Nevada, VMWare Esxi, Synology Active Backup – Comment réussir la protection de ses serveurs

Une véritable attaque organisée a été lancer ce vendredi 3 février 2023 contre les serveurs vmware ESXI. De nombreux serveurs sont tombés suite à l’attaque, les miens étaient protégés avec Synology Active Backup.

VMWare, la cible, le système indispensable en entreprise

Vmware est l’éditeur d’une solution de virtualisation de serveur Esxi. Vmware est l’un des 2 fournisseurs de solution de virtualisation avec Microsoft HyperV * .

La virtualisation permet de simplement sur une même machine physique d’installer plusieurs machines logiques. Cela permet de mieux exploiter les ressources et offre des solutions innovantes pour l’évolution, la migration et la sauvegarde des machines.

La virtualisation a permis de diminuer le nombre de serveurs physique dans les PME et ainsi contribue à la sobriété énergétique.

La virtualisation permet aussi de renforcer la sécurité et la disponibilité des serveurs par des systèmes de réplication à chaud en cas de panne physique d’un serveur.

Une faille connue depuis 2021

A priori c’est une attaque qui tire parti d’une faille connue de VMWare : CVE-2021-21974.

Une attaque de ransomware coordonnée et bien préparée

Sur tous les serveurs que j’ai en gestion, seulement 3 ont été touchés. J’avoue avoir eu de la chance. Florian de LeroyMerlin à plus de 2000 serveurs impactés.

Pour ma part l’attaque à eu lieu vers 11h30, et j’ai eu confirmation à 14h30.

Taches administratives et de recherches suite à une attaque par ransomware.

J’ai passé l’après-midi à analyser les infos que j’ai pu récupérer sur le serveur, puis le temps d’aller à la gendarmerie pour porter plainte. L’après-midi avait filé. J’ai aussi déclaré l’incident sur cybermalveillance.gouv.fr

Après une recherche rapide sur internet, pas de clé de décryptage disponible.

Préparation avant la récupération des données avec Synology Active Backup

A 18h je lance l’installation de VMWare en version 7.0, ancienne version 6.5. Je préviens mes clients de l’attaque et de la mise en œuvre de la restauration des données depuis la sauvegarde.

Je préparer aussi le CD (via un fichier ISO) de restauration Active Backup avec la dernière version. Si vous avez une bonne connexion internet, cela prend 20 min, mais vous êtes sûr d’avoir la dernière version.

Entre action et administratif

J’ai passé plus de temps à rechercher des éléments de preuve, porter plainte, réinstaller le serveur VMWare que pour remettre en service les sauvegardes.

Synology Active Backup en action

Pour la sauvegarde des serveurs virtuels, j’utilise 2 techniques :

  • Sauvegarde de serveurs pour Windows
  • Sauvegarde de machines virtuelles pour les pare-feu

L’avantage d’utiliser ces 2 techniques permet à mes clients qui sont formés de récupérer eux-mêmes leurs données en cas de problèmes via l’interface web.

Après 2 heures de travail, les 3 serveurs sont restaurés et presque disponibles pour travailler.

Je dois juste reprendre les configurations des réseaux, qui ne sont pas sauvegardés. Après quelques fautes de frappe, tous les serveurs sont de nouveaux opérationnels.

Synology Active Backup méthode

Mixer plusieurs techniques

J’utilise plusieurs méthodes différentes pour faire les sauvegardes, car dans certain cas, secteur défectueux par exemple, la récupération automatique de l’image est un handicape.

Des sauvegardes plus souvent

La perte de travail pour certains de mes clients a été 1/2 journée de travail, le vendredi matin.
Je vais regarder comment faire des sauvegardes toutes les deux heures à l’avenir pour diminuer encore la perte de données. Mais lors du lancement de la sauvegarde, cela à un impact sur les performances du serveur, et donc sur le travail des utilisateurs.

Pour en savoir plus sur cette notion très importante de la perte d’information, je vous invite à suivre mon atelier

La méthode innovante Active Backup 0 accès

Vous avez sans doute souvent entendu parler de la méthode de sauvegarde 3-2-1 :

  • 3 copies d’un fichier (serveur actif et 2 médias supplémentaires)
  • 2 supports différents (disque dur USB, bande, NAS, cloud)
  • 1 sauvegarde hors site

Cette méthode a très bien fonctionné depuis des années, mais depuis 2017 certains ransomware cibles les sauvegardes. Ainsi les sauvegardes sur les disques durs USB et sur les lecteurs réseau des NAS ne sont plus récupérables.

Avec Active Backup vous avez en plus le 0

  • 0 accès direct aux fichiers sauvegardé.
    Avec Active Backup ce n’est pas le poste qui envoie les données, mais le serveur qui vient chercher directement les informations sur le poste via un agent.

Cette technique innovante permet de **protéger vos sauvegardes d’un accès direct, et ainsi elles sont protégées d’une attaque par ransomware.

Pour accéder à vos sauvegardes et récupérer vos données, vous pouvez simplement vous connecter au site web de votre Nas Synology.

Les mises à jour VMWare

L’installation des mises à jour sur les systèmes VMWare est complexe et dépend des licences que vous avez acquises : entre 700 et 15 000 €.
Lors de l’installation de la mise à jour, toutes les machines doivent être arrêtées avant. Pour plus de sécurité, une sauvegarde des toutes les machines devra être disponible.
Ce qui fait que l’installation des mises à jour peut prendre 4 heures, dont la majorité à attendre que les nouvelles sauvegardes soient opérationnelles.

A noter quand même que même la dernière version 7 de VMWare reste sensible à cette attaque dans un certain cas. Avant le service sensible était démarré par défaut, depuis la version 7 il est éteint par défaut. Sauf si vous en avez besoin pour certaines fonctionnalités spécifiques.

Comprendre Synology Active Backup

C’est une solution simple, avec des techniques multiples pour sauvegarder vos données de vos serveurs, postes de travail, de vos autres NAS :

  • Sauvegarde des fichiers
  • Sauvegarde de postes et serveurs physique
  • Sauvegarde de machine virtuelle, qui permettent une restauration rapide via l’émulateur intégrer dans le Nas Synology

Répliquer les données pour plus de protection

Pour plus de sécurité avec Synology C2, les données sont répliquées dans un datacenter en Allemagne avec une clé de chiffrement irréversible.

*oui il existe d’autres solutions open source comme Proxmox, mais beaucoup moins diffusées

Si vous avez besoin d’information sur la mise en œuvre d’une solution de sauvegarde fiable pour votre entreprise avec Synology

Crédit photos

Photo de Roberto Nickson: https://www.pexels.com/fr-fr/photo/photographie-a-faible-angle-de-rock-mountain-sous-un-ciel-nuageux-2647990/


Tags


You may also like

{"email":"Email address invalid","url":"Website address invalid","required":"Required field missing"}
>