案。日志包括用于设备的*shell命令,并具有一致的时间戳格式,这些都是准确高效的事件关联和日志分析所必需的。
SIEM、SOAR和XDR平台是用于对抗IT生态系统中不良趋势和未经批准的行为的工具。NetBackup审核消息可以自定义过滤并由SIEM平台使用,SIEM平台扫描主服务器的系统日志并消化该信息以提供报告、见解和警报。NetBackup中的自动响应集成可以自动暂停客户端,停止*不需要的数据传播,而SOAR集成支持管理员根据各种消息类别中的场景进一步自定义操作。NetBackup为审计消息提供洞察力和控制力,帮助IT为勒索软件响应计划增加更多功能,增强其有效性。
图片
如何启用日志转发:
♚ Flex一体机
https://www.veritas.com/content/support/en_US/doc/160799157-160799174-0/v151841437-160799174
♚ NetBackup一体机
https://www.veritas.com/content/support/en_US/doc/160799157-160799174-0/v121736967-160799174
♚ NetBackup
参见“将审核事件发送到系统日志”:
https://www.veritas.com/content/support/en_US/doc/160799157-160799174-0/v141930078-160799174
参加“将审核事件发送到日志转发端点”:
https://www.veritas.com/content/support/en_US/doc/160799157-160799174-0/v159634804-160799174
Flex一体机还内置安全仪表(security meter),用于从一个位置查看和配置安全设置。安全仪表跟踪安全设置并向用户显示可用功能列表以及用于配置的快速链接。安全管理员可以从Flex Appliance Console主页访问它。
图片
限制用户访问
Veritas产品支持Active Directory和LDAP用户域中的本地用户和远程用户,管理员可以将他们添加为个人用户或用户组。*实践中,IT应该只添加需要访问系统的用户或组,并限制不需要的用户或组的访问。
注意:
当将远程用户域连接到Flex一体机应用程序实例时,域中的所有用户都可以登录到该实例。管理员必须执行额外的步骤来限制对特定用户或组的访问。
更多详细信息,请参见《NetBackup 应用程序指南》中的主题“将Active Directory用户域连接到主服务器实例或介质服务器实例”和“将LDAP用户域连接到主服务器实例或介质服务器实例”。
配置登录提示
登录提示(sign-in banner)是每次用户登录产品时显示的自定义文本提示。管理员可以使用登录提示向用户传达重要信息。例如,提示可能包含安全策略或警告,表明他们在受限系统上并且所有活动都已记录。
如何配置登录提示:
♚ Flex一体机https://www.veritas.com/content/support/en_US/doc/160799157-160799174-0/v151833865-160799174
♚ NetBackup一体机
https://www.veritas.com/content/support/en_US/doc/160799157-160799174-0/v109573302-160799174
♚ NetBackup
https://www.veritas.com/content/support/en_US/doc/160799157-160799174-0/v136631110-160799174
图片
喜欢此内容的人还喜欢
谁在大批量采购云电脑?惊掉下巴!
特大号
不喜欢
OLAP技术选型、平台架构与落地实践
DataFunTalk
不喜欢
CVE-2023-27997:Fortinet FortiOS SSL-VPN 远程代码执行漏洞通告
三六零CERT
不喜欢
