NetBackup系统加固“十二式”(上)
VERITAS中文社区 2023-06-08 12:59 发表于北京
当下,勒索软件威胁有增无减。越来越多情报渠道表明,攻击者很可能使用窃取的凭据,未经授权访问备份软件和设备。倘若系统中存在过时的软件,密码管理实践落后,多因素身份验证机制缺位、通用的用户ID等,被攻击成功的可能性则会急剧增加。
图片
NetBackup一体机将NetBackup强大的数据保护功能与先进的服务器和存储技术充分结合,使用多层安全防护机制,提升系统有效抵御网络攻击威胁的能力,帮助企业增强防勒索韧性。
谨记:不要让你的关键备份数据处于危险之中。
Veritas建议用户充分利用产品方案中的安全功能,增强网络安全防御能力,包括多因素身份验证、锁定模式和防篡改存储等。
这里总结一些提升NetBackup系统安全状态的重要举措,供大家参考。
图片
及时更新所有系统和软件
Veritas提供新版本和补丁,增强安全功能并解决潜在漏洞威胁。
用户可在Veritas NetInsight Console SaaS门户注册,接收有关产品升级的主动建议,如安全补丁、修补程序以及主要或维护版本更新等。
* https://systemhealth.netinsights.veritas.com/
启用多因素身份验证
多因素身份验证使用至少两个验证来源,以获得对资源的访问权限,常见场景如银行登录、VPN访问等,可以帮助用户与现有的身份访问管理(IAM)策略保持一致。
Veritas产品通过单点登录(SSO)功能或智能卡和数字证书等机制支持多因素身份验证。
如何启用SSO:
♚ Flex一体机
https://www.veritas.com/content/support/en_US/doc/160799157-160799174-0/v157323584-160799174
♚ NetBackup一体机
https://www.veritas.com/content/support/en_US/doc/160799157-160799174-0/v157325571-160799174
♚ NetBackup
https://www.veritas.com/content/support/en_US/doc/160799157-160799174-0/v140915791-160799174
如何启用智能卡或数字证书:
♚ Flex一体机
https://www.veritas.com/content/support/en_US/doc/160799157-160799174-0/v155617238-160799174
♚ NetBackup一体机
https://www.veritas.com/content/support/en_US/doc/160799157-160799174-0/v139293384-160799174
♚ NetBackup
https://www.veritas.com/content/support/en_US/doc/160799157-160799174-0/v134302955-160799174
提高一体机安全级别
默认情况下,Veritas一体机提供强化环境,保护企业的基础架构。锁定模式通过其内置的*密码(OTP)机制添加了独特的凭证泄露保护功能,可防止未经授权访问操作系统。
NetBackup将访问代码用于类似目的,以防止对命令进行未经授权的访问。
如何启用锁定模式或访问代码:
♚ Flex一体机
https://www.veritas.com/content/support/en_US/doc/160799157-160799174-0/v142115857-160799174
♚ NetBackup一体机
https://www.veritas.com/content/support/en_US/doc/160799157-160799174-0/v138849574-160799174
♚ NetBackup
https://www.veritas.com/content/support/en_US/doc/160799157-160799174-0/v151982183-160799174
启用防篡改(不可变)数据保险库
启用不可变且不可擦除的存储是保护数据的*方法之一。这种类型的存储可确保在确定的时间长度内(或根本不会)更改、加密或删除数据。Veritas一体机和 NetBackup提供安全、防篡改、不可变和不可擦除的存储,以保护数据备份不被篡改或未经授权被访问。
Veritas还支持云对象存储作为不可变存储目标可选项,包括Alta Recovery Vault或第三方OST供应商。Alta Recovery Vault还引入了职责分离机制,Veritas可负责托管存储管理,并为用户提供额外一层隔离,确保企业可以从勒索威胁中全身而退。
这些功能对于有效且快速的恢复策略至关重要。
随着防篡改机制和相关功能的引入,企业IT现在可以更进一步,采用「3-2-1-1」备份策略——三份数据副本,两份位于不同介质的on-site副本,一份异地副本和一份不可更改的副本。
图片
如何配置防篡改:
♚ Flex一体机
https://www.veritas.com/content/support/en_US/doc/160799157-160799174-0/v142134497-160799174
♚ NetBackup
https://www.veritas.com/content/support/en_US/doc/160799157-160799174-0/v141703956-160799174
保护凭证
远离不良的凭证管理实践,请勿重复使用或共享密码,也不要在*系统上保留密码文件。这些做法会产生安全性、可审计性和合规性等一系列问题。
Veritas产品支持外部密码管理解决方案。IT可以部署CyberArk特权访问管理(PAM)解决方案,实施密码轮换策略,并监控特权会话中的所有活动。
如何配置外部密码管理解决方案:
♚ Flex一体机和NetBackup一体机
从CyberArk市场下载插件
https://cyberark-customers.force.com/mplace/s/#–veritas
♚ NetBackup
https://www.veritas.com/content/support/en_US/doc/160799157-160799174-0/v159733938-160799174
减少网络暴露
IT可以应用网络访问控制功能,减少潜在威胁暴露。
网络访问控制可以确保只有授权人员才能访问选定的网络或网段以访问备份管理界面。例如,管理员可以使用允许列表来控制哪些IP地址和子网可以通过SSH和HTTPS访问设备。默认情况下,所有不在允许列表中的 IP地址都会被阻止。此功能是网络分段的一个示例,可以防止攻击者获得系统访问权限。
如何配置网络访问控制
♚ Flex一体机
https://www.veritas.com/content/support/en_US/doc/160799157-160799174-0/v157469404-160799174
♚ NetBackup一体机
https://www.veritas.com/content/support/en_US/doc/160799157-160799174-0/v155849282-160799174
♚ NetBackup
NetBackup的网络访问控制可通过隔离恢复环境(IRE)功能获得。详情参见以下部分。
图片
创建隔离恢复环境(IRE)是隔离和保护备份的另一种有效方法。NetBackup BYO 和Flex一体机包含一个交钥匙的IRE,可帮助IT轻松创建气隙网络环境。基于此功能,企业可以为数据创建保险库。此外,专有的合规安全时钟功能让IT管理者更放心,确保存储永远不会受到可能超越特定时间范围的潜在攻击威胁。
如何配置IRE
♚ Flex一体机
https://www.veritas.com/content/support/en_US/doc/160799157-160799174-0/v155628796-160799174
♚ NetBackup
https://www.veritas.com/content/support/en_US/doc/160799157-160799174-0/v156688908-160799174
目前,NetBackup一体机可用于IRE的生产环境,但不能用作目标服务器。
图片
喜欢此内容的人还喜欢
OLAP技术选型、平台架构与落地实践
DataFunTalk
不喜欢
2023上半年思科干的十件大事
SDNLAB
不喜欢
Rust综述:生态系统的当前趋势和缺陷
InfoQ
不喜欢
微信扫一扫
关注该公众号
剪存为飞书云文档