IBM Safeguarded Copy: Schneller Datenzugriff nach Cyberattacke
Im Insider-Talk verraten die Storage-Experten Kurt Gerecke und Martin Haußmann, welche aktuellen Risiken die IT-Sicherheit bedrohen und wie »IBM FlashSystem«-Anwender ihre Daten optimal schützen.
Wie hat sich die Sicherheitslage für Unternehmen in den vergangenen Monaten verändert?
Martin Haußmann, Tech DataHaußmann: Die professionelle Hackerszene greift zu immer raffinierteren Werkzeugen. Bis vor kurzem standen noch Social-Engineering oder der tückische Aufbau von Zugriffssperren im Fokus, jetzt ist es die großflächige Zerstörung von Daten. Die zunehmende Verbreitung von Ransomware wird zum Geschäftsmodell, das für immer mehr Unternehmen existenzbedrohende Ausmaße annimmt. Hier gilt der erste Angriff oftmals den Backup-Daten, die verschlüsselt und damit unbrauchbar werden. Erst im zweiten Schritt folgen die Primärspeicherdaten.
Welche aktuellen Compliance-Vorschriften sprechen für einen zusätzlichen Schutz vor Datenverlusten?
Kurt Gerecke, für Tech DataGerecke: Die Daten im Compliance-Umfeld unterliegen meistens strengen Archivierungsvorgaben. Da diese Daten genauso angreifbar sind wie Backups, sollte man sie mit allen verfügbaren Mitteln abschotten. Damit die Backups im Fall eines Angriffs nicht mitverschlüsselt werden können, muss die Sicherung offline getrennt von den übrigen Systemen vorgenommen werden. Dazu ein Beispiel aus dem KI-Umfeld: Daten, die zum Training neuronaler Netze Verwendung finden, müssen sehr lange vorgehalten werden. Erkennt der Algorithmus Fehler oder die Notwendigkeit von Verbesserungen, muss man jederzeit auf die Trainingsdaten zugreifen können. Für Angreifer schafft dieses Szenario optimale Voraussetzungen. Schließlich soll der trainierte Algorithmus für das Unternehmen ja auch Geld verdienen. Wirklich langfristigen Datenschutz bieten nur Offline-Datenträger wie die Tape-Technologie.
Warum reichen die bisherigen Sicherheits-Features bei den Flash-Systemen, für die eine Datenverfügbarkeit von 99,9999 Prozent garantiert wird, nicht aus?
Haußmann: Die Sicherheit und Verfügbarkeit der Speichersysteme ist nur das Eine. Hier bieten Funktionen wie Daten- oder Mehrfachspiegelung, unterschiedliche Disaster-Recovery-Optionen, HyperSwap und Stretched Cluster-Konfigurationen das Optimum. Genauso wichtig ist jedoch der Schutz der Daten vor Attacken von außen, der Datenzugriff nicht autorisierter Personen, der Schutz vor Benutzerfehlern und anderes mehr.
Dieser Schutz wird durch eine Verschlüsselung der Daten, Zugriffskontrollen und Funktionalitäten wie Safeguarded Copy (SGC) sichergestellt. Dazu kommt noch ein dritter Punkt: Die IT-Umgebungen vieler Firmen wurden in den letzten Jahren immer komplexer und anfälliger, beispielsweise durch den vermehrten Einsatz von Cloud-Services oder mobilen Endgeräten. Dadurch sind in den meisten Geschäftsfeldern neue Regularien entstanden, denen Rechnung getragen werden muss.
Wie schützt Safeguarded Copy vor einer Datenmanipulation oder -löschung?
IBM Flashsystem-Speicher kommen ab sofort mit Safeguarded Copy (Quelle: IBM).Gerecke: Die neue Software-Funktion erstellt automatisch Point-in-Time-Kopien (PiT) in einem Datensafe in dedizierten Storage-Pools innerhalb der Speichersysteme. Dort werden die Daten wie ein WORM-Backup (Write Once Read Many) behandelt. Sie können also nicht überschrieben, verändert oder gelesen werden, sondern stehen ausschließlich für Recovery-Zwecke zur Verfügung. Anwendungen haben keinerlei Zugriffsmöglichkeit auf diese Daten. Der Vorteil ist, dass sich ein Restore im primären Speicher sehr schnell und sicher durchführen lässt.
Haußmann: Bei SGC handelt es sich um einen Air-Gap mit logischer Trennung zwischen Computer und Netzwerk, während beim Offline-Datenträger Tape ein physikalischer Air-Gap durch die Auslagerung von Kassetten entsteht. Unternehmen sollten deshalb niemals auf ein Tape-Backup verzichten, denn nur Kopien auf einem physischen Datenträger bieten ultimativen Schutz, wenn nach einem Cyberangriff alle Online-Systeme zerstört sein sollten.
Wieviel Zeit vergeht, bis manipulierte oder gelöschte Daten wieder verfügbar sind?
Haußmann: Safeguarded Copy ist für alle Anwender interessant, die nach einer Cyberattacke schnell wieder mit ihren Daten arbeiten müssen und nicht mehrere Stunden auf die Wiederherstellung warten können. Safeguarded Copy nutzt die Flashcopy-Technologie. Daher wird die längste Zeit zum Finden des letzten »sauberen« Datenbestandes benötigt. Das Zurückspringen beim Recovery von einem Sicherungsstand auf den davorliegenden erfolgt sehr schnell, sodass für das Einspielen des Backups in einen Recovery-Bereich praktisch keine Wartezeit entsteht. Das Wiederherstellen an sich kann dann mit Knopfdruck erreicht werden.
Wie funktioniert die SGC-Datensicherung im Business-Alltag?
Gerecke: Wir empfehlen, die Software-Funktion mit dem IBM Copy Service Manager (CSM) einzusetzen, damit Backup und Restore automatisiert werden können. Der CSM bietet die Möglichkeit, definierte SGC-Policies auszuführen und steuert die Software auch über mehrere Storage-Systeme hinweg. CSM ist in IBM Spectrum Control, dem VSC, der Spectrum Storage Suite oder als Stand-Alone-Lösung verfügbar.
Haußmann: Um den verheerenden Folgen von Ransomware-Angriffen vorzubeugen, ist es sinnvoll, Safeguarded Copy periodisch aufzusetzen, etwa alle vier bis sechs Stunden. Tritt der Ernstfall ein, kann man dadurch auf die Kopie zurückgreifen, die einen konsistenten Datenbestand widerspiegelt, um einen kurzfristigen Restore durchzuführen und schnell wieder online zu gehen. SGC ermöglicht die Festlegung der Intervalle, in denen Kopien erzeugt werden sollen. Zudem kann bestimmt werden, wie lange die Kopien aufbewahrt werden sollen – in der Regel zwei bis fünf Tage. Alle Abstände sind flexibel wählbar.
Für welche Flash-Systeme ist SGC erhältlich und was kostet die Software?
Gerecke: Safeguarded Copy ist integraler Bestandteil der Software IBM Spectrum Virtualize ab Release 8.4.2 und ohne Aufpreis in allen Umgebungen mit dieser Version einsetzbar. Abhängig von der Implementierung und Verwendung können allerdings Kosten entstehen – etwa durch den IBM Copy Service Manager für die automatische Ausführung definierter SGC-Policies.
Haußmann: Eine kleine Einschränkung gibt es noch: Safeguarded Copy steht nur für die IBM Speichersysteme zur Verfügung, die mit NVMe-Modulen bestückt werden können. Dies sind die FlashSystem-Modelle 5100, 5200, 7200 und 9200. Die Flash-Systeme 5010, 5015, 5030 und 5035 werden nicht unterstützt.
Welche Rolle spielt das Security-Information and Event-Management-Tool QRadar?
Gerecke: QRadar arbeitet optimal mit Safeguarded Copy zusammen. Das Tool ist ideal für das Gefahrenmanagement und analysiert das Benutzerverhalten permanent auf Unregelmäßigkeiten. Anomalien und nicht autorisierte Zugriffsaktivitäten im Netzwerk werden erkannt und eliminiert. Innerhalb der Automation und Orchestrierung bietet der IBM QRadar Advisor mit Watson (inklusive MITRE ATT&CK) ein Optimum an Sicherheit. Im Angriffsfall startet die Software proaktiv Safeguarded Copy, um eine geschützte Backup-Kopie zu erstellen.
Welche Anwendungen sind für den SGC-Einsatz besonders interessant?
Haußmann: Hier sind alle Anwendungen oder Daten zu nennen, die im Falle einer Nichtverfügbarkeit hohe Kosten oder gar den Stillstand des gesamten Betriebs verursachen können. Im Speziellen bietet SGC einen zusätzlichen Schutz vor Ransomware und allen anderen Cyberangriffen wie Phishing, Malware, Trojanern oder Eavesdropping.
Was ist der USP von Safeguarded Copy im Vergleich zu den Wettbewerbern?
Gerecke: IBM bietet dem Kunden eine »Best of Class«-Implementierung: Im Mainframe-Umfeld entwickelt und in die Software Spectrum Virtualize integriert, sind wichtige Funktionalitäten wie der IBM Copy Service Manager für die Automation enthalten. Mit der Integration von Security-Tools wie QRadar ist Safeguarded Copy die ideale Ergänzung des Modern Data Protection-Konzepts und der Security-Strategie von IBM.
Haußmann: Dazu kommt, dass die PiT-Kopien auf der Basis regelbasierter Backups vom Anwender selbst konfiguriert werden können. Ein weiterer Pluspunkt gegenüber dem Wettbewerb ist, dass SGC ohne Einschränkungen alle Arten von Daten unterstützt. Andere Anbieter stellen ihre Software-Lösungen nur für den NAS-Bereich bereit und häufig nicht im HA-Modus oder für Funktionalitäten wie HyperSwap. Einen kleinen Wermutstropfen gibt es aber: Aktuell unterstützt Safeguarded Copy noch keine SVC Stretched-Cluster-Konfigurationen.
Tech Data GmbH & Co, OHG
Kistlerhofstraße 75
81379 München
Tel. + 49 89 47 00 – 30 27
White-Paper-Download: Modern Data Protection
Mehr Hintergrundinfos zum Thema finden sich auf dem Tech Data StorageHub.
Die Online-Plattform informiert mit Artikeln, Webcasts und Podcasts über aktuelle Storage-Trends und bietet Technology Guides zum kostenlosen Download an.