img

Backup Next Cloud

VMware vExpert 2021/VMCE/VMCA/VCP/AWS Solution Architect

虚化人生

Backup Next Cloud

欢迎访问虚化人生

VDP 安全技术系列(三) - 四眼认证模式:双人控制管理备份系统操作

| 阅读:

目录

系列目录

数据保护不只是备份,它关乎企业的安全的最后一道防线。Veeam 通过零信任设计理念,将安全性融入到产品的每一处细节。从备份的开始到恢复的最后一步,Veeam 不断打磨每一个功能,以满足现代安全需求。本系列汇聚了 VDP v12 版本后新增的安全小技巧,简单易用,却能为数据安全保驾护航。

  • 第一篇:免账户和 SSH 服务管理 Linux 备份代理
  • 第二篇:使用 gMSA 技术托管 Windows 账号
  • 第三篇:四眼认证模式:双人控制管理备份系统操作
  • 第四篇:启用多因子认证(MFA):加强备份系统账户保护
  • 第五篇:减少备份中涉及的网络端口
  • 第六篇:使用 Syslog 将日志托管至 SIEM 系统

四眼认证模式,守护 Veeam 备份操作安全

在数字化时代,数据是企业的命脉,备份与恢复的安全性尤为关键。一个误操作或是一个恶意破坏,就可能导致业务中断或数据泄露。为此,四眼认证模式(Four-Eyes Authorization)逐渐成为组织保护备份流程的重要策略,通过双人审核机制,为关键任务构筑坚实的安全屏障。

四眼认证模式是一种双重授权策略,广泛应用于财务、法律和 IT 管理等领域,以避免单人操作引发的失误或恶意行为。在专业备份解决方案如Veeam Data Platform中引入这一机制,能有效减少超管权限滥用及人为配置错误所带来的风险,显著提升数据管理的安全性和透明度。

本文深入解析 VDP 四眼认证模式的适用场景、实现步骤和注意事项,帮助您打造更安全的备份环境。

四眼认证模式适用场景

在 Veeam B&R 中,以下关键操作需通过四眼认证:

1. 删除备份操作

  • 删除备份文件、快照或不可用备份记录。

2. 存储基础设施管理

  • 删除备份存储库或存储资源。

3. 用户管理与身份验证

  • 添加、更新或删除用户及用户组。
  • 启用或修改多因素认证(MFA)。
  • 调整自动注销设置。

4. Veeam Cloud Connect 相关操作

  • 服务提供商:删除云存储库,删除导入的租户备份文件。
  • 租户:删除服务提供商,删除备份文件。

另外,四眼认证并不能保护已被攻破的服务器,因此对于服务器的保护,建议结合加固基础设施和遵循最佳实践。

四眼认证模式工作流程

四眼认证在 VDP 中通过以下机制确保操作安全:

1. 操作请求的创建

备份管理员提交敏感操作时,系统会生成请求,需额外审批方可执行。

2. 请求审批的通知与展示

  • Veeam 控制台:请求显示在“Home”视图的“Pending Approvals”节点下。
  • 邮件通知:已配置全局通知的管理员会收到审批提醒。

3. 审批与处理 如图,管理员或安全管理员审批界面:

four_eyes.png

  • 备份管理员或安全管理员可批准或拒绝请求,支持批量处理。
  • 请求创建者仅能取消其提交的请求,无法自行批准。

4. 超时自动拒绝

未在规定时间内处理的请求(默认 7 天)将自动被拒绝,避免悬而未决的风险。

前提条件与限制

前提条件

  • 功能仅适用于Veeam Universal LicenseEnterprise Plus版本。
  • 订阅许可证到期后,已创建请求仍可处理,但无法提交新请求。

限制条件

  1. 不支持的操作:
    • 通过 PowerShell、REST API 或 Veeam Backup Enterprise Manager 执行删除操作。
    • 在“Files”视图中编辑、删除或重命名文件/文件夹。
  2. 任务锁定限制:
    • 被占用的对象(如运行中的备份任务)无法执行敏感操作,需解锁后重新提交请求。
  3. 不可变备份文件保护:
    • 四眼认证一样无法直接删除不可变备份文件(Immutable Backups)。

如何配置四眼认证模式

1. 用户角色配置

确保至少两名用户具备以下角色之一:

  • Veeam Backup Administrator
  • Veeam Security Administrator

2. 启用四眼认证

  1. 打开Users and Roles > Authorization设置。
  2. 勾选Require additional approval for sensitive operations选项。
  3. 设置审批请求有效期(1 至 30 天)。

four_eyes_enable

3. 关闭四眼认证

关闭功能也需另一位管理员审批,确保设置变更的安全性。

操作日志:记录每一步授权

通过操作日志,管理员可追踪四眼认证相关活动:

  1. 进入History视图,点击Authorization Events节点。

  2. 查看日志内容,包括:

    • 批准/拒绝记录。
    • 四眼认证设置调整。
    • 用户及用户组管理操作。

    history.png

总结

四眼认证模式为备份操作增添了一道安全屏障,降低了单人误操作和权限滥用的风险。结合 Veeam 的其他安全功能,如权限管理、数据加密及不可变备份,企业可构建更健全的备份策略。

正在使用 Veeam 的朋友,赶紧启用四眼认证模式,保障您的数据安全,为企业发展保驾护航。

打赏一个呗

取消

感谢您的支持,我会继续努力的!

扫码支持
扫码支持
扫码打赏,你说多少就多少

打开支付宝扫一扫,即可进行扫码打赏哦