De syslog à Yara, comment la sécurité évolue chez Veeam

Clément Bohic,
Linkedin

Une mise à jour des produits Veeam (version 12.1) est en approche. Coup d’œil sur ses apports en matière de sécurité.

Se passer de NTLM pour n’utiliser que Kerberos ? C’est possible sur Veeam Backup & Replication depuis la v12, lancée en début d’année.

Cette mise à jour avait aussi apporté, entre autres, la prise en charge du MFA TOTP sur la console de backup, des gMSA (comptes de service associés à des groupes de sécurité) et des authentifiants à usage unique pour les clients Linux.

En parallèle de ce lancement, Veeam avait constitué la marque Data Platform. Sous cette ombrelle, il a placé la solution Backup & Replication (cœur fonctionnel de son offre), ainsi que les briques ONE (supervision ; disponible dans l’édition Data Platform Advanced) et Recovery Orchestrator (restauration ; disponible dans l’édition Premium).

D’ici à la fin de l’année, la Data Platform passera en version 12.1. Voici quelques-uns des apports prévus en matière de sécurité.

Une double validation des opérations sensibles

Une option conditionnera l’exécution de tâches destructives à une approbation préalable par un deuxième admin. On pourra paramétrer un délai au-delà duquel la tâche sera annulée. Cette fonctionnalité ne protège pas contre quiconque aurait obtenu un accès privilégié sur l’infrastructure de backup, rappelle Veeam. Elle ne dispense donc pas d’avoir des sauvegardes immuables et/ou hors ligne.

4 eyes

4 eyes 2 Veeam

Une ouverture sur les SIEM… et sur d’autres produits

On pourra, d’une part, exporter les événements du serveur syslog. Et de l’autre, se connecter à des outils tiers par l’intermédiaire d’une API, pour enrichir le moteur d’analyse intégré au serveur de backup.

syslog Veeam

Un threat center transversal

Dans les consoles de sauvegarde et de restauration apparaîtra un tableau de bord. Il présentera des visualisations sur trois grands axes : niveaux de sécurité et de santé des environnements, menaces détectées (outils internes et externes) et anomalies SLA/RPO.

threat center

Une protection contre les attaques NTP

Cette fonctionnalité permettra d’interdire aux services Veeam d’accepter une nouvelle heure système.

Des jonctions supplémentaires avec Dell et HPE

Veeam va s’intégrer avec une fonctionnalité des appliances Dell Data Domain (devenues PowerProtect DD). En l’occurrence, celle qui permet de mettre des fichiers en lecture seule pour une durée déterminée.
La passerelle avec HPE se renforce en parallèle, avec le support de l’immutabilité via l’outil StoreOnce Catalyst Copy.

Un scanner de ransomwares « à la volée »

Une option d’analyse en ligne va faire son apparition. Le principe : lecture des blocs au niveau proxy ou agent, détection des blocs contenant des données chiffrées, puis analyse du contenu de ces blocs, à la recherche d’éléments tels que des liens darkweb ou des notes de rançon.

détection chiffrement

Autre nouveauté : sur les sauvegardes pour lesquelles on aura activé l’indexation des fichiers, la possibilité d’analyser cet index. Aussi bien pour détecter des IoC que des anomalies entre points de restauration.

scan index

Un moteur Yara

En complément aux détections inline, sur la base de signatures et via des outils externes, la version 12.1 permettra d’effectuer des scans ad hoc à partir de règles Yara. Aussi bien dans SureBackup que dans Secure Restore.

yara

Veeam met aussi à jour son analyseur de conformité, avec une vingtaine de vérifications de sécurité supplémentaires. Il ajoute également la prise en charge des KMS et actualise l’algorithme de chiffrement des données.

KMS Veeam

Illustration principale © Tee11 – Adobe Stock