Zu den Einsatzmöglichkeit von Backup-Appliances mit sicheren Snapshots und Immutability. Trotz Air Gap wichtige Daten möglichst zeitnah zurücksichern. Veeam Fast Clone erhöht die die synthetische Gesamtleistung der Software
Zum Hintergrund: Die Vorbeugung gegen Angriffe als auch die Fähigkeit zur möglichst raschen Wiederherstellung von kritischen Daten muss ein zentraler Teil einer jeden IT-Strategie sein. Besonders ältere (on-premise) Backup-Infrastrukturen und damit verbundene Prozesse sind mehr und mehr gefährdet und sollten dringend modernisiert werden. Zu berücksichtigen ist weiterhin, dass Backups mit den Sicherungsdaten selbst zum Angriffsziel werden können; ein Vorgang, der in letzter Zeit häufiger zu beobachten ist. Eine erfolgversprechende Lösung sollte also Teil einer umfassenderen Sicherheits-Architektur im Unternehmen sein.
Die sichere Offline-Aufbewahrung von Datenkopien ist ein entscheidender Faktor, um Lösegeldforderungen zu begegnen und die Wiederherstellung unternehmenskritischer Daten sicherzustellen. Moderne Verfahren sichern dazu virtuelle Maschinen über S3 direkt auf einen Objektspeicher on-premise und-/oder in der Cloud. Die unveränderliche Speicherung (immutable Storage) über den mehrstufigen Schutz mit S3 Object Lock ist inzwischen ein bewährtes Verfahren.
Die Unveränderlichkeit von Daten durch Isolierung der Sicherungskopien ist Teil einer erfolgreichen Ransomware Wiederherstellungs-Praxis. Generell ist neben der Vorbeugung und Erkennung von Bedrohungen die 3-2-1-1-Regel zu beachten, also 3 Kopien von Daten auf 2 verschiedenen Medientypen, 1x Offline- und 1x verschlüsselt mit Air Gap als Offset-Kopie.
Offline Speichermedien mit "Air Gap" haben keine direkte physische Verbindung zum Netzwerk und sind so eine wirksame Barriere gegen Ransomware und Malware. Neben Festplatte oder Flash erlaubt inbesondere der Einsatz von Bandspeichern es, auch große Mengen "sauberer" Daten energieeffizient zu sichern und bei Bedarf wiederherzustellen; dies ohne wesentliche Betriebsunterbrechungen. Mit LTO-9 beispielsweise können Datenübertragungsraten von bis zu 1.000 MB/Sek. (400 MB/Sek. unkomprimiert) erreicht werden; zudem liefert die Technik hochwertige Rücklese-Signale bei niedriger Fehlerrate.
Wie gesehen bietet das physische Air Gap einen sicheren Weg, um kritische Daten vor Ransomware zu schützen. Die Technik ist aber wegen ihres Offline-Charakters je nach Implementierung nicht für die schnelle Wiederherstellung (Restore) vorgesehen. Wie diese Einschränkung mit Hilfe von Backup-Verfahren vor-Ort gelöst werden kann, zeigt der folgende Lösungsweg auf:
Backup-Appliance mit sicheren Snapshots und Immutability
Neben den verschiedensten aktuellen Anbieterlösungen im Markt soll nachfolgend am Beispiel der verbreiteten Quantum DXi® Appliance mit DXi Secure Snapshot dargestellt werden, wie in diesem Zusammenhang gleichzeitig die Backup-Daten im Unternehmen zur Erfüllung von kritischen Backup-/SLA-Anforderungen geschützt werden können:
- DXi Secure Snapshot ermöglicht durch Protokolltrennung die Snapshots an einem isolierten Ort zu platzieren, der nicht über das Netzwerk adressierbar ist (Air Gap). Diese Snapshots können weder gelöscht noch verschlüsselt werden.
- Die Snapshots in ihrem unveränderlichen Zustand sind weiterhin in der DXi-Backup-Appliance verfügbar und für die Backup-Anwendung sichtbar, sobald die Wiederherstellung beginnt.
- Point-in-Time-Snapshots lassen sich so schnell identifizieren und Images auf einer neu erstellten Freigabe dann wiederherstellen.
Abb: Wiederherstellungsvorgang nach einem erfolgten Angriff, falls ein Backup-Image gefährdet wurde; hier am Beispiel "DXi Secure Snapshot" (Bildquelle: Quantum Corp.)
1. Die Kompromittierte Datenbereiche werden im Blockpool gespeichert und Snapshots wie gewohnt fortgesetzt.
2. Um sich von dem Angriff zu erholen, wird Snapshot A (Figure 1) wiederhergestellt.
3. Damit ist das Dateisystem wieder in dem Zustand, in dem es sich vor dem Angriff befunden hat (Figure 2).
Hinweis für Veeam User
Zertifizierte Systeme wie die o.g. Quantum DXi-Appliances können als Veeam Ready Repository für alle Veeam-Funktionen verwendet werden, einschließlich schnellem Backup und sofortiger Wiederherstellung. Die DXi Appliance in Kombination mit nativer Inline-Deduplizierung (1) ermöglicht eine längere Aufbewahrung der Backup-Images.
Bereits ab Veeam v10 hat sich mit der Funktion Fast Clone die synthetische Gesamtleistung der Software verbessert, indem sie nur auf bestehende Datenblöcke bei Volumes verweist, anstatt Datenblöcke zwischen Files zu kopieren; diese werden nur kopiert, falls Dateien geändert werden (Quantum Corp. soll nach eigenen Angaben sowohl im Testlabor als auch bei Kundenimplementierungen eine bis zu 15-fache Verbesserung der Geschwindigkeit erreicht haben und konnte in einigen Fällen sogar die Erstellungszeit von Stunden auf Minuten reduzieren).
(1) Anmerkung: Unter Daten-Deduplizierung versteht man verschiedene Verfahren, um hochautomatisiert redundante Files oder Datenblöcke zu entfernen. Die eliminierten Daten werden durch Pointer ersetzt. Ziel ist es, die Menge zu speichernder Daten entweder bereits an der Quelle (Source) oder am Ziel (Target) zu reduzieren. Es kommen in der Regel sog. Pattern-Matching (Delta Based Suchmuster) oder Hash-basierte Techniken zur Anwendung. DXi unterstützt laut Anbieter eine Deduplizierung mit variabler Länge. Deduplizierung mit variabler Länge kann die Menge der Backup-Daten um bis zu 90 % reduzieren. Darüber hinaus reduziert sie den Netzwerkverkehr und ermöglicht eine kostenoptimierte Replikation an entfernte Standorte wie z.B. für Disaster Recovery (D/R)-Zwecke.
Querverweis:
Unser Blogpost > Zum Einsatz von KI-Technologien für Backup-Recovery-Verfahren und besseren Datenschutz
Unser Beitrag > Gründe für den IT-Server- und Produktionsausfall bei Toyota: "Best Practice nicht befolgt“
Unser Beitrag > Scality ARTESCA 3.0: "CORE5"-Cyber-Resilienz gegen Ransomware-Angriffe auf Backupdaten