Veeam v12 – MFA
Fala pessoal, tudo jóia?
Vocês provavelmente estão cansados de ouvir falar nos termos MFA ou 2FA. Óbvio, não tem como fugir desse assunto, uma vez que dia-a-dia novas formas de invasão/ataque são inventadas e os sistemas ficam vulneráveis. E visando atender a muuuuitos pedidos dos usuários, a Veeam divulgou que na próxima versão (v12) o software vai contar com esse incremento na segurança.
Nos passos a seguir vou demonstrar como é feita a configuração, mas sempre lembrando que as demos estão sendo realizadas na versão beta 2, ou seja, é possível que tenham pequenas alterações na versão final.
A primeira vez que você logar na console, o 2FA não estará ativo ainda. Para que o recurso funcione, clique no menu de hamburguer (1) e depois em Users and Roles (2).
Na janela que abrir, você verá que todos os usuários do grupo “Administrators” terão a função de “Veeam Backup Administrator”, ou seja, acesso total ao ambiente de backup (essa permissão é padrão quando o Veeam é instalado). No rodapé dessa tela tem a opção de ativar o 2FA (2), porém, nós NÃO podemos ativar nesse momento (aliás, poder você até pode, mas não vai funcionar). O 2FA não funciona com grupos, sendo assim, será necessário adicionar os usuários nominais, um por um.
Se você não acreditou em mim e tentou aplicar a configuração sem excluir o grupo, vai receber esse erro:
Agora que você viu que não funciona, exclua o grupo padrão (Administrators), e adicione os usuários que terão acesso ao Veeam. O processo é muito simples:
1: Clique em Add.
2: Digite o nome do usuário (ou clique em Browse).
3: Selecione qual será a função desse usuário dentro do Veeam.
4: Se você estiver criando uma conta de serviço, ela não poderá exigir autenticação com 2FA. Se esse for o seu cenário, marque a opção This is a service account. Isso fará com que o 2FA seja desativado apenas para essa conta.
Após adicionar todos os usuários que você precisa, será exibido algo muito parecido com a tela abaixo. No meu exemplo, está da seguinte forma:
1: Tenho 2 usuários (Administrator e backup-user), ambos são administradores de backup.
2: Função 2FA ativada.
3: Outra função nova muito aguardada: expirar a sessão após um determinado período de tempo. No meu caso, se algum usuário ficar mais de 10 mintos inativos, ele será desconectado.
Após fazer o ajuste acima, é obrigatório fechar todas as consoles que estiverem abertas pra depois abrir novamente. Em um primeiro momento, nada de novidade:
Quando clicar em Connect, a segunda (e nova) tela será exibida. Esse passo só é necessário no primeiro login de cada usuário após a ativação do 2FA. Nesse momento, escolha o app que você costumeiramente utiliza para gerar os códigos (eu uso o Authy) e faça a configuração.
Para finalizar, clique em Next e seja feliz!
A partir de agora, quando qualquer usuário for se conectar na console do Veeam, será obrigatório inserir os 6 dígitos.
Simples né? Como eu comentei, esse recurso vinha sendo solicitado massivamente pelos usuários da ferramenta. Agora que ele está disponível, não dê chances pro azar: ative o 2FA e garanta mais esse item de segurança no seu ambiente.
Obrigado pessoal, até a próxima!