Bienvenue > Protection des sauvegardes contre les ransomwares avec Bacula Enterprise

Protection des sauvegardes contre les ransomwares avec Bacula Enterprise

Le besoin croissant de protection contre les ransomwares

Les ransomwares ont sérieusement impacté des milliers d'organisations dans le monde, dans plus de 150 pays. La fréquence des attaques de ransomware a augmenté de plus de 900% en 2020 et cette tendance malheureuse s'avère se poursuivre en 2021 - et avec une sophistication croissante. Par exemple, il existe déjà certains logiciels malveillants qui recherchent en fait les systèmes de sauvegarde faibles et chiffrent eux-mêmes les données sauvegardées.

Pour qu'une entreprise puisse protéger suffisamment ses sauvegardes contre les ransomwares, une préparation et une réflexion préalables sont nécessaires. La technologie de protection des données, les meilleures pratiques de sauvegarde et la formation du personnel sont essentielles pour atténuer les perturbations menaçant l'activité que les attaques de ransomware peuvent infliger aux serveurs et ordinateurs de sauvegarde d'une entreprise.

L'une des meilleures protections contre de telles attaques est de disposer d'une solution de sauvegarde de niveau entreprise, d'une architecture correcte et d'utiliser les meilleures pratiques en matière de stratégies de sauvegarde, et de s'assurer que les sauvegardes en cloud sont protégées et disponibles de manière adéquate. Cela signifie que des copies à jour de ces données doivent être disponibles ailleurs. Des pratiques correctes de sauvegarde, de stockage et de conformité des données peuvent faire la différence entre la survie et l'échec d'une entreprise ciblée. Vous trouverez ci-dessous le Top 7 des stratégies de protection contre les Ransomware de Bacula System pour les serveurs de sauvegarde :

Les 7 principales stratégies de protection contre les ransomwares pour les serveurs de sauvegarde

Voici quelques considérations techniques spécifiques à l'environnement informatique de votre entreprise, afin de protéger votre serveur de sauvegarde contre de futures attaques de ransomware :

1. Utilisez des informations d'identification différentes, uniquement pour le stockage des sauvegardes.

Il s'agit d'une bonne pratique de base et, compte tenu du nombre croissant d'attaques de ransomware sur les serveurs de sauvegarde, elle est plus que jamais nécessaire. Le contexte utilisateur qui est utilisé pour accéder au stockage de sauvegarde doit être totalement confidentiel et utilisé uniquement à cette fin. En outre, les autres contextes de sécurité ne doivent pas pouvoir accéder au stockage de sauvegarde, à l'exception du ou des comptes nécessaires aux opérations de sauvegarde proprement dites.

Évitez de travailler en tant que root ou administrateur. Utilisez des comptes de service restreints autant que possible, chaque fois que c'est possible. Par défaut, Bacula intègre l'authentification dans la conception et permet à l'utilisateur de mettre en œuvre autant de séparation que possible avec les charges de travail de production. Par exemple, son installation par défaut garantit que ses démons s'exécutent avec des comptes de service dédiés.

2. Intégrez le stockage hors ligne dans votre stratégie de sauvegarde

Le stockage hors ligne est l'une des meilleures défenses contre la propagation du chiffrement des ransomwares au stockage de sauvegarde. Il existe un certain nombre d'options de stockage hors ligne (et semi-hors ligne) qui peuvent être utilisées :

Type de média Ce qui est important
Sauvegardes en cloud Celles-ci utilisent un mécanisme d'authentification différent. Ne sont pas directement connectés au système de sauvegarde.
Stockage primaire Snapshots Il est préférable qu'ils aient un cadre d'authentification différent. Ces instantanés peuvent être utilisés pour la récupération.
Machines virtuelles répliquées Il est préférable de le faire lorsqu'il est contrôlé par un cadre d'authentification différent, par exemple en utilisant des domaines différents pour, par exemple, les hôtes vSphere et Hyper-V, et de le mettre hors tension.
Disques durs/SSD Détachés, non montés ou hors ligne, sauf s'ils sont en train d'être lus ou écrits.
Bandes On ne peut pas faire plus hors ligne qu'avec des bandes qui ont été déchargées d'une bibliothèque de bandes. Elles sont également pratiques pour le stockage hors site. Les bandes doivent être cryptées.
Appareils Les appareils étant des boîtes noires, ils doivent être correctement protégés contre les accès non autorisés. Il est conseillé de renforcer la sécurité du réseau par rapport aux serveurs de fichiers ordinaires, car les appareils peuvent présenter des vulnérabilités plus inattendues que les systèmes d'exploitation ordinaires.

3. Utilisez les copies de sauvegarde pour atténuer les risques

La copie de sauvegarde est un excellent mécanisme pour avoir des points de restauration créés sur un stockage différent et avec des règles de conservation différentes de celles de la tâche de sauvegarde normale. Lorsque les points précédents sont incorporés, la tâche de copie de sauvegarde peut être un mécanisme précieux dans une situation de ransomware car il y a différents points de restauration utilisés avec la tâche de copie de sauvegarde.

4. Ne vous fiez pas à des systèmes de fichiers différents pour protéger le stockage de sauvegarde.

Bien que le fait d'avoir différents protocoles impliqués puisse être un autre moyen d'empêcher la propagation des ransomwares, sachez que ce n'est certainement pas une garantie contre les attaques de sauvegarde par ransomware. Même si les ransomwares ou les virus d'aujourd'hui ne pouvaient pas fonctionner sur des systèmes de fichiers ext4, par exemple, ceux de demain le pourront. Misez donc plutôt sur une sécurité appropriée : le stockage de sauvegarde doit être inaccessible autant que possible, et il ne doit y avoir qu'un seul compte de service sur les machines connues qui doit y accéder. Les emplacements du système de fichiers utilisés pour stocker les données de sauvegarde ne doivent être accessibles que par les comptes de service concernés. Il n'y a aucune raison pour que les utilisateurs finaux de différents systèmes aient la permission d'y accéder. L'utilisation d'un autre ensemble d'informations d'identification pour permettre l'accès aux systèmes de fichiers partagés, par exemple pour les instantanés, les partages hors ligne ou le stockage dans le cloud, est une approche intrinsèquement peu sûre - tous ces accès doivent être réservés exclusivement au compte de service de sauvegarde.

5. Assurez-vous d'utiliser la règle 3-2-1-1

Suivre la règle 3-2-1-1 signifie avoir trois copies différentes de vos données, sur deux supports différents, dont l'un est hors site. La force de cette approche réside dans le fait qu'elle peut répondre à presque tous les scénarios de défaillance et qu'elle ne nécessite aucune technologie spécifique. À l'ère des ransomwares, Bacula recommande d'ajouter un "1" supplémentaire à la règle lorsqu'un des supports est hors ligne. Les options de stockage hors ligne énumérées ci-dessus ont mis en évidence un certain nombre d'options où vous pouvez mettre en œuvre une copie hors ligne ou semi-hors ligne des données. En pratique, chaque fois que vous sauvegardez sur des cibles autres que des systèmes de fichiers, vous êtes déjà proche de cette règle. Les bandes et les cibles de stockage d'objets dans le cloud vous sont donc utiles. Placer les bandes dans un coffre-fort après les avoir écrites est une bonne pratique de longue date.

Les cibles de stockage en cloud peuvent servir de stockage semi-hors ligne du point de vue de la sauvegarde. Les données ne sont pas sur site, et leur accès nécessite des protocoles personnalisés et une authentification secondaire. Certains fournisseurs de cloud permettent de placer les objets dans un état immuable, ce qui répondrait à l'exigence d'empêcher qu'ils soient endommagés par un attaquant. Comme pour toute mise en œuvre du cloud, un certain degré de fiabilité et de risque de sécurité est accepté en confiant des données critiques au fournisseur de cloud, mais en tant que source de sauvegarde secondaire, le cloud est très convaincant.

6. Attention à l'utilisation de snapshots de stockage sur le stockage de sauvegarde

Les instantanés de stockage sont utiles pour récupérer des fichiers supprimés à un moment donné, mais ne sont pas des sauvegardes au sens propre. Les instantanés de stockage ont tendance à manquer de gestion avancée de la rétention, de rapports, et toutes les données sont toujours stockées sur le même système et peuvent donc être vulnérables à toute attaque qui affecte les données primaires.

7. Assurez-vous que vous pouvez récupérer tous les systèmes à partir de 0

La récupération à partir de Bare Metal peut être effectuée de différentes manières. De nombreuses entreprises se contentent de déployer une image standard, de fournir des logiciels, puis de restaurer les données et/ou les préférences des utilisateurs. Dans de nombreux cas, toutes les données sont déjà stockées à distance et le système lui-même n'a guère d'importance. Cependant, dans de nombreux cas, cette approche n'est pas pratique et la capacité de restaurer complètement une machine à un moment donné est une fonction essentielle de la mise en œuvre de la reprise après sinistre. La capacité de restaurer un ordinateur chiffré par un ransomware à un moment récent, y compris les données utilisateur stockées localement, peut être un élément nécessaire d'une défense en couches. La même approche peut être appliquée aux systèmes virtualisés, bien qu'il existe généralement des options préférables disponibles au niveau de l'hyperviseur.

Conclusion

Pour une protection maximale de votre sauvegarde contre les ransomwares et autres menaces similaires, Bacula Systems conseille vivement à votre organisation de se conformer pleinement aux meilleures pratiques de sauvegarde et de restauration des données énumérées ci-dessus. Les méthodes et outils décrits ci-dessus sont régulièrement utilisés par les clients de Bacula Systems.

Bacula est unique dans l'industrie de la sauvegarde et de la restauration en offrant des niveaux de sécurité extrêmement élevés, et un facteur particulièrement important dans la résistance de Bacula aux attaques est son architecture de sécurité supérieure.  Cette architecture de haute sécurité se compose de quelques éléments majeurs de conception sécurisée, dont certains sont énumérés ci-dessous :

◾ Le client à sauvegarder n'est jamais au courant des cibles de stockage et n'a pas d'informations d'identification pour y accéder.
◾ Les hôtes Storage et Storage Deamon sont des systèmes dédiés, strictement sécurisés, n'autorisant que le trafic lié à Bacula et l'accès administrateur - rien d'autre.
◾ Le "Director" de Bacula (module central de gestion), est un système dédié avec le même accès restrictif.
◾ Le Director de Bacula initie toutes les activités et, en particulier, distribue des identifiants d'accès à usage unique aux clients et n'autorise que les activités liées à Bacula.
◾ Bacula Enterprise ne fournit aucun accès direct des clients au stockage ; ce n'est pas dans le protocole. Ainsi, même un client compromis ne peut accéder à aucune donnée de sauvegarde, que ce soit pour la lire, l'écraser, la modifier ou la supprimer.

Voici quelques facteurs clés supplémentaires qui, selon nos clients, rendent Bacula particulièrement attrayant pour eux, souvent dans le contexte de la protection contre les ransomwares :

◾ Conformité à la norme FIPS 140-2
◾ Vérification de la fiabilité des données sauvegardées existantes.
◾ Détection de la corruption silencieuse des données.
◾ Chiffre de chiffrement des données (AES 128, AES192, AES256 ou blowfish) et algorithme de digest.
◾ Utilisation automatique de TLS pour toutes les communications réseau (peut également être désactivé).
◾ Vérification des fichiers préalablement catalogués, permettant une capacité de type Tripwire (détection d'effraction du système).
◾ Authentification par mot de passe CRAM-MD5 entre chaque composant (démon).
◾ Cryptage configurable des communications TLS(SSL) entre chaque composant.
◾ Cryptage configurable des données (sur le volume) sur une base client par client.
◾ Calcul des signatures MD5 ou SHA1 des données du fichier si demandé.
◾ Système de fichiers cryptés Windows (EFS)
◾ Fonction de volume disque immuable pour une protection supplémentaire contre les ransomwares.
◾ Option d'intégration de l'annuaire LDAP dans l'architecture de base pour une protection supplémentaire.

Bacula Enterprise répond également à l'importante "règle 3-2-1-1" en offrant une compatibilité particulièrement large avec différentes technologies de bandes, le cloud et d'autres supports de stockage hors site. De plus, l'outil de restauration bare metal de Bacula est disponible pour les serveurs Linux et Windows, et permet à une organisation d'effectuer une reprise après sinistre sûre et fiable.

Pour les entreprises qui ne disposent pas de solutions de sauvegarde de données de niveau avancé, Bacula Systems leur conseille vivement de procéder à un examen complet de leur stratégie de sauvegarde et d'évaluer une solution moderne de sauvegarde et de restauration. Contactez-nous dès maintenant pour découvrir comment Bacula peut vous aider.