Backup-to-Disk: Zentrales Element der modernen Datensicherung

Backup-to-Disk: Zentrales Element der modernen Datensicherung FastLTA

Beitrag teilen

Schon mehrfach wurden verschiedene Technologien, die zur Datensicherung eingesetzt werden, für „tot“ erklärt. Neben dem Dauerbrenner Tape ging es auch der Festplatte immer wieder an den Kragen. Weit gefehlt – wir erklären warum!

Oft hörte man Flash-Storage werde alles ersetzen, Disk-Backups gehörten der Vergangenheit an. Die Realität sieht anders aus: Disk-Backups gewinnen an Bedeutung und helfen, Kosten und Aufwand von Flash-Speichern und „last line of defense“-Technologien zu reduzieren. Wir zeigen Ihnen, warum das so ist.

Die neue Komplexität der Datensicherung

Durch die verstärkte Bedrohung durch Ransomware und Cyberangriffe hat sich der Fokus vom reinen Backup (also der Sicherung) hin zur Datensicherung mit schnell und sicher funktionierendem Recovery verschoben. Dadurch steigt die Komplexität im Storage-Bereich. Neben dem klassischen Backup-to-Disk sorgt Backup-to-Flash dafür, dass moderne Technologien wie Continuous-Data-Protection (CDP), Forever-Incrementals und Instant-Recovery zum niedrigen RTO beitragen können.

Auch Backup-to-(Virtual)-Tape erlebt einen unerwarteten Höhenflug, freilich unter neuem Namen: Air-Gap. Physisch aus dem System entnehmbare Medien gelten als Wunderwaffe gegen die Folgen eines Ransomware-Angriffs, sind sie doch zu 100 Prozent vor manipulativem Zugriff geschützt. Und zur günstigen Ablage großer Datenmengen wie zum Beispiel Backup-Archiven sollen Online-Speicher dienen, in denen Daten zusätzlich durch Immutability geschützt werden können.

Verlassen Sie sich nicht nur auf Air-Gap und Immutability

Es gibt verschiedene Technologien, Daten vor unerlaubtem Zugriff und so vor Manipulation zu schützen. Am bekanntesten ist Air-Gap, was oft mit Tape gleichgesetzt wird. Inzwischen gilt auch das Prinzip der Immutability auf einem entfernten Server „in der Cloud“ als betrachtenswerte Alternative zum Air Gap. Auch ein per Hardware-WORM versiegeltes Archiv kann diese Funktion erfüllen.

Dennoch werden diese Technologien nicht umsonst als „last line of defense“ betrachtet, also als allerletzte Möglichkeit der Wiederherstellung von Daten. Dies ist jedoch nicht die Lösung für die Gefahr durch Cyberangriffe, da auf solchen „kalten“ Medien meist ältere Datensätze abgelegt werden, die zudem in der Regel nicht unmittelbar für einen Restore zur Verfügung stehen. Tape-Archive sind rein linear und erfordern beim Erstellen und beim Restore hohen manuellen und zeitraubenden Aufwand. Cloud-Archive sind per Definition nicht lokal verfügbar. Im Fall eines Cyberangriffs sollte die Verbindung zum Internet als erstes gekappt werden, was auch den Zugriff auf diese Daten verhindert.

Da der Ausfall der IT den größten Kostenblock bei einem erfolgten Ransomware-An griff darstellt, helfen diese schlecht zugänglichen Archive kaum, die Folgen einer solchen Attacke zu mindern. Sie sind tatsächlich eben nur als allerletztes Mittel zu sehen, wenn alle anderen Daten verloren sind.

Die Zentrale: Backup-to-Disk

Disk-Backups gibt es seit Jahrzehnten, um Daten schnell zu sichern und auf gesicherte Daten schnell und wahlfrei zugreifen zu können. Durch stark angestiegene Datenmengen reichen herkömmliche RAID-Speicher nicht mehr aus. Moderne Disk-Arrays müssen quasi unbegrenzt skalierbar sein, ohne dass Änderungen an der Konfiguration notwendig sind (Scale Up).

Die Reduzierung der aufwändigen letzten Instanz gelingt aber nur, wenn beim Disk-Backup zur Datensicherung umfassende Maßnahmen zur Absicherung gegen Ausfall und Angriffe durchgeführt werden. Immer stärker wird nämlich die Bedrohung durch gezielte Angriffe, die zunächst – oft über Monate – die IT-Infrastruktur ausspähen und dann zuerst versuchen Backups unzugänglich zu machen. Sollte das gelingen, muss tatsächlich die „last line of defense“ greifen. Damit es nicht so weit kommt, gibt es mehrere Maßnahmen zum Schutz des Disk-Backups.

Drei entscheidende Maßnahmen zum Schutz Ihres Disk-Backups

  • 1. Zugang erschweren: Zu oft haben normale Netzwerk-Admins oder gar „Chefs“ Zugriff auf Backup-Server, meist durch die Integration in die Standard-Authentifizierung per Active Directory (AD). Dies stellt die offensichtlichste Sicherheitslücke dar. NASSpeicher für Backups sollten nicht direkt als Laufwerke, sondern über geschützte UNC-Pfade eingebunden werden. Der Zugang zu allen Backup-Maschinen sollte nicht per AD erfolgen, sondern per MehrFaktor-Authentifizierung geschützt sein.
  • 2. Automatische, unzugängliche Snapshots: In regelmäßigen Abständen sollte das Backup-Storage selbständig Snapshots erstellen, die nur vom System und nach Ablauf der eingestellten Aufbewahrungsdauer gelöscht werden können. Die Häufigkeit und Dauer müssen so eingestellt werden, dass sie höchstmögliche Sicherheit bei gerade noch vertretbarer Auslastung ermöglichen. Da Angreifer sich oft mehrere Wochen im IT-System „umsehen“, sollte die Aufbewahrungsdauer möglichst lang gewählt werden. Auch die Auslagerung von Snapshots, beispielsweise auf Air-Gap-Medien oder Cloud-Storage hängt von diesen Einstellungen ab.
  • 3. Geo-Redundanz: Zum Schutz vor Ausfall ganzer Instanzen bzw. Standorte sollten Backups auf einen zweiten Standort repliziert werden, möglichst durch rein im Storage verankerte Funktionen, die nicht im normal zugänglichen Netzwerk liegen. Der Datenspeicher am zweiten Standort darf, außer zum Zweck der Replizierung, nicht vom Hauptnetzwerk erreichbar sein. Da es zur Optimierung der RTO (schnellstmögliche Wiederherstellung) notwendig ist, dass die Datensicherung dort stattfindet, wo die Daten auch anfallen bzw. wieder benötigt werden, sollte dieser zentrale Backup-Bereich On-Premises, also vor Ort, realisiert werden.

Das geht doch auch mit Flash-Storage…?

Flash-Storage ist schnell, aber eben auch teuer – (immer noch) deutlich teurer als Festplatten-Speicher. Beim Primary-Storage gilt Flash inzwischen als gesetzt. Bei einzelnen Instanzen mit begrenzter Kapazität ist der Geschwindigkeitsvorteil höher zu bewerten als die höheren Kosten.

Anders sieht es bei Implementation der oben ausgeführten Sicherheitsmaßnahmen aus. Werden diese auch auf dem Primary-Target, dem Flash-Storage durchgeführt, multipliziert sich die Kostendifferenz im Vergleich zu Festplattenspeicher. Die längere Speicherdauer und dadurch notwendige Kapazität tut dazu ihr Übriges, um die Kosten in Bereiche zu treiben, die in keinem Verhältnis zum erzielbaren Geschwindigkeitsvorteil stehen. Eine direkte Auslagerung langfristiger Backups via Air-Gap oder Cloud-Storage ist aus den eingangs beschriebenen Gründen nicht zielführend, was RTO und RPO betrifft.

Fazit: Investieren Sie in sicheres Disk-Backup

Zusammenfassend lässt sich feststellen: Je sicherer und umfassender der zentrale Bereich des Backup-to-Disk realisiert wird, desto weniger Aufwand muss in schlecht verfügbare und unter Umständen mit hohem manuellem Aufwand behaftete Zusatztechnologien bei der Datensicherung investiert werden. Der Bereich des Primary-Target – Flash-Storage – kann so groß wie notwendig und so klein wie möglich gewählt werden, was Kosten und Zusatzaufwand reduziert. Da Angriffe vermehrt gezielt zunächst die Backup-Infrastruktur attackieren, müssen Disk-Backups nicht nur gegen Datenträgerausfälle, sondern auch gegen diese Angriffe besonders geschützt werden.

Mehr bei FAST-LTA.de

 


Über FAST LTA GmbH

FAST LTA ist der Spezialist für sichere Sekundär- und Langzeit-Speichersysteme. Die Kombination aus langlebiger und wartungsarmer Hardware, integrierter Software zur Datensicherung und Vor-Ort-Wartungsverträgen mit bis zu 10 Jahren Laufzeit sorgen für langfristig kostengünstige Speicherung von Daten aus Archiv- und Backup-Anwendungen. Eigene Entwicklungen wie lokales Erasure Coding, Versiegelung mittels Hardware-WORM und effizientes Energie-Management helfen mittelständischen Kunden, sich vor Datenverlust durch Ransomware-Angriffe und Fehlkonfiguration zu schützen und regulatorische und rechtliche Auflagen (DSGVO) zu erfüllen. Die Lösungen des Münchner Anbieters haben sich in tausenden Installationen in Healthcare, öffentlicher Verwaltung, Film/TV/Video und Industrie bewährt.


 

Passende Artikel zum Thema

Kein Mensch, kein Bot – ein Hacker!

Viele seriöse Unternehmen sichern ihre Webseiten durch eine sogenannte reCaptcha-Abfrage ab. Im Dauer-Clinch zwischen Cybersicherheit und Cyberkriminalität finden Hacker erfahrungsgemäß ➡ Weiterlesen

Hacker-Barrieren: Kontenmissbrauch mit Least Privilege-Ansatz verhindern

Bei traditionellen perimeterbasierten Sicherheitskonzepten haben Cyberkriminelle meist leichtes Spiel, wenn sie diesen Schutzwall erst einmal durchbrochen haben. Besonders im Fadenkreuz ➡ Weiterlesen

Kryptominer „Golang“ schürft in Windows-Systemen

Neue Variante der Kryptominer-Malware "Golang" attackiert neben Linux- auch gezielt Windows-basierte Rechner und nun vorzugsweise auch lohnenswerte Serverstrukturen. „Totgesagte leben ➡ Weiterlesen

AV-TEST: Android-Security-Apps für Unternehmen

Das Labor von AV-TEST hat eine neue Testreihe für Android-Sicherheits-Apps für Unternehmen gestartet. Im ersten Test stellt AV-TEST anhand von ➡ Weiterlesen

Hackergruppe gibt auf und veröffentlicht Schlüssel

Manchmal beschleicht wohl auch Hacker so etwas wie Reue oder ein schlechtes Gewissen und sie geben ihre schwarzen Hüte an ➡ Weiterlesen

Sicherheitsfragen in Zeiten des Remote Work: IT-Experten antworten

Mit der Pandemiekrise, die Mitarbeiter weltweit an den heimischen Schreibtisch schickte, kamen auf Security-Verantwortliche in Unternehmen über Nacht neue Herausforderungen ➡ Weiterlesen

Insider-Bedrohungen durch ausscheidende Mitarbeiter

Viele Unternehmen sind so sehr damit beschäftigt, externe Angreifer aus ihren sensiblen Netzwerken fernzuhalten, dass sie eine andere, möglicherweise noch ➡ Weiterlesen

Ransomware: Das Wirtschaftssystem hinter der Daten-Geiselnahme

Durch die enorme Professionalisierung der Vertriebswege wie Ransomware-as-a-Service (RaaS), benötigen Angreifer nicht mehr zwingend tiefgreifende technische Fähigkeiten, sondern vielmehr unternehmerisches ➡ Weiterlesen