Para quem está na trincheira, o Hardened Repository (HR) da V12 sempre foi a apólice de seguro do negócio contra ransomware. Mas essa apólice tinha “cláusulas escondidas” perigosas: a imutabilidade protegia os dados, mas o sistema operacional (Linux) onde o repositório estava instalado era um ponto cego de risco.
A implementação era um processo manual e de alto esforço administrativo. Para o negócio, isso é um pesadelo: o ativo de recuperação mais crítico dependendo de um processo não padronizado e sujeito a erro humano. O risco não estava no Veeam, mas na base: permissões erradas, configuração incorreta do xfs_io, ou falhas na autenticação SSH. Além disso, havia o desafio de aplicar as centenas de regras de hardening do DISA STIG — que, embora seja uma excelente prática de segurança, era frequentemente deixada de lado por sua complexidade.
A V13 não melhora isso. Ela resolve o problema na origem, oferecendo duas filosofias de arquitetura:
Opção A: A Solução Padronizada (O “Produto” JeOS/VIA) Para quem busca uma solução padronizada, a V13 entrega o Veeam Infrastructure Appliance (VIA). Ele é um “produto de engenharia” previsível que troca o risco do erro humano pela segurança “built-in”.
O “show técnico” dele está nos detalhes e no impacto direto no negócio:
1. De “Tarefa Manual” para “Produto Auditável” (O Fator STIG): O appliance JeOS/VIA já vem pré-configurado com as diretrizes DISA STIG. O que era uma “excelente prática” manual e complexa, agora é o padrão de fábrica. Para um time de Governança e Risco (GRC), isso é ouro: a “apólice de seguro” agora é um produto auditável por padrão. A fundação é sólida: hardware na HCL do RHEL e foco total em discos locais.
2. Zero Trust Real no Acesso (MFA + Security Officer): A complexidade de configurar chaves SSH acabou. O onboarding é “passwordless” (baseado em certificados). Mais importante: a V13 implementa Zero Trust real no nível do host. O acesso à console (porta 10443) exige MFA obrigatório e a plataforma separa os papéis com o “Security Officer” (veeamso). O impacto no negócio? Ações de risco (como adicionar componentes) precisam de aprovação dupla, mitigando drasticamente o risco de uma credencial roubada ou de um insider threat.
3. Modelo de Risco Compartilhado (O Fator “Patch Day”): A responsabilidade pelo ciclo de vida do SO é compartilhada. A Veeam assume a parte mais complexa: testar e empacotar todos os patches de segurança do SO. O “E Daí?” para o negócio: A pilha inteira (SO + App) é mantida pela Veeam, garantindo que a “apólice” nunca fique exposta por um patch de SO atrasado ou que um patch do SO quebre a aplicação. É a previsibilidade de um appliance.
Opção B: A Escolha pela Flexibilidade Total (O “BYO”) Agora, como tudo em TI, há um “trade-off”. O VIA é uma “caixa preta” gerenciada, e a escolha pela simplicidade resulta em uma abordagem de gerenciamento diferente, levando a duas considerações de arquitetura:
1. O “Trade-off” de Compliance e Visibilidade (Agentes): Por ser um appliance com o SO gerenciado pela Veeam, o acesso ao root não é suportado para customizações. Com isso, não é possível a instalação de agentes de terceiros. O “E Daí?” para o negócio: Se a política de segurança interna da empresa exige um agente de EDR específico para estar em compliance, ou se o time de NOC/SOC depende de coletores (como Zabbix) para visibilidade unificada, o VIA não atenderá a esses requisitos de governança.
2. O “Trade-off” de Flexibilidade de CAPEX (Storage): A abordagem de gestão de discos é diferente. O JeOS utiliza um particionamento direto (baseado em XFS), não LVM. Para equipes que dominam Linux e preferem a flexibilidade do lvextend (scale-up), o modelo do VIA é focado em “scale-out” (adicionar um novo nó), e não em expandir volumes de um nó existente. O “E Daí?” para o negócio: Isso impacta diretamente o planejamento de CAPEX (investimento). O “scale-out” (comprar um novo nó) é simples, mas pode ter um custo inicial maior. O “scale-up” (adicionar discos) permite um investimento mais granular e fracionado. A escolha afeta diretamente o TCO e o fluxo de caixa para expansões futuras.
É por isso que a Veeam, de forma muito inteligente, não descontinuou o “Build Your Own” (BYO).
O Veredito Estratégico: A Escolha de Filosofia A V13, na prática, nos deu uma escolha clara:
O VIA (JeOS) é para o negócio que busca Padronização, Simplicidade e Risco Mínimo “out-of-the-box”. É a solução que blinda a “apólice de seguro”, sendo à prova de erro humano na configuração.
O BYO (RHEL/Rocky/Ubuntu) continua sendo a escolha para a empresa que exige Controle Total e Flexibilidade, seja para integração com EDR ou para gerenciamento avançado de CAPEX com LVM. Essa abordagem assume que a equipe tem a expertise (e a responsabilidade) de aplicar o hardening manualmente.
Um movimento brilhante da Veeam, que atende tanto a empresa que busca um “produto” simples quanto o especialista da trincheira que exige uma “plataforma” aberta.
Cuca Fresca IT 
Leave a comment