La infraestructura de Veeam Availability es fundamental para la protección y recuperación de datos en la mayoría de las organizaciones. Al configurar esta infraestructura, es crucial recordar el principio de que un sistema de protección de datos no debe depender del entorno que está destinado a proteger. Esto es particularmente importante en caso de que el entorno de producción se caiga, ya que el servidor de respaldo también dependería de los controladores de dominio para la autenticación, la resolución de nombres y otros procesos esenciales.

¿Dominio o Grupo de Trabajo?

En términos de seguridad y administración, existen diversas opciones para configurar la infraestructura de Veeam. Desde las más seguras hasta las menos seguras, las opciones disponibles son las siguientes:

1. Agregar los componentes de Veeam a un dominio de gestión en un Active Directory Forest separado y proteger las cuentas administrativas con autenticación multifactor (MFA).
2. Agregar los componentes de Veeam a un grupo de trabajo independiente y colocarlos en una red separada, si es necesario.
3. Agregar los componentes de Veeam al dominio de producción pero asegurándose de que las cuentas con privilegios administrativos estén protegidas con autenticación multifactor.

La Mejor Práctica

La mejor práctica para una implementación más segura es agregar los componentes de Veeam a un dominio de gestión que se encuentre en un Active Directory Forest separado y proteger las cuentas administrativas con autenticación multifactor. De esta manera, la infraestructura de Veeam no depende del entorno que debe proteger.

Configuración de Grupo de Trabajo

Al usar un grupo de trabajo, cada sistema debe configurarse independientemente, incluyendo políticas de seguridad locales, usuarios y permisos. En entornos más grandes, esto puede resultar en una administración tediosa. Además, no se puede utilizar la autenticación Kerberos, ya que solo se utiliza NTLM.

Un grupo de trabajo es más difícil de defender contra amenazas internas, como un empleado descontento, ya que se utilizan cuentas locales en los servidores de trabajo, y no es posible bloquear un solo usuario a nivel de Active Directory. También, se vuelve más complicado probar la conformidad y la seguridad del sistema, lo que puede ser un inconveniente para cumplir con requisitos de cumplimiento normativo.

Ventajas de un Grupo de Trabajo:

• Fácil y rápido de configurar.
• Separa las cuentas de Veeam de las cuentas privilegiadas del dominio de producción, lo que ayuda a prevenir ataques de keyloggers y violaciones en el dominio de producción.
• No depende del entorno que está destinado a proteger.
• No requiere servidores adicionales como controladores de dominio, NTP y DNS.

Desventajas:

• Gran carga administrativa en entornos grandes.
• No se puede utilizar comunicación Kerberos, solo NTLM.
• Más difícil cumplir con normativas de seguridad y generar evidencia de conformidad.
• No se puede usar el sistema gMSA para la autenticación de invitados en interacciones de respaldo.

Configuración de Dominio de Gestión

Esta configuración, que implica agregar un dominio de gestión independiente en un Active Directory Forest separado, es ideal para entornos más grandes. Aunque esta opción agrega algo de complejidad, facilita la administración centralizada de políticas y permisos de usuarios. Además, permite la desactivación de cuentas AD con un solo clic, lo que ayuda a mitigar amenazas internas rápidamente.

Ventajas de un Dominio de Gestión:

• Fácil de administrar.
• Desactivación de cuentas con un solo clic.
• No depende del entorno que se debe proteger.
• Comunicación segura mediante Kerberos entre los componentes de Veeam.
• Uso de políticas de grupo para controlar el dominio y cumplir con normativas de seguridad de manera más sencilla.
• Posibilidad de integrar autenticación multifactor (MFA) para una capa adicional de seguridad.

Desventajas:

• Requiere componentes adicionales de infraestructura.
• Necesita mayor conocimiento técnico para configurarlo adecuadamente.

Confianza entre Bosques (Forest Trusts)

Los Forest Trusts son útiles cuando se busca una solución para la autonomía administrativa en un entorno con múltiples bosques de Active Directory. Un forest trust permite que un dominio de producción confíe en un dominio de gestión de manera unidireccional, brindando una experiencia de autenticación y autorización fluida entre los bosques.

• Un trust unidireccional: Los miembros del bosque de confianza pueden utilizar los recursos del bosque que otorga la confianza, pero la confianza opera solo en una dirección.

Esto es útil cuando se desea que el dominio de producción confíe en el dominio de gestión con una relación de confianza unidireccional. En este caso, el dominio de producción establecería la relación de confianza hacia el dominio de gestión.

Conclusión

La elección entre un dominio de gestión y un grupo de trabajo depende del tamaño de la infraestructura y las necesidades de seguridad de la organización. Para entornos grandes, la implementación de un dominio de gestión independiente y la protección con autenticación multifactor es la opción más segura, asegurando que los sistemas de protección de datos como Veeam no dependan de la infraestructura que deben proteger. Sin embargo, un grupo de trabajo puede ser útil para entornos más pequeños, donde la complejidad y los requisitos de cumplimiento son menores.

Al tomar decisiones sobre cómo organizar la infraestructura de Veeam, es esencial considerar la seguridad a largo plazo y la facilidad de gestión para proteger los datos críticos de la organización.

vía: Veeam