Fidye Yazılımıyla Güçlü Savaş: Linux Hardening mi? Ootbi mi?

Geçtiğimiz yazıda “Veeam ile Güçlü Backup” başlığı altında Ootbi’yi masaya yatırmıştık. Immutable depolama, Zero Trust yaklaşımı ve 15 dakikalık kurulum kolaylığıyla bizi oldukça etkileyen bir çözümdü. Eğer o yazıyı okumadıysan, önce oraya uğrayıp buraya tekrar dönebilirsin. Bu yazıda ise Ootbi’yi biraz daha farklı bir bakış açısıyla ele alacağız: Veeam’in önerdiği geleneksel Linux hardening modeliyle karşılaştırarak.

Hazırsanız, sistem odasına sanal bir tur yapalım. Root şifreni hazırla. Ya da gerek yok, zaten bu yazıdan sonra root’a güvenmeyeceğiz.

Veeam’in Klasik Yolu: Linux Hardening

Veeam, “Immutable Backup” için uzun zamandır ayrı bir Linux sunucusu kurulmasını öneriyor. Açık kaynak ruhuna yakışır bir çözüm.

Nasıl çalışıyor?

• Ubuntu ya da RHEL gibi bir dağıtım kuruyorsun.
• XFS filesystem kullanıyorsun.
• chattr +i komutu ile dosyaları “değiştirilemez” yapıyorsun.
• Veeam Backup & Replication yazılımı bu sunucuya yedek atıyor.

Buraya kadar her şey mantıklı. Ama sonra başlıyor esas dertler:

• Sistem güncellemesi? Biraz dikkatli olmazsan her şey bozulabilir.
• Firewall? IPTables mı Firewalld mi?
• Root erişimi? Umarız kimse eline geçirmez.
• Performans? Disk yapısına göre değişir. Ağ yavaşsa restore dualarla yapılır.

Kısacası bu çözüm seni “backup admin” değil, “backup DevOps’çusu” yapıyor. Her an dikkatli olman gereken, ucuz ama kırılgan bir yapı.

Ootbi Sahneye Çıkıyor: Donanımda Immutable Backup

İşte bu noktada Ootbi, o karmaşayı alıp çöpe atıyor. “Immutable backup” demek yalnızca +i komutu değildir diyerek, işi donanım seviyesinde çözüyor.

Ne yapıyor?

• Yedekleri S3 protokolüyle alıyor.
• Admin olsan bile silmen mümkün değil.
• Bu kısıtlama sistem seviyesi değil, donanım seviyesi.
• Veeam tarafından tanınmış, desteklenmiş ve doğrudan önerilmiş bir çözüm.

Ayrıca önceki yazıda da belirttiğimiz gibi: Kurulumu 15 dakika. Şifre bile istemiyor. “Kur bana bir backup cihazı, ama ben uğraşmayayım” diyorsan, tam senlik.

Güvenlik: Root vs. Donanım

Şimdi sadede gelelim. Zero Trust modeli diyorsak, root yetkisi nedir yahu?

Linux hardening senaryosunda:

• Root yetkisi saldırganda varsa, geçmiş olsun.
• Erişimi engellemek için çok fazla ekstra yapılandırma gerekiyor.
• Log’lar? Takip edilmezse her şey gözden kaçabilir.

Ootbi’de:

• Cihaz kendi işletim sistemiyle birlikte geliyor.
• Root yok. Shell yok. SSH yok.
• Konfigürasyon sadece web arayüzü üzerinden. İlk kurulumda bir cihazın text arayüzünden yazıyoruz oda zaten esx kurmuş her adminin gözü kapalı yapacağı bir şey.
• Immutability donanımda “hard coded”.

Yani Veeam’in önerdiği “bana bir Linux kur” çözümü yerine, Ootbi “bana güvenli bir kale ver” diyor. Ve içeriği kurcalamak mümkün bile değil.

Performans: Saniyelerle Ölçülen Geri Dönüş

Burada çok uzatmayacağım çünkü önceki yazıda Ootbi’nin performansından bolca bahsettik. Ama şu kadarını tekrar söylemekte fayda var:
8 GB/s’ye kadar backup ve restore hızı, Linux üzerinde kurulan XFS disklerden çok daha stabil ve öngörülebilir.

Linux sunucuda bu hızlar ancak özel RAID yapılandırmaları, SSD’ler, 10G ağ altyapısı ve bolca ayar ile mümkün olabilir. Hatalı yapılandırma durumunda ise 300 MB/s görüp “eh işte” diyebilirsin. Ama fidye yazılımı sonrası “eh işte” seni kurtarmaz.

Tablo Zamanı: Kimin Eli Kimin Cihazında?

Gerçek Hayat Hikayesi: A-dec’in Kurtuluşu

Amerika’daki A-dec firması, Linux tabanlı depolama yapısında yaşadığı yönetim zorlukları sonrası Ootbi’ye geçti. (Bu arada ülkemizde de referanslar çok yakında gelecek, mesela ESH Bilişim olarak çok yakında bir tane referans ile karşınızda olacağız.)
Backup süreleri %60 kısaldı. Restore artık saatlerle değil, dakikalarla ölçülüyor.
Ve en önemlisi: gece saat 3’te sistem çökse bile yedeklerinin başında dua etmeye gerek kalmadı.

Kaynak: Object First – A-dec Case Study

Sonuç: Root’a Güvenilmezse, Ootbi’ye Güven

Fidye yazılımıyla güçlü savaş, root erişimi kısıtlamakla değil, o erişimi anlamlı hale getirmemekle başlar. Ootbi, bu konuda çağın ötesine geçen bir çözüm sunuyor.

O halde karar senin:

• Linux üzerinde her şeyi tek tek kurup, yama, log ve güvenlik çorbası içinde yüzmek mi?
• Yoksa tek bir kutu alıp, Zero Trust ile %100 korunmak mı?

Backup işi zaten sıkıcı. En azından silinmediğinden emin olalım.

Kaynaklar:

• https://objectfirst.com/
• https://objectfirst.com/resources/case-studies
• Veeam ve Ootbi
• Diğer Veeam yazılarım için BURAYA lütfen.

Bilen bilir, backup işi zaten başlı başına bir dertken, bir de üzerine fidye yazılımları, sistem erişim zaafiyetleri ve restore süresindeki sonsuz bekleyişler gelince insan “ben bu işi bırakayım mı?” diye düşünmeye başlıyor. Ama dur. Harbiden dur. Çünkü Object First’ın sunduğu Ootbi (Out-of-the-Box-Immutability) ile bu işin çehresi ciddi şekilde değişiyor. Mottolarını ben sevdim hele uzun zamandır Immutability‘nin öneminden bahsederken.

“Immutable backup” lafını her vendor kullanıyor ama uygulamada durum pek öyle olmuyor. Veeam ile birebir entegre çalışan Object First Ootbi, adı gibi kutudan çıktığı gibi hazır. Ne kurulum senaryoları, ne sertifika avı, ne CLI’da kaybolma. Şifre bile istemiyor. Evet, yanlış duymadın.

Ootbi Nedir, Ne İşe Yarar?

Ootbi; Veeam için özel tasarlanmış, tamamen Immutable Object Storage sağlayan fiziksel bir cihaz. Zero Trust mimariyi temel alıyor. Yani bu cihazda bir backup silinsin istiyorsan… kusura bakma, admin bile olsan silemezsin. Ciddi söylüyorum, bu sefer gerçekten “silinemez”.

Bize ne kazandırıyor?

1. Güvenlik:

Ootbi, sadece yazma izinli ve silinemez veri depolama yapısıyla Veeam’in immutability özelliğini donanım seviyesinde destekliyor. Zero Trust dedik ya, bu işin şakası yok. Admin hakların varsa bile şov yapamıyorsun. İçeride bir veriyi kimse kurcalayamıyor.

2. Basitlik:

Kurulum? 15 dakika. Gerçekten. Sıfır CLI, sıfır kurulum rehberi, sıfır “ben bu parametreyi yazmadım şimdi ne olacak” stresi. Web arayüzü üzerinden yapılandırılıyor, kullanımı çocuk oyuncağı. Hatta cihazın kendi tabiriyle, “şifre yok, sihirli kutu gibi çalışıyor”.

3. Performans:

Cihaz 8GB/s’ye kadar performans sunabiliyor. Bu da demek oluyor ki, backup işi sabah kahveni bitirmeden tamamlanabiliyor. Restore performansı da en az yedekleme kadar tatmin edici. Bu özellikle fidye saldırısı sonrası hızlı geri dönüş isteyen firmalar için hayat kurtarıcı. Yazılım ve linux bir vm’le de yapıyorsunuz ama Object First bu işi inanılmaz kolaylaştırmış, birde görünmeyen performans olayı vardır bu değiştirilemezlik meselesinde ve pek bu konuya değinmiyoruz nedense ama Ootbi ile bu sorun ortadan kalkıyor.

Kime Ne Fayda Sağlar?

Bu cihaz yalnızca büyük kurumsal müşterilere değil, orta ölçekli işletmelere de uygun. Şirketinde hâlihazırda Veeam kullanıyorsan, hiçbir plugin, ek lisans, script veya zaman kaybı olmadan geçiş yapılabiliyor.

Sahada yaşanan örnekler ne diyor? Amerika’daki A-dec gibi firmalar, Ootbi’yi kullanarak Veeam yedekleme süresini %60 kısaltmış. Object First Referansı

Ve daha güzeli? Bu sistem Veeam’in doğrudan önerdiği bir çözüm. Veeam’in resmi kanalında “object storage partner” olarak tanıtılıyor.

Satın Alırken Nelere Dikkat Etmeli?

Bazı çözümler lisans-maliyet tuzağı gibidir, bu cihaz öyle değil. Eğer zaten bir veri merkezi yatırımın varsa CapEx mantıklı. Ama SaaS modelli sistemleri seviyorsan bu tarafta da seçeneğin var.

Kurulum ve destek hizmeti doğrudan üretici veya partner üzerinden sağlanabiliyor. Teknik destek SLA’leri, yerinde servis opsiyonları da mevcut. Özellikle Türkiye’de ESH Bilişim olarak bu cihazı Veeam projelerine entegre etmekte oldukça istekliyiz. Hatta tüm sertifikalarını bile aldım inanmazsanız LinkedIn profilimde var .

Sonuç: Kutu Gibi Çözüm, Derinlikli Güvenlik

Veeam ile entegre çalışabilen, sıfırdan özel olarak geliştirilmiş, gerçekten silinemez backup sunan ve kurulumda kullanıcıyı yormayan bir çözüm mü istiyorsun? İşte Ootbi bu.

Veeam ile güçlü backup diyorsak, artık bu boş bir slogan değil. Çünkü Ootbi sahneye çıktı. Artık yedeklerin yalnızca orada durmakla kalmıyor; gerçekten dokunulmaz hale geliyor.

Kaynaklar:

• https://objectfirst.com/
• https://objectfirst.com/resources/case-studies/a-dec/
• https://www.veeam.com/blog/immutable-object-storage-appliance.html
• Diğer Veeam yazılarım içinde BURAYA lütfen.