Scality Artesca 2.0 im Test
Object-Storage-Lösung mit Ransomware-Schutz
Die softwarebasierende Object-Storage-Lösung Artesca von Scality eignet sich aufgrund des integrierten Ransomware-Schutzes gut als Backup-Speicherplattform. Artesca nutzt dazu die Amazon-S3-Object-Lock-Fähigkeiten sowie die neuen SOSAPI- und Direct-to-Object-Funktionen von Veeam v12.
Im Zusammenspiel musste Artesca zeigen, ob es sich als zusätzliche Verteidigungslinie bewähren kann.
Bei einer Ransomware-Attacke bildet das Backup die letzte Verteidigungslinie, um die Unternehmensdaten zu schützen. Einen sehr guten Schutz vor einer Verschlüsselung durch Ransomware bieten Object-Storage-Systeme, die Daten im unveränderlichen WORM-Format (Write Once Read Many) speichern können. Der Speichersystem-Spezialist Scality hat in die softwarebasierende Object-Storage-Lösung Artesca einen Ransomware-Schutz integriert, der nativen Support für die Amazon-S3-Object-Lock-Funktionen bietet. connect professional hat Artesca zusammen mit der Backup-Lösung von Veeam getestet.
Der Einsatzbereich von Artesca beschränkt sich nicht auf die Speicherung von Backup-Daten. Es handelt sich um eine Kubernetes-Lösung, die auch als primäres Speichersystem für Produktivdaten nutzbar ist. Artesca ist für Testzwecke als virtuelle Appliance im OVA-Format sowie für den Produktiveinsatz als Softwarelösung für x86-Hardware-Server mit einem gehärteten Linux-Betriebssystem erhältlich.
Die Einstiegslösung besteht aus einem Single-Node-System und lässt sich durch Hinzufügen weiterer Nodes einfach erweitern. Artesca unterstützt derzeit Cluster mit bis zu sechs Knoten und 5 PByte nutzbarer Speicherkapazität. Eine Hochverfügbarkeit, die vor dem Ausfall eines kompletten Nodes schützt, ist ab einer Cluster-Größe von initial mindestens drei Nodes gegeben. Durch die Kombination von HDD- und SSD-Laufwerken kann Artesca unterschiedliche An-forderungen an Leistung, Lastverteilung und Speicherkapazitäten erfüllen.
Die Kommunikation erfolgt sicher über HTTPS/TLS, und die Daten werden ebenfalls verschlüsselt gespeichert (AES 256). Artesca kann innerhalb der Backup-Plattform sowohl den Performance-Tier als auch den Capacity-Tier bedienen. Die Unveränderlichkeit der Backup-Daten stellen die S3-Object-Lock-Funktionen sicher. Eine zusätzliche Datenkopie lässt sich per asynchroner Replikation auf ein Artesca-System an einem anderen Standort oder per Transfer zu einem S3-Cloud-Provider übertragen.
Durch die neue Direct-to-Object-Funktion von Veeam v12 lässt sich Artesca als primäres S3-Backup-Repository konfigurieren. Dieses Feature ermöglicht nun auch mit Object-Storage-Systemen kurze RPO- und RTO-Zeiten.Um eine möglichst hohe Leistung des Speichersystems zu erreichen, hat Scality die S3-Metadatenbank von Artesca optimiert. Sie unterstützt All-Flash-Systeme mit NVMe-Anbindung und QLC-SSDs sowie Server-Konfigurationen mit einem Mix aus SSD- und HDD-Laufwerken. Vor Datenverlusten der auf den Disks gespeicherten Backup-Daten schützt ein Erasure Coding mit Self-Healing-Funktionen. Über die Webkonsole und über APIs stellt Artesca Funktionen für das Monitoring und die Kapazitätsplanung bereit. Die Lösung unterstützt zudem MFA (Multi-Faktor-Authentifizierung) und ist mandantenfähig. Neben Veeam lassen sich auch andere Backup-Lösungen zum Beispiel von Commvault oder Rubrik einsetzen.
Einfache Installation der Appliance
Für den Test luden wir die Artesca-Version 2.0.4 im OVA-Format von der Scality-Webseite herunter. Die VMware-Umgebung muss mindestens vSphere 7 unterstützen. Wir importierten das OVA-Template über den vCenter-8-Server unserer Testumgebung. Die Artesca-VM wird standardmäßig mit zwölf vCPUs und 64 GByte RAM in-stalliert. Die Standardregeln für die lokale Firewall konfiguriert das Setup automatisch. Um den S3-Speicher zu nutzen, mussten wir in der Webkonsole zunächst einen neuen Benutzer anlegen, mit dem wir dann die S3-Buckets erstellen konnten, in denen die Daten gespeichert sind. Die Benutzerverwaltung von Artesca lässt sich mit Active Directory und LDAP sowie Identity-Provider-Anwendungen integrieren. Dazu ist ein separates Tool erforderlich, künftig soll dies auch direkt über die Artesca-Webkonsole laufen.
Wir legten in Artesca mehrere neue Buckets an, die wir als S3-Speicher für Veeam und als Object-Lock-Storage für direkt von unseren Test-Servern übertragene Dateien nutzten. Bei der Anlage eines neuen Buckets gibt der Administrator an, ob die Dateiversionierung und die Object-Lock-Funktion aktiviert werden sollen. Bei der Konfiguration der Retention-Regeln ist zu beachten, ob die jeweilige Anwendung Object-Lock unterstützt. Wenn dies wie zum Beispiel mit Veeam der Fall ist, werden die Reten-tion-Regeln in der Anwendung festgelegt. Auf dem Artesca-System aktiviert der Systemverwalter für das S3-Bucket nur die Versionierung und die Object-Lock-Funktion. Bei Anwendungen ohne Object-Lock-Support richtet er die Aufbewahrungsregeln beim Anlegen des Buckets in der Artesca-Konsole ein. Wählt er den Governance-Modus, dann darf ein Administrator mit Spezialberechtigungen die per Object Lock geschützten Dateien ändern oder löschen. Im Compliance-Modus dagegen kann während der eingestellten Aufbewahrungsdauer niemand die geschützten Dateien verändern.
Mit den neuen SOSAPI-Funktionen von v12 kann Veeam anzeigen, wie groß das S3-Repository eines Object-Storage-Systems ist und wie viel Speicherplatz noch frei ist. Darüber hinaus kann die Backup-Software dem Speichersystem mit Hilfe des Smart-Entity-Features mitteilen, von welchen Backup-Clients welche Datenmengen zu übertragen sind. Um die Schutzfunktionen von Artesca für auf dem S3-Speicher abgelegte Dateien zu testen, erstellten wir zwei neue Buckets mit S3-Object-Lock-Support. Den ersten Bucket richteten wir im Governance-Modus mit einer Retention Time von zehn Tagen ein. Für den zweiten aktivierten wir den Compliance-Modus mit zwei Tagen Retention Time. Anschließend fügten wir über die Upload-Funktion des Data Browsers zu beiden Buckets ungefähr 100 Test-dateien hinzu.
Die Dateien, die im Governance-Modus-Bucket lagen, konnten wir mit unserem Administrator-Account jederzeit wieder löschen. Bevor Artesca die Objekte löscht, muss der Systemverwalter in einem Popup-Fenster die Buchstaben „confirm“ eintippen. Die im Compliance-Modus-Bucket gespeicherten Dateien konnten wir dagegen nicht löschen. Es erschien die Meldung, dass die Object-Lock-Retention im Compliance-Modus aktiviert ist und die Dateien deshalb nicht gelöscht werden dürfen.
Damit sich eine Anwendung mit einem S3-Speichersystem verbinden kann, benötigt sie stets die S3-Endpoint-URL sowie eine Access-ID und einen Secret Key. Um die von uns auf dem Artesca-Object-Storage-System erstellten Buckets in der Veeam-Konsole hinzuzufügen, wählten wir im Backup-Repository-Menü die Object-Storage-Option und gaben die Zugangsdaten ein. Damit konnten wir die Artesca-S3-Buckets in Veeam als Zielspeicher für die Datensicherungen einrichten. Ein Bucket hatten wir ohne Object-Lock-Funktion angelegt, beim zweiten Bucket hatten wir diesen Schutzmecha-nismus aktiviert. Anschließend erstellten wir für jedes Bucket einen eigenen Backup-Job, der mehrere VMs täglich per Veeam auf dem Artesca-Speichersystem sicherte. Alle VM-Sicherungen wurden über den gesamten Testzeitraum hinweg erfolgreich durchgeführt.
Fazit: Sichere Speicherplattform
Die Softwarelösung Artesca von Scality macht aus Standard-x86-Servern eine sichere Object-Storage-Plattform, die Unternehmensdaten mit Hilfe der inte-grierten S3-Object-Lock-Funktionen vor Ransomware-Angriffen schützen kann. Durch die enge Integration im Zusammenspiel mit Backup-Herstellern wie Veeam eignet sich Artesca gut als Backup-Speicherlösung sowohl für den Performance- als auch für den Capacity-Tier. Mit einem Einstiegspreis von weniger als 4.000 Dollar pro Jahr bei 50 TByte nutzbarer Kapazität ist Artesca auch in puncto Kosten ein interessantes Angebot.
Lesen Sie mehr zum Thema
