Back-up and Recovery
Neue Anforderungen an B&R-Lösungen
Mit der steigenden Zahl an Cyberangriffen müssen Unternehmen auch ihre Back-up- und Wiederherstellungslösungen überdenken. Diese sollten nämlich hybride Infrastrukturen unterstützen und vor allem selbst vor Cyberattacken geschützt sein.
In Zeiten zunehmender Bedrohung durch kommerziell motivierte oder auch staatlich gesteuerte Cyberkriminelle ist eine Standardlösung für Back-up & Recovery (B&R) oft nicht mehr ausreichend. Cyberattacken mit Ransomware oder anderer Malware, Datenlecks und gezielte Angriffe auf die IT-Infrastruktur können schwere Schäden verursachen, die viele gängige B&R-Lösungen nicht verhindern können. Richtig ausgewählt und implementiert können B&R-Lösungen dennoch ihre Rolle als ultimative Sicherheitsmaßnahme spielen. Dazu müssen sie jedoch eine Reihe von Anforderungen erfüllen, die noch vor wenigen Jahren verzichtbar waren.
Unterstützung unterschiedlicher und hybrider Infrastrukturarchitekturen
Unternehmen betreiben häufig komplexe IT-Infrastrukturen, die eine Kombination aus eigenen Rechenzentren, virtuellen Umgebungen, Private Clouds, Public Clouds und Edge Computing umfassen. Eine effektive B&R-Lösung muss in der Lage sein, diese hybriden und heterogenen Umgebungen nahtlos zu unterstützen. Dabei spielt es keine Rolle, ob die Daten im eigenen Rechenzentrum oder in der Cloud gespeichert sind. Entscheidend für eine konsistente Datensicherung und -wiederherstellung sind einheitliche Back-up- und Wiederherstellungsmöglichkeiten über alle Plattformen hinweg.
Insbesondere Cloud-Umgebungen spielen in der heutigen IT eine zentrale Rolle. Daher ist es wichtig, dass eine B&R-Lösung so weit wie möglich mit den meistgenutzten Cloud Services integriert ist. Dazu zählen beispielsweise Microsoft Azure, AWS Cloud, Google Cloud Platform und Oracle Cloud Infrastructure. Die Integration sollte dabei so tief wie möglich reichen, um die volle Funktionalität der Cloud zu gewährleisten. Ein Beispiel hierfür ist die Unterstützung von Microsoft Azure Restore Points. Eine solche Unterstützung stellt sicher, dass Anwendungen Daten auf verschiedenen Laufwerken nutzen können und senkt die Ausgaben, da kostengünstigere Speichermedien für Back-ups genutzt werden können. Ähnliches gilt für die Integration mit Amazon FSx for NetApp. Mit einer solchen Integration steht Unternehmen für Amazon Web Services die gleiche regelbasierte Sicherung zur Verfügung, die NetApp ONTAP für Daten im eigenen Rechenzentrum bietet.
Einfaches und zentrales Management
Mit zunehmender Datenmenge und Komplexität der IT-Infrastruktur wird ein einfaches und zentrales Management der B&R-Prozesse immer wichtiger. Eine leistungsfähige Lösung sollte eine benutzerfreundliche Management-Oberfläche bieten, die es den IT-Verantwortlichen ermöglicht, alle B&R-Prozesse von einem zentralen Punkt aus zu steuern und zu überwachen. Ein effizientes Management spart Zeit und Ressourcen, reduziert das Fehlerrisiko und ermöglicht eine schnelle Reaktion auf potenzielle Bedrohungen oder Notfälle. Ist das Management der B&R-Lösung zu aufwendig oder zu komplex oder setzt ein Unternehmen sogar unterschiedliche B&R Lösungen ein, weil keine der gekauften Lösungen alle Applikationen und Plattformen unterstützt, schleichen sich Konfigurationsfehler ein. Die Folge: Die Sicherheit, die B&R bietet, ist trügerisch und die Investition in das Produkt oder die Produkte ist letztlich eine Fehlinvestition.
Aktiver Schutz der gesicherten Daten vor Cyberangriffen
Herkömmliche B&R-Lösungen können in manchen Fällen selbst anfällig für Cyberangriffe sein, da sie nicht ausreichend gegen Manipulation oder Löschung von Daten geschützt sind. Die rechtzeitige Erkennung von Bedrohungen ist entscheidend, um angemessen reagieren und Datenverlust verhindern zu können. Eine B&R-Lösung sollte daher über Sicherheitsmechanismen verfügen, die eine aktive Überwachung und Erkennung verdächtiger Aktivitäten ermöglichen. Durch die Integration von Security Information and Event Management (SIEM)-Konnektoren können Sicherheitswarnungen, Ereignisse und Auditdaten ausgetauscht und verdächtige Aktivitäten frühzeitig erkannt werden.
Entscheidend ist dabei die Methode, mit der Bedrohungen und Eindringlinge im Unternehmensnetzwerk erkannt werden. Lange Zeit waren sogenannte Honey Pots das Mittel der Wahl. Ein Honigtopf ist wie eine Attrappe eines potenziellen Ziels für Cyberkriminelle. Dabei handelt es sich um ein Programm, das die Netzwerkdienste eines Computers, eines ganzen Computernetzwerks oder das Verhalten eines Benutzers simuliert. Der Honigtopf soll Angreifer davon überzeugen, dass sie Zugriff auf ein laufendes System haben und sie dazu verleiten, Zeit in dieser kontrollierten Umgebung zu verbringen. Ein solcher Lockvogel soll einerseits die Cyberkriminellen von ihren eigentlichen Zielen ablenken. Andererseits kann das System einen Eindringling erkennen, sein Verhalten aufzeichnen und seine Techniken und Fähigkeiten auswerten. Allerdings sind Honigtöpfe sehr aufwändig. Ihre Bereitstellung und Wartung kann erhebliche Ressourcen in Anspruch nehmen, insbesondere wenn mehrere Attrappen eingesetzt werden, um ein breiteres Spektrum von Angriffen zu erkennen und abzufangen. Um ihren Zweck zu erfüllen, müssen diese Attrappen so vielfältig sein wie die Fantasie und die Angriffsmethoden der Kriminellen. Der entsprechende Ressourceneinsatz ist mit erheblichen Kosten verbunden. Hinzu kommen häufig Lizenzkosten, da auch die Software der Honigtöpfe lizenziert werden muss. In dieser Hinsicht ähneln sie beispielsweise virtuellen Maschinen. Die Tatsache, dass Honigtöpfe häufig aktualisiert werden müssen, um nicht von Cyberkriminellen als Falle erkannt zu werden, treibt den administrativen Aufwand und die Kosten weiter in die Höhe.
Andere B&R-Lösungen haben den Grundgedanken der Honigtöpfe weiterentwickelt und bieten Unternehmen die Möglichkeit, vergleichbare Attrappen zu erstellen, allerdings mit deutlich weniger Aufwand und Kosten. Mit einer solchen Lösung kann die IT-Abteilung per Mausklick Hunderte oder Tausende sogenannter „Sensoren“ aktivieren und so konfigurieren, dass sie für einen Angreifer nicht von einem echten Element der IT-Infrastruktur zu unterscheiden sind. Das gilt für herkömmliche Komponenten der IT-Infrastruktur wie Server oder Switches ebenso wie für Datenbank- und Back-up-Server, virtuelle Maschinen und Container. Diese Sensoren lassen sich bis auf das Niveau bestimmter Modelle bekannter Hersteller spezifizieren. Darüber hinaus gibt es branchenspezifische Sensoren, zum Beispiel für die Finanz- und Produktionsbranche sowie den Gesundheitssektor. Die Sensoren sind dabei nur für Angreifer sichtbar, nicht für legitime Nutzer. Sobald Kriminelle mit diesen Sensoren interagieren, lösen sie einen Alarm aus, sodass IT-Sicherheitsverantwortliche eingreifen können.
Um in hybriden IT-Infrastrukturen eingesetzt werden zu können, müssen die Sensoren sowohl für den Einsatz im eigenen Rechenzentrum als auch in verschiedenen Cloud-Umgebungen konfigurierbar sein. Darüber hinaus ist die Integration mit marktgängigen, spezialisierten SIEM-Lösungen erforderlich, die den Austausch von Alarm-, Ereignis- und Auditdaten zwischen den Plattformen über Webhooks-APIs oder Syslog ermöglichen. Die Verwendung von Standardprotokollen kann die Interoperabilität mit verschiedenen SIEM- oder Event-Management-Systemen gewährleisten.
Uli Simon, Director Sales Engineering, Commvault
Lesen Sie mehr zum Thema
