Backup von NAS-Systemen für stärkere Cyber Resilience: Wie Sie sich stärker vor Angriffen schützen
In heutigen Zeiten sind Network Attached Storage-Systeme (NAS) der Standard für unstrukturierte Daten, die aufgrund ihrer Eigenschaften, u.a. Format und Größe, nicht in Datentabellen passen und zudem verteilt sind, sei es als Projektlaufwerke, Home Shares oder als Ziel für Log- und Telemetriedaten.
Vorteile von NAS
Der Vorteil der NAS-Systeme ist, dass sie normalerweise als Scale Out-Systeme dynamisch erweiterbar sind und durch das zugrundeliegende Betriebssystem viele Funktionalitäten von Enterprise Storage-Systemen implementieren.
Hierzu gehören unter anderem:
- Snapshots in kurzen Intervallen (z. B. alle 10 Minuten)
- Replikation
- Mirroring
- Tiering
- Immutability
- Versionierung
- Vaulting
- Corruption Detection
Was NAS kann – und wo Schwachstellen liegen
NAS-Systeme erwecken in ihren oben genannten Funktionalitäten den Eindruck, ein Backup überflüssig zu machen. Aus Sicht der Backup-Architektur wird ein Backup durch diese Eigenschaften stärker in den Hintergrund gedrängt, ist jedoch keineswegs durch NAS-Technologien zu ersetzen.
Früher diente ein Backup primär zur Absicherung gegen Datenverlust, Korruption oder Benutzerfehlern. Datenverlust durch Hardware-Ausfall können NAS-Systeme durch die häufig vorhandene Redundanz (mehrere Nodes mit mehreren Kopien auf verteilten Festplatten) heute nahezu ausschließen.
Datenkorruption, durch z. B. fehlerhafte Software oder Angriffe über Benutzer, sind deutlich schwerer zu verhindern, da bei Replikation, Mirroring und Vaulting-Technologien auf Storage-Ebene keine Inhaltsverifikation stattfindet und somit Korruptionen auf alle Ebenen dupliziert werden.
Ähnlich verhält es sich mit Benutzerfehlern: Das NAS-System kann keine Prüfung durchführen, ob das Löschen oder Verschieben eines Ordners gewollt oder ungewollt passiert. Ebenso verhält es sich beim Verändern von Metadaten.
Zusätzlich ist auch das Vorhalten von Snapshots (Retention) und ihre Unveränderbarkeit ein Thema, welches effizienter im Zusammenspiel von NAS- und Backup-System gelöst werden kann.
Wie Sie aus NAS das stärkste an (Daten-)Sicherheit herausholen
Ein 3-Tier-Modell aus engmaschigen, lokalen Snapshots (Tier 1), periodischen Snapshots auf einem gespiegelten Cluster in einem anderen Rechenzentrum (Tier 2) und einer externen Datensicherung auf das Backup System (Tier 3) vereinen beste Verfügbarkeit, Kosteneffizienz und maximale Sicherheit. Denn nur ein Backup auf ein externes System ist ein echter Medienbruch durch Erzeugung einer unabhängigen Datenkopie. Unabhängig meint hier vor allem, dass die Daten komplett eingelesen und mit anderen Technologien zur Komprimierung, Deduplizierung, Replikation auf ein entferntes Medium geschrieben werden.
Der Verzicht dieses Schrittes stellt ein Risiko insofern dar, dass man einem Vendor (Hersteller des NAS-Systems) und einem Administrator (NAS-Admin) alleinig vertraut. In diesem Fall kann ein Software Bug, erfolgreicher Angriff auf die Firmware oder Kompromittierung eines Admin-Kontos sowohl die Produktionsdaten, wie auch alle vorhandenen Datensicherungen zerstören.
Somit wird ein Angriff auf das NAS-System zu einem absolut lohnenswerten Ziel, da man hier in einer einzelnen Attacke großen irreversiblen Schaden anrichten kann.
Ein besserer Zero Trust-Ansatz
Mit einem Zero Trust-Ansatz haben Sie Vorteile, die auch organisatorisch hinsichtlich der Rollen und Berichtigungen zu beachten sind, wie NAS-Systeme administriert werden.
Wie es zumeist in der Praxis läuft:
- Alle Verantwortung für Primär und „Backup“ Daten beim NAS Admin.
- Außerdem sind die NAS Snapshots keine unabhängige Datenkopie, also eigentlich kein Backup.
Stattdessen folgendes Vorgehen hierzu im Vergleich mit Zero Trust-Ansatz:
- Die NAS-Administration wird vom File Services-Team durchgeführt, mit hohen Rechten auf den Daten im NAS-System und keinen Rechten bei der Verwaltung des NAS-Systems (Snapshot/Mirroring und weitere Einstellungen).
- Die NAS-Administration wird von einem eigenen File Storage-Team durchgeführt, die keine Rechte auf die File Services haben.
- Die Backups werden vom Backup-Team administriert, welche wiederum keine Berechtigungen auf der gesamten NAS-Infrastruktur haben.
Somit müssen drei Parteien erfolgreich angegriffen werden, um Daten irreversibel zu löschen.
Fazit: Kein „Entweder-oder“
Die Cyber Resilience erhöht sich signifikant, indem die Stärken des NAS-System genutzt und das Backup im Zusammenspiel darauf abgestimmt wird.
Empalis Consulting – Cyberresiliente Data Protection
Seit 1989 hat die Empalis Consulting ihre Geschäftsbereiche Beratung, Training und Managed Service zu kompakten Leistungspaketen entwickelt. Effiziente Beratung, hervorragende Qualität und zukunftsorientierte Partnerschaften sind unsere zentralen Leitplanken.
Unsere Data Protection-Lösungen zeichnen sich durch jahrzehntelange Praxiserfahrung zum Aufbau von mehr Cyber Resilience in den Backup-Architekturen unserer Kunden aus. Sie erhalten bei uns Expertise und Know-how für
• Modernen Datensicherungskonzepte
• Ransomware-Vorsorge
• Disaster Recovery
• Snapshot Technologien
• Cloud-Storage und Backup as a Service.
• Container Technologien und Orchestration in Linux Umfeld
VIKING Backup
Strategieberatung und Lösungen aus einer Hand: Mit der VIKING-Strategieberatung optimieren und verschlanken wir Ihre Backup-Architekturen und -Prozesse. Als Auftakt zur VIKING Strategieentwicklung empfehlen wir unseren Startworkshop Empalis Health Check, um auf dieser Erkenntnisbasis weitere Schritte mit Ihnen zu besprechen. Wir beraten und unterstützen Sie in der Planung und Umsetzung bis hin zum Betrieb – und bieten auch hier mit unserem Managed Service wählbare Unterstützungsmodule.
VIKING bietet Ihnen von der Backup-Komplettlösung VIKING Backup Guardian bis hin zur modularen Sofort-Lösung VIKING BaaS und VIKING 365 für Microsoft 365-Backup sowie der VIKING Appliance als einfach zu bedienende, beliebig skalierbare Plug-and-Play-Lösung für Sie passende, individuell konfigurierbare Wege zu mehr Cyber Resilience in cyberunsicheren Zeiten.
Managed Service Angebote
Empalis Service Plus (ESPlus) steht für ganzheitliche Lösungen und auf die Ansprüche unserer Kunden angepasste Leistungen. Wir optimieren und orchestrieren für Sie Software, Hardware, Konzepte, Schulung und Betrieb. Um Investitionssicherheit zu garantieren, integrieren wir auf Wunsch vorhandene Bestandteile Ihrer Infrastruktur in unseren Managed Service, je nach SLA flexibel wählbar von Monitoring only bis full managed. Mit unserem optionalen 24×7-Support und Betrieb können sich unsere Kunden jederzeit und gerade in kritischen Situationen auf uns verlassen.
Ihre Experten in Automation
Anwendern im Bereich System z/OS und Open Systems bieten wir Beratung und Unterstützung bei Entwicklung, Administration und Betrieb in den Themen rund um Linux, Containerisierung, Automation und Virtualisierungstechnologien.
Win-win: Unsere Kunden und Partnerschaften
Unsere Kunden aus dem Enterprise-Umfeld und dem Mittelstand profitieren von unseren langjährig ausgebauten Kooperationen mit Marktführern, darunter Veeam, IBM, Cohesity, Wasabi, Microsoft, Predatar, Linux u.v.w. Mit heute auch eigenen Lösungen, die diese miteinander und in unserer eigenen Cloud durch sinnvolle Architekturen verbinden, bieten wir Ihnen ein noch breiteres Experten-Netzwerk für Ihren Projekterfolg.
Neben Technologie-Herstellern pflegen wir auch Partnerschaften mit anderen Beratungshäusern, Organisationen, Trainingsanbietern und Hochschulen. Wir beteiligen uns darüber hinaus an Entwickler-Labs namhafter Hersteller und testen auch im eigenen Lab Technologien am Markt. Auch ein Argument für Interessenten auf der Suche nach neuen beruflichen Wegen, sich bei der Empalis zu bewerben.
Denn Perfektion geht nur gemeinsam.
Empalis als Arbeitgeber
Wir arbeiten selbstbestimmt und handeln als Team. Seit einigen Jahren werden wir als kununu Top Company [LINK] ausgezeichnet – auf Basis der Bewertungen unserer Mitarbeitenden und BewerberInnen. Für uns zählt eine Unternehmenskultur, die individuelle Entwicklung und gemeinschaftliches Handeln ausbalanciert – wobei wir Wert auf Eigenständigkeit und eine proaktive Haltung legen. Rund 40 Köpfe arbeiten bei Empalis –unterstützen sich gegenseitig und sorgen gemeinsam für eine Atmosphäre der Motivation, Selbstbestimmtheit und Freiheit sowie Sicherheit.
Empalis Consulting GmbH
Wankelstraße 14
70563 Stuttgart
Telefon: +49 (711) 46928-260
Telefax: +49 (711) 46928-239
https://www.empalis.de/
CEO
Telefon: +49 (711) 46928260
E-Mail: alina.mot@empalis.com