Questo post è disponibile anche in: Inglese

Reading Time: 6 minutes

Veeam Backup & Replication non dispone di integrazioni native con i vari NAS “entry-level”, ma vi sono diverse opzioni e configurazioni possibili se si desidera configurare un repository Veeam su un dispositivo NAS di questo tipo.

L’opzione più comune è quella di utilizzare il protocollo CIFS/SMB sul dispositivo NAS e collegare il repository come condivisione di rete.

Ma per alcuni dispositivi NAS c’è anche la possibilità di esportare una LUN con il protocollo iSCSI e quindi è possibile collegarla al server di backup Veeam tramite software iSCSI initiator e utilizzarlo come “storage locale”.

Nella maggior parte dei casi, la seconda opzione potrebbe essere la più veloce (magari utilizzando anche i jumbo frames) perché non è necessario gestire i file in rete, ma è possibile accedere direttamente ai blocchi. Ma dipende molto dal tipo di NAS e conviene provare entrambe le modalità, sia nelle operazioni di backup full the nelle varie trasformazioni che Veeam esegue.

Ma entrambi i casi hanno un limite dal punto di vista della sicurezza: se il Veeam Backup Server è compromesso a livello di sistema operativo Windows, allora si può facilmente raggiungere il repository e attaccare i dati su di esso (ad esempio un cryptolocker potrebbe renderli non più accessibili). Se si utilizza una iSCSI LUN si ha accesso completo al disco, se si utilizza una condivisione di rete è necessario dare le credenziali, ma nei sistemi Windows spesso sono usate credenziali di Active Directory (in questo case sarebbe opportuno usare creadenziali locali ad-hoc). Quindi entrambi i casi non sono così “sicuri” se si vuole avere un approccio di tipo “air-gap” separando gli accessi.

Per questo, in alcuni casi si potrebbe considerare un altro approccio: vedere se è possibile aggiungere il NAS come repository Linux, usando la connessione SSH per installare il software necessario.

Per prima cosa assicuratevi di controllare le impostazioni SSH sul server di backup Veeam:

A questo punto create le credenziali SSH, e possibilmente usate un utente non privilegiato.

Però con gli appliance NAS di tipo QNAP, avrete il seguente errore quando provate ad aggiungerli come repository Linux: Failed to start PerlSoap protocol

Il motivo è abbastanza semplice: gli appliance QNAP non hanno il linguaggio Perl installato. Ma si può aggiungere il pacchetto semplicemente dallo store del QNAP (sezione devel): Ora, se si sta usando l’ultima versione di Veeam Backup and Replication e del firmware QNAP, sarà possibile vedere il filesystem QNAP con tutte le sue partizioni e mount point.

Notare che lo storage persistente è di solito montato nella directory /share/MD0_DATA o /share/CACHEDEV1_DATA… Comuqnue basta cercare il mount point più grosso:

Ora è possibile creare il repository selezionando una directory già esistente con permessi appropriati per l’utente specificato nelle credenziali iniziali del repository:

Il numero massimo di task simultanei dovrebbe essere selezionato in base al modello di NAS (principalmente a tipo di CPU e alla quantità di memoria) e alle prestazioni dei dischi (principalmente il tipo di RAID utilizzanto e il numero di dischi)….. ma per i NAS entry-level un valore di 2 potrebbe essere ragionevole.

Ricordate che i requisiti richiesti per un repository Veeam sono: 4 GB di RAM, più fino a 2 GB di RAM (32-bit OS) o fino a 4 GB di RAM (64-bit OS) per ogni lavoro simultaneo a seconda della lunghezza della catena di backup e delle dimensioni dei file di backup. Per ulteriori informazioni, vedere Limitation of Concurrent Tasks.

Naturalmente, con un appiance NAS entry-level probabilmente sarete sotto questi limiti (o al limite), ma il repository può lo stesso funzionare correttamente (almeno per piccoli ambienti). Si noti anche che probabilmente le prestazioni utilizzando questo approccio possono essere più lente rispetto all’uso di una condivisione di rete o di un LUN iSCSI, specialmente se il vostro repository non ha le risorse minime richieste.

Ma con questa configurazione, si ha un migliore “air-gap” tra i componenti basati su Veeam Windows e il repository dove sono memorizzati i dati. Inoltre, se il backup di Veeam è compromesso, non è possibile accedere direttamente al repository. Ma non è un approccio “sicuro al 100%”: se Veeam Backup è compromesso, è possibile provare ad catturare le credenziali memorizzata su di esso e poi utilizzarle per accedere direttamente al NAS.

Ma per molti attacchi, questa potrebbe essere una barriera sufficiente, o quanto meno una prima barriera.

Nulla vieta di avere un secondo livello di protezione che potrebbe essere quello di realizzare una copia secondaria (su dischi esterni del NAS o su un altro NAS); l’importante è NON usare Veeam Copy Job (altrimenti si ricade nel problema delle credenziali e degli accessi da parte del Veeam Backup Server), ma usando un comando nativo del NAS (come ad esempio rsync) e delle creadenziali totalemnte diverse locali al NAS. Si potrebbe persino pensare di avere un secondo NAS che accede in SOLA lettura al primo, che ogni giorno si faccia una copia dei dati e che non esponga alcun servizio all’esterno!

L’idea è quella di trovare tutti gli approcci possibili che possono permettere ai vostri backup di sopravvivere anche da attacchi interni.

Ovviamente l’unica soluzione sicura al 100% in questi casi è l’archiviazione offline: l’isolamento completo è la vera soluzione air-gap!

Tornando a QNAP, quali modelli potrebbe essere utilizzati? Potenzialmente tutti quelli con almeno 2 core di processore e 2 GB di RAM (meglio sarebbero 4, per il discorso dei requisiti minimi). Importante: il processore deve essere Intel o AMD, poiché il codice di Veeam esiste SOLO per queste architetture (quindi i NAS ARM based NON vanno bene).

Andrea MauroAbout Andrea Mauro (2918 Posts)

Virtualization, Cloud and Storage Architect. Tech Field delegate. VMUG IT Co-Founder and board member. VMware VMTN Moderator and vExpert 2010-18. Dell TechCenter Rockstar 2014-15. Microsoft MVP 2014-16. Veeam Vanguard 2015-18. Nutanix NTC 2014-18. PernixPro 2014-16. Several certifications including: VCDX-DCV, VCP-DCV/DT/Cloud, VCAP-DCA/DCD/CIA/CID/DTA/DTD, MCSA, MCSE, MCITP, CCA, NPP.


Share