Veeam Four-Eyes Authorization
Veeam
Veeam Four-Eyes Authorization
Veeam

Veeam Four-Eyes Authorization

Hola a tod@s

Desde la versión 12.1, Veeam Backup & Replication permite habilitar la autorización Four-Eyes para reducir el riesgo de acciones accidentales que tengan impacto en información sensible. Esta funcionalidad requiere aprobación adicional para ciertas operaciones en Veeam Backup & Replication dada por otro usuario. Para aprobar la solicitud, el usuario debe tener el rol de Administrador de Veeam Backup o Administrador de Seguridad de Veeam.

Cuando se habilita, se requiere la Four-Eyes Authorization para realizar las siguientes operaciones:

  • Eliminar los archivos de backup o los snapshot de disco o de la base de datos de configuración.
  • Eliminar la información sobre los backup no disponibles de la base de datos de configuración.
  • Eliminar backup repositories y storage de la infraestructura de backup.
  • Agregar, actualizar y eliminar usuarios o grupos de usuarios.
  • Habilitar y deshabilitar la autenticación multifactor (MFA) para todos los usuarios y grupos de usuarios.
  • Restablecer el MFA para un usuario específico.
  • Habilitar, actualizar y deshabilitar el cierre de sesión automático para todos los usuarios y grupos de usuarios.

Requisitos y limitaciones

Four-eyes authorization tiene los siguientes requisitos y limitaciones:

  • La funcionalidad solo se incluye en la licencia Veeam Universal License (VUL) o en la edición Enterprise Plus. Si la licencia caduca, aún es posible procesar las solicitudes ya creadas, pero no crear otras nuevas.
  • Si la autorización Four-eyes está habilitada, no podemos realizar las siguientes operaciones:
    • Eliminar operaciones mediante cmdlets de PowerShell, API REST y Veeam Backup Enterprise Manager.
    • Operaciones específicas en la vista Archivos:
      • Editar, renombrar y eliminar archivos.
      • Sobrescribir archivos.
      • Cambiar el nombre y eliminar carpetas.
  • Si intentamos aprobar o rechazar la solicitud y el objeto que deseamos eliminar está bloqueado por otra operación, por ejemplo, la sesión de trabajo, la operación no se realizará. En este caso, deberá procesar la solicitud más tarde, cuando el objeto no esté bloqueado.
  • Los archivos de backup inmutables no se pueden eliminar incluso con four-eyes authorization habilitado.
  • Debemos asegurarnos de tener al menos dos usuarios con el rol de Veeam Backup Administrator o Veeam Security Administrator asignado.

Habilitación de Four-Eyes Authorization

Para habilitar four-eyes authorization, realizamos los siguientes pasos:

Debemos asegurarnos de que al menos tenemos dos usuarios (agregados a un grupo de usuarios o usuario individuales) con el rol de Administrador de Backup de Veeam o Administrador de Seguridad de Veeam asignado.

En el menú principal, seleccionamos Users % Roles.

Vamos a la pestaña “Authorization” y activamos la casilla “Require additional approval for sensitive operations“.

Especificamos el período de tiempo durante el cuál se debe aprobar o rechazar la operación solicitada (mínimo 1 día, máximo 30 días).

Nota:  Para deshabilitar four-eyes authorization también necesitaremos una aprobación adicional de otro administrador de seguridad o backup.

Probando four-eyes authorization

La configuración es bastante simple como pudieron ver. Ahora pasaremos a probarla con un caso muy común, que es eliminar un respaldo.

  • Para esto, vamos a nuestra consola de Veeam en Home > Backup > Disk > Job_name.
  • Hacemos clic derecho en el resorte point que queremos eliminar y seleccionamos “Delete from disk“.

Recibiremos un mensaje indicándonos que esta operación debe ser aprobada por otro administrador. La solicitud queda pendiente hasta que un segundo administrador (con los permisos adecuados) inicie sesión, revise la solicitud y le dé su visto bueno. Es un seguro de vida digital simple pero, increíblemente potente.

Visualización de eventos de autorización

Para ver los eventos relacionados con four-eyes authorization, vamos a History > Authorization Events. Estos eventos incluyen información sobre:

  • Solicitudes aprobadas y rechazadas.
  • Actualización de configuración de four-eyes authorization.
  • Configuración actualizada para usuarios y grupos de usuarios.
  • Roles asignados.
  • Usuarios y grupos de usuarios agregados o eliminados.

Para continuar con la pruebas de funcionamiento de four-eyes authorization, lo siguiente será conectarnos a la consola de Veeam con nuestro otro usuario.

Conectados como el otro usuario con permisos, podremos ver que tenemos aprobaciones pendientes “Pending approvals(1)“. Para este ejemplo, aprobaremos la solicitud.

Nos volverá a aparecer una ventana donde se nos preguntará nuevamente si queremos aprobar la solicitud.

Si volvemos a conectarnos con el usuario que creó la solicitud y vamos a History > Authorization Events, veremos que la solicitud fue aprobada.

Conclusión

En el panorama actual de ciberseguridad, donde los ataques son cada vez más sofisticados y el error humano sigue siendo una constante, operar sin un mecanismo como four-eyes authorization es como navegar en aguas infestadas de piratas con la bodega llena de oro y sin cañones para defendernos.

Si gestionas un entorno Veeam, abre tu consola ahora mismo, verifica tu versión y licencia de Veeam. Si cumples los requisitos, no esperes a mañana. Propón la implementación de four-eyes authorization. Es una conversación de 10 minutos que podría ahorrarte horas de sueño y pérdidas incalculables.

¿Ya estás usando esta función?. ¿Qué otras medidas de seguridad consideras esenciales para tus backup?

¡Dejame tus comentarios y abramos el debate!

Leave a Reply

Your email address will not be published. Required fields are marked *