Der Trend zu hybriden Cloudlösungen, die dadurch steigende Komplexität von Datensicherung und -Management und die immer raffinierteren Angriffe auf IT-Infrastrukturen, zwingen Führungskräfte dazu, ihre Datensicherungsinfrastruktur neu zu gestalten. Denn Ransomware hat gelernt, ganze Backups zu löschen oder zu verschlüsseln, und zwar egal ob sie Ihre Online-Backup auf einer Cloud oder in einem lokalen Repository gespeichert sind.
Die Löschung von Backup-Daten verhindert einen Restore von gesicherten Infrastrukturkomponenten und soll die Zahlung der Lösegeldsumme gewährleisten. Eine Möglichkeit, dies zu verhindern, wäre die Backup-Systeme von Ihrer Domain zu trennen, was aber die Kenntnis eines Zero-Day-Exploit nicht ausschliesst. Bei Cyberangriffen ist die Zeit der entscheidende Faktor, das Zurückholen von Offsite-Sicherungskopien dauert oft zu lange.
Veeam Immutable Backup Repository
Die Idee hinter der Lösung ist, die primären Backup Daten für eine definierte Zeit „immutable“, also nicht veränderbar, zu machen. Selbst der Backup-Administrator kann Sie in dieser Zeitspanne nicht löschen oder verändern. In Veeam Backup & Replication v11 wird eine native Funktion des Linux XFS-Dateisystems genutzt, die die Datei vor Umbenennung, Änderung, Löschung oder Hard-Linking schützt. Um sicher zu stellen, dass das Immutable Repository seinen Zweck erfüllt, sind einige Sicherheitspunkte zu beachten, um ungewollten Zugriff zu unterbinden.
Hardened Linux
Das Hardening des benötigten Linux ist ein wichtiger Punkt innerhalb des Immutable Repositories. Um dies zu erreichen, werden Grundlagentechniken wie Firewalling und SELinux verwendet, aber auch konzeptionelle Entscheidungen im Bereich NTP, iDRAC und Remote Access getroffen.
Aus Sicherheitsgründen wird der SSH-Zugriff nach der Installation des Veeam Data Mover Agents deaktiviert. Um einen Remote-Zugriff zu verhindern, wird die LOM-Schnittstelle des Ser-vers nicht an das Netzwerk angeschlossen, sondern verwendet einen lokalen Server-Netzwerkport, um sicher zu stellen, dass die eigene Hardware geprüft werden kann.
uniQui ermöglicht ein vereinfachtes Systemmanagement
Ein externes Monitoring sollte in einem Cyber Resilience Konzept nicht erlaubt sein. uniQconsul-ting setzt aus Sicherheitsgründen auf ein internes Monitoring. Auf dem Backup-Server wird die Applikation Zabbix installiert. Zabbix prüft so automatisiert den Soft- und Hardwarestatus auf Probleme (Disk Usage, RAID Status, o.Ä.) und sendet ein E-Mail, sollte ein Problem festgestellt worden sein.
Um ein grundlegendes Management zu ermöglichen, kann vom Backup-Server auf das uniQui (Appliance GUI von uniQconsulting) zugegriffen werden. Darauf können nicht sicherheitsrelevan-te Services (Zabbix Agent, etc.) konfiguriert und neu gestartet werden.
Die Datenübertragung geschieht durch den Veeam eigenen «Data Mover Agent». Dies hat den Vorteil, dass keine bekannten Protokolle wie CIFS, NFS, etc. aus dem System exponiert werden. Daten können lediglich über den proprietären Agenten an das Repository gesendet werden. Der Agent entscheidet im Anschluss selbstständig, wann die Files wieder veränderbar werden dürfen.
Hardware
Die Hardware besteht aus einem einfachen Bare Metal Server. Um einen kostengünstigen Spei-cher zur Verfügung zu stellen, werden HDDs mit zwei 1 TB SSDs als Cache verwendet. Falls das Repository als Primary Target dient, können anstelle der HDDs auch alles SSDs verwendet werden, um eine höhere Durchsatzrate zu erreichen. Das System wird bewusst nur physisch installiert. Bei virtuellen Systemen besteht die latente Gefahr, dass Angreifer Zugriff auf die Virtualisierungs-Plattform erhalten könnten. Es wäre somit ein leichtes Spiel, die VMs (und damit auch alle «immutable» Daten) zu löschen.
Veeam: Leader im Gartner Magic Quadrant für Datensicherung- und Wiederherstellungssoftware
Die Veeam Availability Suite (VAS) und deren Add-on-Produkte bieten sofortige Wiederherstellung von Hyper-V, VMware VMs und NAS-Umgebungen sowie automatisierte sofortige Wieder-herstellung von Microsoft SQL-Server und Oracle Databases, wodurch die Wiederherstellungszeit dieser Workloads erheblich reduziert wird. Ergänzt wurde das kürzliche Release mit neuen Tools für AWS, Azure- und Google Cloud Plattform-Datensicherungen. Ebenfalls im Release enthalten sind weitere Plug-ins für Oracle RMAN-Sicherungen in AIX-Umgebungen und SAP auf Oracle und die oben aufgeführte Möglichkeit von Veeam Immutable Backup Repository, welche durch die Nutzung des Linux XFS-Dateisystems möglich wurde.
Anfrage
Jetzt anmelden