安全管理

阿里服务器_选择哪个_nosql数据库是什么

字号+ 作者:微辰云 来源:微辰云 2021-02-24 10:23 我要评论( )

这是来自英国的Veeam SE Mike Beevor的一个特别的嘉宾帖子。在Twitter上关注mike@mikebevor。在过去的几个月里,我发现自己被问到越来越多关于Veeam权限的问题,面对着IT界极端偏执的安全团队。我答应给一个有着不寻常设置的客户发送权限指南,我想我应该

阿里服务器_选择哪个_nosql数据库是什么

这是来自英国的Veeam SE Mike Beevor的一个特别的嘉宾帖子。在Twitter上关注mike@mikebevor。在过去的几个月里,我发现自己被问到越来越多关于Veeam权限的问题,面对着IT界极端偏执的安全团队。我答应给一个有着不寻常设置的客户发送权限指南,我想我应该在博客上写一些我被问到的更有趣的问题和一些我发现的更有用的信息。所讨论的客户通常是服务组织,他们负责管理多个大型金融客户,因此,他们处于数据保护、IT安全和对任何访问其网络的任何事物的全面偏执的前沿。安全方面的第一部分并不是很特别;它包括创建Veeam服务帐户,通常是针对您使用的Veeam产品,并将特定的广告用户或组分配给该帐户。这通常源于内部要求以"所需权限"为基础工作,从而从vCenter或active directory基础结构中的服务帐户中删除任何非关键权限。另一种方法是,在更大的环境中,我们通常可以看到,在ActiveDirectory中创建一个特定于产品中特定角色的服务帐户组。例如,备份通常会看到以下具有以下功能的用户角色:角色操作典型服务组备份管理员可以执行Veeam备份和复制中的所有管理活动Veeam_BaR_管理员后备操作员可以启动和停止现有作业并执行恢复操作Veeam_BaR_操作员备份查看器对Veeam备份和复制具有"只读"访问权限—可以查看现有作业和已执行作业,并查看作业会话详细信息Veeam_酒吧查看器还原运算符可以使用现有备份和副本执行恢复操作Veeam_BaR_修复器完成此操作后,易淘客,我们将查看此角色在VMware内部所需的权限;毕竟,这正是我们要备份或报告的内容。在Veeam Backup&Replication v5.0.2上创建备份的权限列表如下表所示:特权级别vStorage API虚拟设备模式vStorage API网络模式vStorage API SAN模式全球的记录事件记录事件记录事件数据存储低级文件操作低级文件操作低级文件操作虚拟机状态创建快照删除快照创建快照删除快照创建快照删除快照虚拟机配置磁盘更改跟踪更改资源添加现有磁盘删除磁盘磁盘更改跟踪磁盘更改跟踪磁盘租赁虚拟机配置允许只读磁盘访问允许只读磁盘访问允许只读磁盘访问这里需要真正注意的是关于Veeam能够备份的不同模式,返利购物,以及随后针对特定环境收紧所需权限的能力。虚拟设备模式需要添加现有磁盘、删除磁盘和更改资源权限,因为Veeam使用VMware热添加功能将源驱动器连接到Veeam虚拟机以将数据传输到目标存储,并且从Veeam备份和复制的v3.0开始就一直这样做。需要在Veeam备份和复制SAN模式下租赁磁盘,因为Veeam在通过物理存储基础架构复制数据期间从ESX(i)环境实际接管VMFS卷的管理。一旦我们创建了具有适当权限的服务帐户,它通常会转向防火墙和端口号,因此我们检查Veeam在其中运行的通信端口。端口9392、9393和9394分别用于备份和复制服务、备份目录和Veeam企业管理控制台。这些端口都是标准的TCP端口,可以进行修改以适应企业防火墙基础设施。绝对值得与安全团队一起检查这些端口是否已打开并可供使用,而不会导致冲突,并将它们作为可信端口添加到端口数据库中。在当今的市场中,支持VSS的备份是意料之中的事,而且随着越来越多的公司需要在复杂的应用程序中执行特定于对象的恢复,应用程序意识备份无疑是首选。我经常发现DBA对备份有点敏感,因为代理可能会对它们所使用的数据库产生意外的影响,特别是如果它们是内部开发的,并且代理需要额外的权限才能与其相关的备份服务器通信。Veeam自己的VSS备份实现是创新的,它使用一段短暂的代码在应用程序中启动VSS刷新。这是通过使用应用程序自己的VSS引擎和操作系统提供的框架来完成的。话题很快就转到了在机器基础上定制VSS交互的广度。长短不一的是,许多安全环境不会提供一个覆盖整个域的VSS服务帐户,而是依赖于特定于计算机的VSS凭据来执行刷新。Veeam使您能够在作业中为每台计算机设置单独的VSS凭据,确保在一次设置的基础上维护适当级别的权限。完成此操作后,根据应用程序所有者是否希望保留日志文件以用于Microsoft Exchange或Microsoft SQL的日志传送目的,选择在备份开始或结束时截断日志,或者根本不截断,可以确保每台计算机的灵活性。在讨论中,时间最长、时间最长的一个问题是,Veeam服务器本身在基础设施方面应该位于何处,这既与保持数据分离的概念有关,也与它正在工作的vCenter的位置有关。接下来是您应该拥有的Veeam服务器的数量,国家大数据,以及您是否应该使用Enterprise management server来管理它们!首先回答关于Veeam服务器位置的问题,我们可以提出的最佳论点是,在我们工作的真正安全的环境中,Veeam服务器应该位于DMZ中,并且只能访问生产虚拟机所在的SAN和运行vCenter服务器的VLAN。然后扩展到包括每个分段环境中的每个Veeam服务器,但由于无法在Veeam管理控制台中包含所有Veeam服务器,这会带来额外的管理开销。这确实有助于减少整个环境的一些汇总报告功能,并且可能会在批准Veeam虚拟实验室创建过程中出现一些问题,通过在每个分段环境中的一台Veeam服务器上安装Veeam管理控制台来解决这一问题。这就引出了一个非常需要讨论的话题:SureBackup是否是客户希望在安全环境中实现的功能集。虽然这是一个无需考虑的功能是有用的,但有一些安全方面需要考虑。首先,下面有额外的权限要求,淘客查询,很明显,有更多的"侵入性"权限允许Veeam管理员通过Veeam控制台对虚拟化环境本身进行更改。在一个POC的情况下,这被认为是一个太远的步骤,因为备份团队在虚拟资产中没有权限,并且可以选择虚拟化团队,决不会!关于与vCenter Server的交互以及Veeam SureBackup作业能够在虚拟实验室中创建和删除虚拟机,并且可以访问这些虚拟机来删除数据,从而产生了进一步的问题。而第二种担心很容易就减轻了,因为虚拟实验室中服务器上的活动目录权限是维护的,因此用户需要在应用程序服务器上具有适当的权限才能删除数据。但是,如果持有这些权限,则有可能在未经许可的情况下从环境中删除数据。特权级别所需权限全球的记录事件数据存储低级文件操作删除文件浏览数据存储主机配置网络配置存储分区配置网络分配网络虚拟机交互开机关机虚拟机配置高级添加或删除设备虚拟机资源清册RemoveRegister注销资源分配虚拟机创建资源池删除资源池文件夹创建文件夹删除文件夹dvPort集团创建删除POC的最后一个部分是一个令人费解的问题,我承认花了几个小时才解决。由于安全性是环境的关键,所有无关的端口都已从ESX(i)主机内的虚拟交换机中删除,以确保没有不必要的流量或漏洞可供利用。这包括将vmkernel端口从除vMotion VLAN之外的所有VLAN中删除,这将阻止NFS卷装载到主机上,从而阻止执行即时VM恢复。因此,请注意,如果您计划使用该功能,请快速检查一下VeeamV上是否存在vmkernel端口!总结和Veeam Backup&Replication v6如果您还没有听说过,我们已经发布了Veeam Backup&Replication v6,它带来了一些额外的注意事项;特别是当vSphere 5投入使用时。在v6中,至少需要添加一个细粒度权限。在"角色"下,还需要选中"虚拟机->设置->允许虚拟机下载"以允许网络模式工作。这是vSphere 5和VDDK 5.0特有的,但对于为企业提供安全性和角色至关重要。如果你还没查过v6,企业开发软件,

转载请注明出处。

1.本站遵循行业规范,任何转载的稿件都会明确标注作者和来源;2.本站的原创文章,请转载时务必注明文章作者和来源,不尊重原创的行为我们将追究责任;3.作者投稿可能会经我们编辑修改或补充。

相关文章
  • cdn业务资质_选择哪个_虚拟云主机

    cdn业务资质_选择哪个_虚拟云主机

    2021-02-27 15:18

  • 服务器提供商_虚拟_建站系统是什么

    服务器提供商_虚拟_建站系统是什么

    2021-02-27 14:55

  • 阿里数据库_如何使用_大数据要学什么

    阿里数据库_如何使用_大数据要学什么

    2021-02-27 14:11

  • cdn服务商_如何选择_大数据和数据库

    cdn服务商_如何选择_大数据和数据库

    2021-02-27 13:49

网友点评