Avamar: Abilitazione del backup immutabile di Avamar e del blocco di retention in modalità conformità Data Domain

Requisiti di backup non modificabile di Avamar

La funzione immutabile è disponibile in Avamar 19.8.x.
Per le versioni precedenti, questa funzione è disponibile installando un hotfix MCS.

Requisiti della versione di Avamar (controllare "Informazioni aggiuntive" per i numeri della suite di hotfix):

• 19.4.0-124 + hotfix MCS
• 19.7.0-82 + Hotfix MCS

La versione Integrated Data Protection Appliance di Avamar non supporta il backup immutabile.

Funzioni
di backup non modificabiliUna volta configurato il backup immutabile, non è possibile eseguire le seguenti operazioni in MCGUI o AUI:

• Modificare la data di scadenza dei backup locali e remoti durante la disattivazione del client.
• Eliminare i client.
• Modificare la data di scadenza di un backup.
• Modificare il tipo di retention di un backup.
• Eliminare un backup.

Per abilitare il backup immutabile su Avamar: Installare le suite di hotfix MCS richieste.
Per abilitare questa funzione, eseguire i seguenti comandi. Valuta attentamente la tua decisione perché QUESTO È IRREVERSIBILE.

Come utente amministratore su Avamar Utility o su un singolo nodo:

admin@avamar:~/>:avmaint config immutablebackups=true --ava --confirmthisisnotreversible

Per verificare che l'impostazione sia abilitata:

admin@avamar:~/>:avmaint nodelist | grep immutablebackups
  immutablebackups="true"

Requisiti di Data Domain Retention Lock

Retention Lock è una funzione utilizzata sui Data Domain Restorer (DDR) per impedire la modifica o l'eliminazione di determinati set di file per un periodo predeterminato. I file bloccati con retention sono read-only fino alla scadenza del periodo di retention.

Retention lock è disponibile per due diverse funzioni:

• Governance: La meno rigorosa delle due funzioni di blocco della retention, i blocchi sui file possono essere annullati se necessario.
• Compliance: la funzione più rigida, che segue diversi standard normativi comuni Non è possibile annullare i blocchi sui file. Il DDR deve essere configurato con un utente "Security Officer" che deve autenticare alcuni comandi. Esistono restrizioni su altre funzionalità per impedire la rimozione dei dati bloccati o l'annullamento anticipato dei blocchi.

La modalità Retention Lock Compliance soddisfa gli standard normativi?
L'elenco degli standard normativi soddisfatti dalla modalità Compliance di Retention Lock include quanto segue:

• SEC 17a-4(f)
• CFTC Rule 1.31b
• FDA 21 CFR Part 11
• Sarbanes-Oxley Act
• IRS 98025 e 97-22
• ISO Standard 15489-1
• MoREQ2010

Per i dettagli completi sulle informazioni sulla certificazione, contattare il fornitore di supporto a contratto.

Abilitazione del Retention Lock in modalità compliance su Data Domain:
Valutare attentamente la decisione perché NON SI TRATTA DI NULLA DI IRREVERSIBILE.

Come utente sysadmin nella CLI di Data Domain:
Una licenza Compliance di Retention Lock viene aggiunta al DDR.
È necessario creare un utente con il ruolo di "sicurezza" (supponendo che tale utente non esista):

(ADMIN USER) # user add [username] role security

L'utente con il ruolo "Security" deve accedere al DDR e abilitare le autorizzazioni utente di sicurezza:

(SECURITY USER): # authorization policy set security-officer enabled

Il sistema deve essere configurato per la modalità Compliance di Retention Lock. Una volta eseguito il seguente comando fino al completamento, il sistema si riavvia automaticamente:

(ADMIN USER) # system retention-lock compliance configure

Una volta riavviato il sistema, dovrebbe essere abilitata la modalità Compliance di Retention Lock:

(ADMIN USER) # system retention-lock compliance enable

La modalità Compliance di Retention Lock è abilitata per qualsiasi MTree richiesto:

(ADMIN USER) # mtree retention-lock enable mode compliance mtree [mtree]

Gli MTrees possono essere elencati nell'output di mtree list, che può anche visualizzare gli MTrees per i quali è abilitato il Retention Lock, ad esempio:

sysadmin@ddxxxx# mtree list
Name                                Pre-Comp (GiB)   Status    Tenant-Unit
---------------------------------   --------------   -------   -----------
...
/data/col1/rich-retention-lock                 0.0   RW/RLGE   -
/data/col1/rl_test                             0.0   RW/RLGD   -
/data/col1/rl_test_comp                        0.0   RW/RLCE   -
/data/col1/test                                3.1   RW/RLGE   -
...
---------------------------------   --------------   -------   -----------
...
 RLGE : Retention-Lock Governance Enabled
 RLGD : Retention-Lock Governance Disabled
 RLCE : Retention-Lock Compliance Enabled

Una volta abilitato il Retention Lock su un MTree, è necessario impostare un periodo di retention minimo e massimo. Questi periodi determinano il tempo minimo e massimo per cui un file all'interno dell'MTree può essere bloccato. Ad esempio:

# mtree retention-lock set min-retention-period [period] mtree [mtree]
# mtree retention-lock set max-retention-period [period] mtree [mtree]

I periodi possono essere specificati in varie unità come segue:

*  1min
*  1hr
*  1day
*  1mo
*  1year

Una volta abilitato Retention Lock su Data Domain:
Accedere ad Avamar Server ed eseguire un checkpoint:

admin@avamar:~/>:mccli checkpoint create --override_maintenance_scheduler=true

Per domande sul Retention Lock, Data Domain, consultare l'articolo 79803: Domande frequenti su Retention Lock.

Consultare l'articolo 212375 per istruzioni sul download di hotfix, Avamar: Come trovare e scaricare l'hotfix, l'applicazione di patch, l'installazione o il pacchetto di aggiornamento di un prodotto dal sito web di supporto Dell.

Avamar Server v19.4.0-124:

• Hotfix client - 335595
• Hotfix server - 335584

Avamar Server v19.7.0-82

• Hotfix client - 335914
• Hotfix server - 335915