Recursos abrangentes de segurança do ExaGrid:

Um olhar mais atento:

• Lista de verificação de segurança para implementação rápida e fácil das melhores práticas.
• Recuperação de ransomware: ExaGrid oferece a única abordagem de armazenamento de backup em duas camadas com uma camada não voltada para a rede (air gap em camadas), exclusões atrasadas e objetos imutáveis ​​para recuperar de ataques de ransomware.
• Criptografia: ExaGrid oferece criptografia de disco baseada em hardware validada FIPS 140-2 em todos os modelos SEC. Discos rígidos com criptografia automática com gerenciamento de chaves e controle de acesso baseados em controlador RAID protegem seus dados durante o processo de armazenamento.
• Protegendo dados na WAN: A replicação de dados de backup desduplicados pode ser criptografada quando transferida entre sites ExaGrid usando AES de 256 bits, que é uma função de segurança aprovada pelo FIPS PUB 140-2. Isso elimina a necessidade de uma VPN para executar a criptografia na WAN.
• Controle de acesso baseado em função o uso de credenciais locais ou do Active Directory e as funções de Administrador e Agente de segurança são totalmente compartimentadas:
  • Operador de backup função para as operações do dia-a-dia tem limitações, como nenhuma exclusão de compartilhamentos
  • Security Officer a função protege o gerenciamento de dados confidenciais e é necessária para aprovar quaisquer alterações na política de bloqueio de tempo de retenção e para aprovar a visualização ou alterações no acesso root
  • Função de administrador é como um superusuário do Linux – com permissão para realizar qualquer operação administrativa (usuários limitados com essa função) Os administradores não podem concluir ações de gerenciamento de dados confidenciais (como excluir dados/compartilhamentos) sem a aprovação do oficial de segurança
  • Adicionar essas funções aos usuários só pode ser feito por um usuário que já tenha a função - portanto, um administrador desonesto não pode ignorar a aprovação do oficial de segurança de ações de gerenciamento de dados confidenciais
  • As operações chave requerem a aprovação do Agente de Segurança para proteção contra ameaças internas, como exclusões de compartilhamento e desreplicação (quando um administrador desonesto desativa a replicação para o site remoto)
• Autenticação de dois fatores (2FA) pode ser necessário para qualquer usuário (local ou Active Directory) usando qualquer aplicativo OAUTH-TOTP padrão do setor. O 2FA está ativado por padrão para as funções de administrador e oficial de segurança e qualquer login sem 2FA criará um prompt de aviso e um alarme para maior segurança.
• Certificados TLS/HTTPS Seguro: O software ExaGrid é gerenciado por meio de uma interface da Web e, por padrão, aceita conexões de um navegador da Web nas portas 80 (HTTP) e 443 (HTTPS). O software ExaGrid suporta a desativação de HTTP para ambientes que requerem apenas HTTPS (seguro). Ao usar HTTPS, o certificado do ExaGrid pode ser adicionado a navegadores da web ou os certificados de um usuário podem ser instalados nos servidores ExaGrid por meio da interface da web ou fornecidos por um servidor SCEP.
• Protocolos seguros/listas de permissões de IP:
  • Sistema de arquivos comum da Internet (CIFS) – SMBv2, SMBv3
  • Sistema de Arquivos de Rede (NFS) – Versões 3 e 4
  • Veeam Data Mover – SSH para comando e controle e protocolo específico da Veeam para movimentação de dados por TCP
  • Veritas OpenStorage Technology protocol (OST) – protocolo específico ExaGrid sobre TCP
  • Canais Oracle RMAN usando CIFS ou NFS

Para CIFS e Veeam Data Mover, a integração do AD permite o uso de credenciais de domínio para compartilhamento e controle de acesso da GUI de gerenciamento (autenticação e autorização). Para CIFS, o controle de acesso adicional é fornecido por meio de uma lista de permissões de IP. Para os protocolos NFS e OST, o controle de acesso aos dados de backup é controlado por uma lista de permissões de IP. Para cada compartilhamento, pelo menos um par endereço IP/máscara é fornecido, com vários pares ou máscara de sub-rede usada para ampliar o acesso. Recomenda-se que apenas os servidores de backup que acessam regularmente um compartilhamento sejam colocados na lista de permissões de IP de um compartilhamento.

Para compartilhamentos da Veeam usando o Veeam Data Mover, o controle de acesso é fornecido por credenciais de nome de usuário e senha inseridas na configuração Veeam e ExaGrid. Podem ser credenciais AD ou usuários locais configurados no site ExaGrid. O Veeam Data Mover é instalado automaticamente do servidor Veeam no servidor ExaGrid por SSH. O Veeam Data Mover é executado em um ambiente isolado no servidor ExaGrid que limita o acesso ao sistema, não tem privilégios de root e é executado apenas quando ativado pelas operações da Veeam.

• Suporte para chave SSH: Embora o acesso via SSH não seja necessário para as funções do usuário, algumas operações de suporte só podem ser fornecidas por SSH. O ExaGrid protege o SSH permitindo que ele seja desabilitado, permitindo o acesso por meio de senhas geradas aleatoriamente, senhas fornecidas pelo cliente ou apenas pares de chaves SSH.
• Monitoramento abrangente: os servidores ExaGrid entregam dados ao Suporte ExaGrid (telefone residencial) usando relatórios e alertas de integridade. Os relatórios de integridade incluem dados estatísticos para tendências diárias e análises automatizadas. Os dados são armazenados em servidores ExaGrid seguros com bancos de dados de tendências usados ​​para determinar a integridade geral ao longo do tempo. Os relatórios de integridade são enviados para o ExaGrid usando FTP por padrão, mas podem ser enviados por e-mail com alguma diminuição na profundidade da análise. Os alertas são notificações momentâneas que podem indicar eventos acionáveis, incluindo falhas de hardware, problemas de comunicação, possível configuração incorreta, etc. O Suporte ExaGrid recebe imediatamente esses alertas via e-mail dos servidores de Suporte ExaGrid.