Air-Gapping von Speichermedien ist die effektivste Methode, um Daten gegen Manipulationen zu schützen. Um aber durchgängig für Immutability der zu speichernden Daten zu sorgen, ist geeignete Software-Unterstützung notwendig.

Offline-fähige Medien, die physisch jedem Zugriff entzogen werden können, sind ein wichtiger Baustein, um Immutablity zu gewährleisten. Zugleich muss aber auch der Weg der Daten von der Quelle bis zu den Medien sicher sein, das heißt, er darf keine Veränderungen zulassen. Nicht nur die Air-Gap fähigen Medien (wie z. B. Tape) müssen also Immutability sicherstellen, sondern auch die Software, die die Daten empfängt, aufbereitet und auf die Speichermedien schreibt.

Gerade mit Blick auf Ransomware ist ein durchgängiger Immutable Storage Ansatz zum lückenlosen Schutz der Daten notwendig. Dazu gibt es unterschiedlichen Ansätze, wobei jedoch einige Formen gewisse Risiken zulassen.

Speichermethoden und Immutability

Klassische Dateisysteme sind für Immutable-Storage nicht gut geeignet. Die Möglichkeit von Manipulationen kann hier nicht ausgeschlossen werden. Auch wenn die Daten am Ende auf Air-Gap fähigen Medien gespeichert werden, müssen Dateisysteme die empfangenen Daten zunächst zwischenspeichern. Dies wiederum ist mit der Gefahr von Veränderungen verbunden. Auch regelmäßige Snapshots lösen das Problem nicht. Immer bleiben zeitliche Lücken, in denen die Daten gefährdet sind.

Native Objektspeicher erfüllen alle Anforderungen an Immutable Storage. Mit S3 Object Lock bieten sie echte intrinsische Unveränderbarkeit der Daten. Die Voraussetzung dafür ist eine native Objektspeicher-Architektur.

• Die standardisierte S3-Schnittstelle ermöglicht die Speicherung großer Datenmengen. Gleichzeitig sorgt die zugrunde liegende Objektspeicher-Implementierung dafür, dass gespeicherte Daten nicht überschrieben oder gelöscht werden können – selbst dann, wenn eine Ransomware versucht, die API-Schicht zu umgehen.
• Es ist grundlegend, dass die S3-Schnittstelle nicht auf einer darunterliegenden Dateisystem-Architektur basiert. Ein solcher Ansatz würde Daten anfällig für Angriffe unterhalb der API-Ebene machen.
• Ein weiterer Pfeiler für Datenintegrität und Unveränderbarkeit ist die bei Objektspeichersystemen obligatorische Versionierung. Änderungen an Objekten führen zur Erstellung neuer Versionen, während die ursprünglichen Versionen unverändert erhalten bleiben.

Unveränderbarer Speicher mit S3-to-Tape

Die Kombination eines nativen Objektspeichers mit Air-Gap-Medien bietet Immutable-Storage im gesamten Prozess der Datenspeicherung.

Die S3-to-Tape-Lösung PoINT Archival Gateway ist konzipiert als nativer Objektspeicher für Wechselmedien, das heißt »removable« Speichermedien. Die Software schreibt die Daten direkt auf Air-Gap fähige Medien, wie Tape. Eine Zwischenspeicherung auf Festplatten ist nicht erforderlich. So realisiert PoINT Archival Gateway als nativer Objektspeicher Immutable-Storage in der gesamten Speicherprozesskette.

PoINT Archival Gateway setzt auf die S3-Schnittstelle und bewährte S3-Features, um die Daten langfristig sicher aufzubewahren.

• Die S3-Schnittstelle hat sich als Industriestandard etabliert. Sie wird von vielen Archivierungs- und Backup-Anwendungen unterstützt. PoINT Archival Gateway ist mit vielen dieser Produkte zertifiziert und u.a. mit Veeam Backup & Replication validiert.
• Mit der S3-Schnittstelle und der S3-Objekt-Lock-Unterstützung bietet die Lösung inhärente Immutability durch die zugrunde liegende Architektur.
• PoINT Archival Gateway bietet S3-Versionierung und unterstützt die S3 Lifecycle Policies. So können gesetzliche Vorschriften und Aufbewahrungsrichtlinien erfüllt werden.

Das in PoINT Archival Gateway integrierte Erasure-Coding sorgt für zusätzliche Datensicherheit, indem die Daten redundant auf mehrere Medien verteilt werden.

Die Software unterstützt alle namhaften Tape-Library-Hersteller, das LTO- ebenso wie das IBM 3592 Tape-Format und WORM-Tapes. So wird ein Vendor Lock-In vermieden.

Schneller Datenzugriff trotz Air-Gap

Der Tape-basierte, unveränderbare Objektspeicher mit Air-Gap hat zahlreiche Einsatzfelder. In einigen Fällen muss aber der schnelle und direkte Datenzugriff gewährleistet bleiben – zum Beispiel im Rahmen eines Active Archive, oder wenn die auf Tape gesicherten Daten zu Recovery-Zwecken möglichst rasch wiederhergestellt werden müssen.

Um in diesen Fällen trotzdem von der physischen Trennung zu profitieren, unterstützt PoINT Archival Gateway die automatische Replikation. Dabei verbleibt ein Tape in der Library, während das Replikat exportiert und offline aufbewahrt wird.

Immutable-Backup auf Tape und Snapshot-Restore

Viele Anwender nutzen PoINT Archival Gateway als Zielspeicher für ein unveränderbares Backup auf Tape. Dabei setzen sie auf das ergänzende Produkt des Herstellers – den PoINT Data Replicator. PoINT Data Replicator ist eine Software-Lösung, mit der Immutable-Backups von datei- und objektbasierten Quellsystemen (z. B. NAS und OBS) erstellt werden können. Die Software repliziert Daten auf ein S3-fähiges Ziel, wie den Tape-basierten Objektspeicher PoINT Archival Gateway.

• Der Backup-Prozess kann mittels individueller Filter auch auf bestimmte Daten beschränkt werden.
• Für ein kontinuierliches Backup unterstützt der PoINT Data Replicator auch Queuing-Services wie Apache Kafka und AWS SQS. So werden lange Scan-Zeiten auf dem Quellsystem vermieden.

Zusätzliche Flexibilität und Sicherheit bietet PoINT Data Replicator bei der Wiederherstellung von Daten. Mit der Snapshot Restore Funktion können die gesicherten Daten auf Basis eines auswählbaren Datums wiederhergestellt werden. So kann beispielsweise nach einem Ransomware-Angriff ein gezieltes Recovery ausgeführt werden. PoINT Data Replicator ermöglicht damit die schnelle Rückkehr zu einem nicht infizierten Datenbestand.

PoINT Data Replicator erstellt Immutable-Backups und repliziert die Daten auf ein S3-fähiges Ziel, wie den Tape-basierten Objektspeicher PoINT Archival Gateway.

Fazit: Air-Gap und Immutability schützen vor Datenverlust & -Manipulation

Air-Gap und Immutability sind wirksame Konzepte, um wertvolle Daten vor Manipulation und Verlust zu schützen und um Backup-Strategien zu stärken. Ein effizientes Zusammenspiel von Storage-Software und Speichermedien ist grundlegend, um echte Immutability zu gewährleisten. Ein nativer Objektspeicher für Wechselmedien – wie die S3-to-Tape Lösung PoINT Archival Gateway – bewerkstelligt zuverlässig die geforderte Unveränderbarkeit über die gesamte Speicherprozesskette bis zum Air-Gap fähigen Speichermedium.