Starnberg, 10. Okt. 2023 - Zu den Einsatzmöglichkeit von Backup-Appliances mit sicheren Snapshots und Immutability; trotz Air Gap die Daten möglichst schnell zurücksichern...

Zum Hintergrund: Die Vorbeugung gegen Angriffe als auch die Fähigkeit zur möglichst raschen Wiederherstellung von kritischen Daten muss ein zentraler Teil einer jeden IT-Strategie sein. Besonders ältere (on-premise) Backup-Infrastrukturen und damit verbundene Prozesse sind mehr und mehr gefährdet und sollten dringend modernisiert werden. Zu berücksichtigen ist weiterhin, dass Backups mit den Sicherungsdaten selbst zum Angriffsziel werden können; ein Vorgang, der in letzter Zeit häufiger zu beobachten ist. Eine erfolgversprechende Lösung sollte also Teil einer umfassenderen Sicherheits-Architektur im Unternehmen sein.

Die sichere Offline-Aufbewahrung von Datenkopien ist ein entscheidender Faktor, um Lösegeldforderungen zu begegnen und die Wiederherstellung unternehmenskritischer Daten sicherzustellen. Moderne Verfahren sichern dazu virtuelle Maschinen über S3 direkt auf einen Objektspeicher on-premise und-/oder in der Cloud. Die unveränderliche Speicherung (immutable Storage) über den mehrstufigen Schutz mit S3 Object Lock ist inzwischen ein bewährtes Verfahren.

Die Unveränderlichkeit von Daten durch Isolierung der Sicherungskopien ist Teil einer erfolgreichen Ransomware Wiederherstellungs-Praxis. Generell ist neben der Vorbeugung und Erkennung von Bedrohungen die 3-2-1-1-Regel zu beachten, also 3 Kopien von Daten auf 2 verschiedenen Medientypen, 1x Offline- und 1x verschlüsselt mit Air Gap als Offset-Kopie.

Offline Speichermedien mit "Air Gap" haben keine direkte physische Verbindung zum Netzwerk und sind so eine wirksame Barriere gegen Ransomware und Malware. Neben Festplatte oder Flash erlaubt inbesondere der Einsatz von Bandspeichern es, auch große Mengen "sauberer" Daten energieeffizient zu sichern und bei Bedarf wiederherzustellen; dies ohne wesentliche Betriebsunterbrechungen. Mit LTO-9 werden Datenübertragungsraten von bis zu 1.000 MB/Sek. (400 MB/Sek. unkomprimiert) erreicht; zudem liefert die Technik hochwertige Rücklese-Signale bei niedriger Fehlerrate.

Jetzt ist wie gesehen das (physische) Air Gap zwar ein sicherer Weg, um kritische Daten vor Ransomware zu schützen. Die Technik ist aber wegen ihres Offline-Charakters nicht für die schnelle Wiederherstellung / Restore geeignet. Wie also diese Herausforderung mit Backup-Verfahren vor-Ort angehen?

Backup-Appliance mit sicheren Snapshots und Immutability

Am Beispiel der verbreiteten Quantum DXi® Appliance mit DXi Secure Snapshot soll hier exemplarisch dargestellt werden, welche Möglichkeiten zur Erfüllung von Backup- und SLA-Anforderungen existieren und die Backup-Daten gleichzeitig geschützt werden können:

• DXi Secure Snapshot ermöglicht durch Protokolltrennung, die Snapshots an einem isolierten Ort zu platzieren, der nicht über das Netzwerk adressierbar ist. Diese Snapshots können weder gelöscht noch verschlüsselt werden.

• Die Snapshots in ihrem unveränderlichen Zustand sind weiter in der DXi-Backup-Appliance verfügbar und für die Backup-Anwendung sichtbar, sobald die Wiederherstellung beginnt. Point-in-Time-Snapshots lassen sich laut Anbieter damit schnell identifizieren und Images auf einer neu erstellten Freigabe dann wiederherstellen.

Abb: DXi Secure Snapshot Beispiel zur Wiederherstellung der Datensicherung nach einem erfolgten Angriff, wenn ein Backup-Image dadurch gefährdet wird (Bildquelle: Quantum Corp.)

1. Kompromittierte Datenbereiche werden im Blockpool gespeichert und die Snapshots wie gewohnt fortgesetzt.
2. Um sich von dem Angriff zu erholen, wird Snapshot A (Figure 1) wiederhergestellt.
3. Damit ist das Dateisystem wieder in dem Zustand, in dem es sich vor dem Angriff befunden hat (Figure 2).


Hinweis für Veeam User: Quantum DXi-Appliances können als Veeam Ready Repository für alle Veeam-Funktionen verwendet werden, einschließlich schnellem Backup und sofortiger Wiederherstellung. Die DXi Appliance in Kombination mit nativer Inline-Deduplizierung ermöglicht eine längere Aufbewahrung der Backup-Images.

Bereits ab Veeam v10 verbesserte die Funktion "Fast Clone" die synthetische Gesamtleistung der Software, indem sie nur auf bestehende Datenblöcke bei Volumes verweist, anstatt Datenblöcke zwischen Files zu kopieren und diese nur kopiert, falls Dateien geändert werden.** Quantum Corp. konnte nach eigenen Angaben sowohl im Testlabor als auch bei Kundenimplementierungen hier eine bis zu 15-fache Verbesserung der Geschwindigkeit erreichen und in einigen Fällen die Erstellungszeit von Stunden auf Minuten reduzieren.

** Weitere Infos / Quelle: Veeam Knowledge Base, Deduplication Appliance Best Practices / technisches Dokument. Link > https://www.veeam.com/kb1745

Anmerkung: Unter Daten-Deduplizierung versteht man verschiedene Verfahren, um hochautomatisiert redundante Files oder Datenblöcke zu entfernen. Die eliminierten Daten werden durch Pointer ersetzt. Ziel ist es, die Menge zu speichernder Daten entweder bereits an der Quelle (Source) oder am Ziel (Target) zu reduzieren. Es kommen in der Regel sog. Pattern-Matching (Delta Based Suchmuster) oder Hash-basierte Techniken zur Anwendung. DXi unterstützt laut Anbieter eine Deduplizierung mit variabler Länge. Deduplizierung mit variabler Länge kann die Menge der Backup-Daten um bis zu 90 % reduzieren. Darüber hinaus reduziert sie den Netzwerkverkehr und ermöglicht eine kostenoptimierte Replikation an entfernte Standorte wie z.B. für Disaster Recovery (D/R)-Zwecke.

Querverweis:

Unser Blogpost > Zum Einsatz von KI-Technologien für Backup-Recovery-Verfahren und besseren Datenschutz

Unser Beitrag > Gründe für den IT-Server- und Produktionsausfall bei Toyota: "Best Practice nicht befolgt“