Best Practices Analyzer – Veeam Backup & Replication v12
Logo ao abrirmos a console do Veeam Backup & Replication já com a v12 instalada/atualizada, um dos primeiros ícones que chamam a atenção é o Best Practices Analyzer.
Ele é uma das várias features novas que chegaram com a nova versão e fica acessível através do menu Home na tela principal da console:
Como o Recurso Funciona
O Best Practices Analyzer é uma ferramenta built-in nativa do Veeam que permite que você analise uma lista de pre-checks de boas práticas no quesito de segurança do seu servidor de backup. Essa lista leva em consideração alguns pontos não só dos recursos do Veeam Backup & Replication, mas também alguns quesitos de segurança da própria Microsoft em relação ao Windows Server.
Nesse artigo e nos próximos que eu vou escrever eu vou referenciar o Best Practice Analyzer de forma abreviada, chamando-o assim, apenas de BPA.
Para executar o BPA basta clicar no botão:
Ao rodar a ferramenta nós chegamos na seguinte tela:
Aqui eu estou mostrando uma instalação do Veeam que acabou de ser finalizada, ou seja, não foi feito praticamente nenhuma das correções que o Best Practice Analyzer recomenda
Checagens de Segurança
Atualmente o BPA possui 6 checagens em relação ao Veeam Backup & Replication e 3 checagens em relação ao Microsoft Windows Server. Vamos agora entender o que são cada uma delas:
Remote Desktop Service (TermService) should be disabled
Remote Desktop Service é o serviço responsável pelo acesso remoto (RDP) ao servidor Windows do Veeam. Para aumentar a segurança do servidor de backup você pode optar por desabilitar o acesso RDP e utilizar o Veeam Backup & Replication através da console do Veeam instalada no seu computador.
Apenas um ponto de atenção, caso você tenha o Veeam Cloud Connect em sua estrutura lembre-se que ele utiliza o RDP para se conectar com o backup server.
Remote Registry service (RemoteRegistry) should be disabled
O Remote Registry é um serviço que possibilita que você gerencie o registro do Windows remotamente através de um outro servidor. Esse tipo de gerenciamento é muito pontual e dificilmente vemos ele no dia a dia. Portanto, diversas soluções fabricants recomendam que você desabilite esse serviço. Com o Veeam não é diferente, caso você não utilize esse recurso desabilite-o.
Windows Firewall should be enabled
Muitos profissionais de TI e analistas de backup acabam desabilitando o firewall do sistema operacional assim que terminam a instalação do Windows. Lembre-se que ele é um recurso de segurança adicional que muitas vezes pode complementar as camadas de segurança do seu ambiente. Considere deixar ele ativo no sistema principalmente se você não tem uma outra solução de firewall ou o até mesmo um firewall embarcado em sua solução de antivirus.
MFA for the backup console should be enabled
O multi fator de autenticação é uma das principais novidades que chegou com a v12. Dessa forma ativar o MFA é um dos principais recursos para aumentar a segurança do seu servidor de backup.
Immutable or offline (air gapped) media should be used
Backups imutáveis e/ou offline são importantíssimos para conseguir atender os requisitos da política de backup 3-2-1. Sendo assim é muito importante que você tenha algum deles implementado em seu ambiente.
Password loss protection should be enabled
Password loss protection é um recurso que possibilita recuperar uma senha de criptografia caso ela for perdia ou esquecida. Para ativar o recurso é preciso do Veeam Backup Enterprise Manager no seu ambiente.
Configuration backup should be encrypted
Criptografar o backup da configuração do Veeam é primordial. Dentro do servidor do Veeam nós temos diversas senhas do ambiente de produção como é caso de servidores vCenter, Hyper-V, tenants das clouds públicas etc. Sendo assim não deixe de configurar a criptografia no backup da configuração do seu servidor Veeam.
Backup server should not be a part of the production domain
Deixar o servidor de backup fora do domínio Active Directory de produção é um quesito importante para não afetar o seu ambiente de backup caso o seu domínio for comprometido com um ataque ou alguma vulnerabilidade de segurança. Para ambientes de grande porte uma floresta de domínio separada exclusiva para o ambiente de backup talvez seja uma opção interessante. Porém tenha em mente que o status Passed dessa checagem vai ser obtido apenas se o servidor do Veeam estiver em um workgroup fora de um domínio.
Conclusão
Ainda é importante destacar que para passar nas checagens dos serviços do Windows é necessário que eles estejam desabilitados. Apenas dar Stop no serviço não é suficiente.
Você também pode suprimir o status de qualquer uma das checagens para que ela não seja considerada pelo Best Practice Analyzer.
Meu nome é Mateus Wolff e trabalho com TI desde 2009. Sou arquiteto de soluções de proteção de dados e tenho algumas certificações como VMCE, VCP-DCV e ITIL.
Participo do programa de reconhecimento Veeam Vanguard e sou ex membro do grupo Veeam Legends.
Também sou líder do grupo Veeam User Group Brasil.
Bacana Matheus,
Voce pode explicar com maior detalhe como consigo passar neste item: Remote Registry service (RemoteRegistry) should be disabled
Pode explicar como configurar?