24/02/2025

Один из основных трендов в корпоративном IT секторе в Узбекистане за последнее время — борьба с RANSOMWARE различными возможными способами. Судя по всему, похожая тенденция наблюдается во многих странах. Обусловлено это реальными громкими случаями с работой шифровальщиков, которые периодически происходят по всему миру. Зачастую это приводит к остановке в работе целых заводов, предприятий и производств. И Узбекистан тут не исключение, такое случается и у нас. Многие компании стараются делать регулярно резервные копии своих данных и информационных систем. Однако, и это может оказаться не панацеей, так как и бекапы могут быть зашифрованы или удалены злоумышленниками. Специализированный аплаинс дедупликации от Dell — PowerProtect DD или Data Domain предлагает интересный функционал под названием Retention Lock, который позволяет защитить записанные файлы резервных копий от изменения или удаления. Данная опция существует у Data Domain уже давно и хорошо интегрируется с программным обеспечением резервного копирования. Это позволяет на уровне ПО бекапа задавать опции по времени immutability сохраняемых данных. Но усиление информационной безопасности любых данных и систем всегда имеет обратную сторону, которую надо держать в голове. Давайте посмотрим на лимиты и ограничения, которые накладывает использование функционала Retention Lock на Dell PowerProtect DD.
Ограничения
Прежде всего нужно упомянуть, что есть 2 режима Retention Lock на Data Domain — Governance Mode и Compliance Mode. Первый из них является менее строгим, а второй более требовательным и безопасным. С учетом того, что в моей практике основная интеграция оборудования Data Domain проходит с программным обеспечением Veeam Backup & Replication, который поддерживает только режим Retention Lock Compliance Mode на Data Domain, то рассматривать тут будем соответственно этот второй режим работы.
Итак, первым делом есть ряд команд и настроек на нашем дедуплицирующем аплаинсе, которые перестанут работать при работе RL-C. Они следующие:
- Удаление файловой системы целиком на всем аплаинсе Data Domain.
- Удаление не пустых MTree, на которых настроен Retention Lock — Compliance Mode.
- Отключение функционала RL-C на использующих его MTree.
- Изменение статуса защищенных файлов с помощьюRL-C на соответсвтующих MTree.
- Удаление любого cloud unit на Data Domain.
Как видно из этого списка в GUI и CLI Data Domain блокируется возможность удаления, изменения файлов и директорий, защищенных функционалом Retention Lock.
Также перед включением возможностей immutability backup на PowerProtect DD необходимо настроить специальную учетку офицера информационной безопасности (Security Officer). Надо понимать, что определенные команды управления на Data Domain будут доступны только в случае подтверждения через учетную запись Security Officer. Это позволяет защититься от утечки пароля администратора, а также от злонамеренных действий ITшников, имеющих административный доступ.
Следующие изменения в конфигурации Data Domain будут возможны только после подтверждения со стороны учетной записи с полномочиями Security Officer:
- Обновление или другое изменение лицензий в системе.
- Переименование или удаление пустых MTree, которые используют Retention Lock- Compliance.
- Отключение или остановка настроенных контекстов репликации.
- Выполнение общесистемных настроек, таких как изменение времени на Data Domain или часового пояса, а также перенастройка отправки оповещений.
То есть, с помощью механизма двойной авторизации в сисеме решается проблема потенциального обхода защиты Retention Lock с помощью разного рода манипуляций, которые могут привести к удалению файлов, считающихся immutable. Особенный упор делает на контроль времени в системе.
Также хотелось бы сакцентировать внимание на возможной ситуации, когда в системе используется Retention Lock — Compliance Mode и заканчивается свободное место для записи новых файлов. Это может оказаться серьезной проблемой. При таком раскладе у Вас будет 3 варианта развития событий, если Вы захотите иметь возможность и дальше записывать файлы на Data Domain:
- Купить и добавить дополнительное дисковое пространство на Data Domain. Это наиболее затратный и требующий достаточно много времени способ для реализации.
- Дождаться истечения интервала блокировки защищаемых файлов и возможности для последующего их удаления. Тут очень многое будет зависеть от срока, на который была установлена настройка immutability файлов бекапов. Одно дело, если ждать понадобится пару недель, совершенно другое дело, если ожидание составит годы или десятки лет.
- Самый кардинальнй способ освобождения пространства на Data Domain — полная реиницализация системы с USB носителя с удалением всех имеющихся файлов, которые были записаны до этого.
Пожалуй, это все основные нюансы, которые нужно учитывать при использовании функционала Retention Lock — Compliance Mode на Data Domain. Их понимание позволит организовать процесс хранения защищаемых файлов наиболее правильно, без создания дополнительных неудобств при эксплуатации.
Заключение
В целом, решение по обеспечению immutability бекапов на дедуплицирующем аплаинсе Data Domain выглядит интересно. Но у моего любознательного ума осталось несколько вопросов и потенциальных логических лазеек, которые могут использовать продвинутые хакеры, для обхода Retention Lock. Во-первых, ввод пароля офицера безопасности происходит в консоли или GUI системного администратора Data Domain, что при использовании кейлогера грозит опасной утечкой. Во-вторых, не совсем для меня понятны принципы внутри ядра операционной системы, которые обеспечивают сохранность файлов. Так, при наличии эксплойта, способного обеспечить доступ злоумышленникам внутрь ОС Data Domain, не понятно как будут защищены файлы бекапов от удаления.