Thought Leadership
»Offsite-Backup mit Air-Gap: Tape, HDD oder Immutable?« – so das Thema des jüngsten virtuellen Roundtables im Rahmen des sgCampus. Unsere Experten diskutierten die jeweiligen Vorteile von Tape und Festplatte ebenso, wie die Frage, ob der Ansatz »Immutable-Storage« (unveränderlicher Speicher) geeignet ist, der Bedrohung durch Ransomware etwas entgegenzusetzen. Update: Video-Interviews mit Fast LTA zu Air-Gap ohne Tape und Cloudian erklärt das S3 Object Lock.
Ransomware verändert Backup-Konzepte nachhaltigBedeutung und Wert einer umfassenden Backup-Strategie sind unbestritten. Immer wieder neu zu prüfen ist angesichts sich verändernder Rahmenbedingungen jedoch, wie diese Strategie aussehen sollte. Aufgrund der starken Zunahme von Ransomware-Attacken auf Unternehmen ist dabei in den vergangenen Monaten der Aspekt des Offsite-Backups bzw. die Notwendigkeit eines Medienbruchs in der Backup-Strategie wieder stärker in den Vordergrund gerückt. Sie könnten, so die Befürworter, dafür sorgen, dass Firmen bei einer Verschlüsselung ihrer Daten durch Angreifer sich nicht den inzwischen horrenden Lösegeldforderungen beugen müssen – bei denen zudem unsicher ist, ob die Entschlüsselung tatsächlich vollständig gelingt.
Ein gutes, aktuelles und vollständiges Backup an einem anderen Ort (»Offsite«), der idealerweise nicht über das Netzwerk erreichbar und damit auch nicht darüber angreifbar ist (»Air-Gap«) und vielleicht sogar noch auf anderen Medien vorliegt, ist eine Option. Befürworter bezeichnen sie sogar als »alternativlos«, Kritiker als aufwändig und teuer. Gleichzeitig gewinnt der von einigen Herstellern geförderte »Immutable-Storage«-Ansatz immer mehr Anhänger. Hier sei der Schutz gegen Ransomware quasi schon eingebaut, weil unveränderliche Datenblöcke und ebenfalls unveränderliche Snapshots gar keine Angriffsfläche bieten – schließlich bedeutet unveränderlich auch, dass sich die Daten auch einer unbefugten Verschlüsselung widersetzen. Das Konzept mit seinen Vor- und Nachteilen hat Doc Storage für speicherguide.de hier ausführlich beschrieben.
Vor diesem Hintergrund diskutierten am 2. September beim virtuellen Roundtable im Rahmen des sgCampus Ines Wolf, Presales CE bei Quantum, Hannes Heckel, Director Marketing bei FAST LTA, Volker Wester, Geschäftsführer von Cristie Data sowie Jörg Riether, Leiter IT-Verbund bei Vitos Haina, und IT-Experte Carsten Carsten Haak.
Ransomware verändert das Backup
Gerade aufgrund der Ransomware-Attacken habe die Nachfrage nach Tape stark angezogen, erklärt Wolf. »Vorher ging der Trend für Tape eher in Richtung Archivmedium.« Den Anstieg der Nachfrage erklärt sie damit, dass sich mit Tape ein Offsite-Backup erstellen lässt – also eine Kopie an einem anderen Standort. Dabei blieben durch die Backup-Applikation alle Metadaten erhalten, es sei aber kein direkter Zugriff auf die Daten mehr möglich. Zusätzlich schätzten Kunden den Medienbruch, der Angreifern den Zugriff verwehrt.
»Es gibt kaum einen Kunden, der kein Tape hat«, räumt Cristie-Chef Wester zwar ein. Er fügt aber auch hinzu, dass sich das durch neue Technologien wie Immutable-Backup – wo sich Daten unveränderlich auf ein Medium schreiben lassen und nicht einmal der Admin Zugriff hat, sondern nur die Backup-Applikation Zugriff hat – allmählich ändere. »Wir kennen keinen Kunden in unserem Umfeld, denen ein moderneres Backup-System um die Ohren geflogen ist«, erklärt Wester. Deshalb könnten Unternehmen solch einen Ansatz guten Gewissens langfristig verfolgen – und sich damit dann wohl auch von Tape verabschieden.
Als IT-Anwender sieht Riether das skeptischer: »Ich würde mich niemals alleine auf Immutable-Systeme verlassen. Auch ihnen liegt immer irgendein Betriebssystem zugrunde. Damit haben sie genauso Bugs und Schwachstellen wie andere IT-Systeme. Selbst wenn sie die nicht haben, gibt es eventuell noch Low-Level-Interfaces auf die Systeme – insofern würde ich mich nie hundertprozentig darauf verlassen.« Seine Empfehlung lautet daher: »Immutable Storage – aber immer in Kombination mit komplett ausgelagerten Medien.« Bei denen spiele die Technologie – Tape, Disk NVME-SSDs oder optische Speichermedien – dann eine untergeordnete Rolle. »Hauptsache, sie sind elektronisch getrennt«, betont Riether.
Seine Ansicht begründet Riether damit, dass die Anwendungsfälle heute anders als früher sind, als man auf ein Backup nur im Notfall zurückgegriffen hat. Heute könnten zum Beispiel Tausende von virtuellen Servern in einer Testumgebung laufen, um etwas zu simulieren und würden viele Backup-System auch im operativen Betrieb genutzt – und dafür seien eben Online-Datenspeicher ideal.
Für und wider die 3-2-1-1-Backup-Regel
Quantum-Managerin Wolf plädiert dennoch für die 3-2-1-1-Backup-Regel: Drei Backup-Kopien, zwei unterschiedliche Medientypen nutzen und idealerweise noch je eine Offsite- und eine Offline-Kopie bereitstellen. »Damit hat man die Möglichkeit, die Hardware-Funktionalitäten mit zu nutzen – also etwa eine Backup-Kopie zu erstellen, die für den Backup-Administrator nicht sichtbar ist und damit auf diesem Wege auch nicht angegriffen werden kann«, erläutert die Quantum-Mitarbeiterin. »Der Drei-Zwei-Eins-Eins-Ansatz ist sehr gut«, stimmt Heckel grundsätzlich zu. »Wir sehen aber, dass die Grenzen zwischen Backup und Archivierung sehr stark aufgelöst werden. Etwa durch NAS-Backup, wo sich angesichts der Datenmengen nicht mehr mit dem Drei-Zwei-Eins-Eins-Ansatz arbeiten lässt. Oder auch durch Backup-Archive auf Object Stores, was schon in den Bereich der Archivierung hineingeht.« Für manche Abteilungen könne es daher durchaus sinnvoll sein, ein WORM-Medium für bestimmte Aufgaben bereitzuhalten.
»Das klassische Backup – ein Server, der gesichert werden muss und von dessen Sicherung dann Kopien angelegt werden – gibt es so immer seltener«, skizziert Heckel die Entwicklung aus Sicht von Fast LTA. »Auch die Evolution der Backup-Software geht davon weg und dahin, dass immer weitere Bereiche umfasst und abgedeckt werden. Daher braucht man Systeme, die möglichst flexibel alle diese Aspekte abdecken.« Sein Fazit: »Tape ist ein sehr gutes Offline-Medium – aber eben auch nur ein Offline-Medium.«
Immutable Storage und die DSGVO
Eine Lanze für die Tape-Technologie bricht auch IT-Experte Haak. Er weist darauf hin, dass Deduplikation bei Immutable Storage angesichts der immensen Datenmengen zwar sinnvoll ist, allerdings auch zum Problem werden kann. Ein Beispiel sei, wenn aus Datenschutzgründen (Artikel 17 DSGVO) auf die zwar umständliche, aber doch vorhandene Möglichkeit zurückgegriffen werden müsse, Daten zu löschen. Dann entstünden »unter Umständen Beziehungen zwischen zu löschenden und nicht zu löschenden Objekten, die zu einem absoluten Chaos im gesamten System führen können«, warnt Haak. Er legt sich deshalb fest: »Dann ist Tape dank Air-Gap der einzig wahre Ansatz.«
»DSGVO ist natürlich ein Thema, aber keine Hürde für Immutability – nicht einmal für Hardware-WORM«, widerspricht Heckel. Fast LTA etwa sei auch als DSGVO-konform zertifiziert. »Immutability heißt ja derzeit nur, dass man mit normalen User- oder Admin-Rechten keine Löschung veranlassen kann«, verdeutlicht Heckel. »Es heißt aber nicht, dass man überhaupt nicht löschen kann. Es gibt dafür natürlich Möglichkeiten. Die DSGVO-Vorgaben sind daher durchaus erfüllbar.«
Der Aussage pflichtet Wester aus Sicht von Cristie Data bei. Zwar hole man im Rahmen eines speziellen Dienstes auch Datenträger bei Kunden ab und lagere die im Atomschutzbunker ein, »aber wer mehrmals Immutable Storage nimmt, erreicht auch eine hohe Sicherheit – also zum Beispiel ein Immutable Storage System von Rubrik von dessen Daten dann noch einmal eine Eins-zu-eins-Kopie in einem Immutable-S3-Storage, etwa von Cloudian, angelegt wird.«
Datenverlust muss man sich leisten können
Wolf hält vor allem aus Sicht mittelständischer Firmen andere Fragen für wichtig: »Kleinere Unternehmen brauchen etwas, was greifbarer ist und zu ihrem Kostenrahmen passt.« Um das zu finden, sollten sie sich nicht direkt mit der Technik beschäftigen, sondern vielmehr folgende Fragen stellen: Wie schaffe ich es, eine zweite Kopie meiner Backup-Daten zu schreiben. Wo kann ich die hinlegen und wie verwalte ich die? Was mache ich lokal, was bei einem Dienstleister? Und wie komme ich wieder an die Daten ran, wenn etwas passiert? Wieviel Datenverlust kann ich mir leisten?
Ein Backup-Konzept zu erstellen, das dann für 80 Prozent der Nutzer funktioniert, sei heute tatsächlich der falsche Ansatz, pflichtet Heckel bei. Vielmehr sei die individuelle Betrachtung wichtig, weil letztendlich die Nutzung darüber entscheide, was gebraucht werde. »Ich kann mir natürlich beliebig viele Offline-Kopien anlegen, aber die meisten Leute haben ja auch eine Beschränkung hinsichtlich der Kosten, des Aufwands und der Zeit«, sagt Heckel. Sein Fazit: »In den allermeisten Fällen gibt es mehr als einen Weg, der für den Kunden passend ist.« Kaum jemand starte zudem bei null. Daher hänge die Antwort auf neue Herausforderungen wie Ransomware auch immer davon ab, was als Basis schon vorhanden ist.
»Was will ich eigentlich?« ist auch aus Sicht von Wester die entscheidende Frage, die sich Unternehmen stellen sollten. Um die zu beantworten, müssten sie die Anforderungen ermitteln – vielleicht auch mit externer Hilfe. »Aus den Anforderungen heraus gilt es dann, ein Gesamtkonzept zu erstellen.« Pauschale Empfehlungen könne man eigentlich nicht mehr geben.
Dem schließt sich Wolf an: »Am besten kommt man voran, wenn man unterschiedliche Szenarien skizziert und deren Vor- und Nachteile abwägt.« Dazu empfiehlt sie, dass sich Firmen unter anderem fragen: Wie es jetzt aussieht, wo sie hin wollen, wo sie Schmerzen haben und was nicht läuft, ob Know-how fehlt und inwieweit sich Anforderungen geändert haben, seit das aktuelle Konzept entworfen wurde.
»Die Hersteller liegen eigentlich gar nicht so weit auseinander – wenn man es mit etwas Abstand betrachtet«, bilanziert auch IT-Leiter Riether. Das Storage-Medium sei gar nicht entscheidend. »Wichtig ist vielmehr, für sich Prozess zu definieren, die die Backup-Strategie erst möglich machen.« Gedanken über Skalierung, Datendurchsatz und Performance seien dann erst der zweite Schritt – und ohnehin in jedem Fall erforderlich.
Fast LTA: Offsite-Backup & Air-Gap ohne Tapes
Backup ist nur richtig hilfreich, wenn auch eine Offline-Kopie außerhalb des Unternehmens aufbewahrt wird. Magnetbänder gelten hier als anerkanntes Medium.
Für richtig praktikabel hält Hannes Heckel, Director Marketing bei FAST LTA, Tape allerdings nicht: »Wer ein modernes Backup aufsetzt, muss sich nicht unbedingt Tape mit reinholen, um die Vorteile eines Air-Gaps zu bekommen.« Vielmehr erhöhe man die Komplexität und den mechanischen Anteil. Air-Gap sei auch ohne Tape möglich und sogar mit mehr Sicherheit.
Cloudian: Air-Gap mit Immutable-Storage & S3 Object Lock
Backup ist nur richtig hilfreich, wenn auch eine Offline-Kopie außerhalb des Unternehmens aufbewahrt wird. Magnetbänder gelten hier als anerkanntes Medium. Mit Immutable-Storage erhalten speziell Objektspeicher eine Alternative, um sich vor Ransomware-Attacken zu schützen.
»Mit dem S3 Object Lock lässt sich Object-Storage in einen WORM-Speicher verwandeln«, erklärt Sascha Uhl, Object Storage Technologist bei Cloudian. Wie das genau funktioniert, erklärt er uns anhand einer Beispielumgebung mit Veeam.
