Zugangskontrolle
Unveränderbarkeit
Unveränderliche Backups: Der entscheidende Schutz gegen Ransomware
Während primäre Speichersysteme offen und für Clientsysteme verfügbar sein müssen, sollten Backup-Daten unveränderlich sein. Das bedeutet, dass einmal geschriebene Daten von Clients nicht mehr gelesen, geändert oder gelöscht werden können. Dies ist die einzige Möglichkeit, die Wiederherstellung sicherzustellen, wenn Produktionssysteme kompromittiert wurden. Backups sind eine der wichtigsten – wenn nicht sogar die wichtigste Verteidigung gegen Ransomware. Fortgeschrittene Ransomware zielt jetzt auch auf Backups ab und modifiziert oder löscht sie vollständig.
Rubrik Architektur Design
Zusammen mit unserem Partner Rubrik bieten wir Lösungen mit einer Backup-System-Architektur an, bei welcher ein unveränderliches Dateisystem mit einem ZeroTrust-Cluster-Design kombiniert wird. Optionen können so nur über authentifizierte APIs (Programmierschnittstellen) durchgeführt werden.
Protokolle
Wir verwenden keine unsicheren Protokolle wie NFS (Network File System) oder SMB (Server Message Block), um Informationen innerhalb des Clusters weiterzuleiten; die gesamte Kommunikation erfolgt über sichere und vertrauenswürdige Kanäle. Für die gesamte interne Kommunikation wird TLS 1.2 mit starken Chiffrierprogrammen und Perfect Forward Secrecy (PFS) verwendet.
Rubriks unveränderliche Architektur | Legacy- / Wannabe-unveränderliche Lösungen |
Backup-Daten werden niemals durch unsichere Methoden oder Protokolle wie NFS oder SMB externen Kunden zugänglich gemacht. Alle Vorgänge mit Daten müssen durch entsprechende Anmeldedaten authentifiziert werden. | Verlassen Sie sich auf eine Architektur, bei der Backup-Software über Standardprotokolle wie NFS/SMB in den Backup-Speicher schreibt. NFS und SMB verwenden schwache Authentifizierungsmechanismen, die sich leicht umgehen lassen. |
Alle Schreibvorgänge sind out-of-place, was bedeutet, dass neue Schreibvorgänge niemals Daten berühren, die früher geschrieben wurden. | Geschrieben wird in-place, d.h. es gibt keine Garantie, dass sich der Inhalt seit der Aufnahme nicht verändert hat. |
Die Daten werden zum Zeitpunkt der Aufnahme abgenommen und die digitalen Fingerabdrücke zusammen mit den Daten gespeichert, um sicherzustellen, dass die einmal geschriebenen Daten niemals verändert werden. | Digitale Fingerabdrücke werden nicht zur Validierung von Sicherungsdaten verwendet. Wiederherstellungsoperationen ersetzen blind Produktionsdaten ohne Zertifizierung |
Die Cluster-Kommunikation wird mit dem TLS 1.2-Protokoll mit zertifikatsbasierter gegenseitiger Authentifizierung gesichert. | Die Mitglieder des Clusters erhalten Zugang über eine Netzwerk-Whitelist, die für sogenannte Man-in-the-Middle-Angriffe anfällig ist. |
Cluster-Kommunikation
Jeder Rubrik-Cluster, der an einen Kunden ausgeliefert wird, verwendet starke, randomisierte Passwörter auf einer Pro-Knoten-Basis. Es gibt kein Konzept eines leicht angreifbaren «Admin/Admin»-Stils der lokalen Standardauthentifizierung.
Rubriks unveränderliche Architektur | Wichtige Ergebnisse |
Alle Schnappschussdaten, die in Atlas gespeichert sind, liegen nicht in einem editierbaren Format im Dateisystem vor. Die einzige Möglichkeit, die Daten anzuzeigen, besteht darin, sich beim Rubrik-Cluster zu authentifizieren, wodurch bestätigt wird, dass Sie die richtige Rolle und die richtigen Berechtigungen zum Anzeigen der Daten haben. | Es gibt keine Möglichkeit, Schnappschussdaten direkt aus dem Dateisystem zu «mounten». Die Daten sind standardmässig vor Leakware geschützt. |
Es ist nicht möglich eine Anwendung im Kernel oder Benutzerbereich eines Rubrik-Knotens auszuführen. Nur von Rubrik zertifizierte Dienste können innerhalb der Plattform ausgeführt werden. | Lösungen, die dies ermöglichen, bieten oft zusätzliche Angriffsflächen für bösartigen Code, menschliches Versagen oder andere Arten von Angriffen. |
Rubrik konfiguriert die IP-Tabellen des zugrundeliegenden Betriebssystems vor, um Dienste auf der Whitelist aufzuführen, die aufeinander zugreifen können. | Der externe Zugriff wird auf interne Dienste eliminiert. Die Verwendung einer Whitelist verringert die Angriffsfläche erheblich. |
Alle Rubrik-Software-Images werden von autorisiertem Personal signiert. Die Signatur wird während des Boot- Prozesses überprüft. | Vertrauen Sie darauf, dass die neu eingespielte Software mit dem übereinstimmt, was vom Entwicklungsteam generiert wurde. Software-Upgrades schlagen fehl, wenn die Signatur nicht übereinstimmt. |
Nur die Netzwerkports, die für die Benutzerinteraktion mit dem Produkt und die Kommunikation zwischen verschiedenen internen Prozessen erforderlich sind, sind erlaubt. Alle nicht verwendeten Prots werden auf dem Produkt deaktiviert. | Nur die Netzwerkports, die für die Benutzerinteraktion mit dem Produkt und die Kommunikation zwischen verschiedenen internen Prozessen erforderlich sind, sind erlaubt. Alle nicht verwendeten Prots werden auf dem Produkt deaktiviert. |
Logical Layer
Alle in das System eingebrachten Kundendaten werden in eine proprietäre Sparse-Datei, eine sogenannte Patch-Datei, geschrieben. Wenn Sicherungsdaten geändert wurden, sind sie im Wesentlichen wertlos. Unsere Lösungen stellen sicher, dass für jeden Patch-Block innerhalb einer Patch-Datei Prüfsummen generiert werden. Diese Prüfsummen werden berechnet und in eine Fingerabdruckdatei geschrieben, die zusammen mit der Patchdatei gespeichert wird. Rubrik führt immer eine Fingerabdruckprüfung durch, bevor Datentransformationen durchgeführt werden. Dadurch wird sichergestellt, dass die Originaldatei bei erzwungener Validierung während der Leseoperationen intakt bleibt.
Um einem Ransomware-Angriff entgegenzuwirken, müssen die ursprünglichen, validierten Daten aus dem Backup wiederhergestellt werden. Rubrik verifiziert routinemässig die Patch-Blöcke anhand ihrer Prüfsummen, um die Datenintegrität auf der Ebene der logischen Patch-Blöcke sicherzustellen. Die Patch-Dateien sind keinen externen Systemen oder Kunden-Administratorkonten ausgesetzt. Dadurch wird sichergestellt, dass sorgfältig darauf geachtet wird, genau das wiederherzustellen, was ursprünglich in einem Backup gespeichert wurde.
Physical Layer
Während sich die logische Schicht auf die Datenintegrität auf Dateiebene konzentrierte, fokussiert sich die physische Schicht auf das Schreiben von Kundendaten auf den unveränderlichen Cluster, um Datenintegrität und Datenstabilität zu erreichen. Zu diesem Zweck werden Patch-Dateien logisch in Segmente fester Länge unterteilt, die Stripes genannt werden. Wenn Stripes geschrieben werden, berechnet Rubrik eine Prüfsumme auf Stripe-Ebene, die sie in den einzelnen Stripe-Metadaten speichert.
Stripes werden weiter in physische Chunks unterteilt, die auf physischen Platten innerhalb des Rubrik Clusters gespeichert sind. Aktivitäten wie Replikations- und Erasure Coding finden auf der Chunk-Ebene statt. Genau wie bei Patch-Dateien wird beim Schreiben jedes Chunks eine Chunk-Prüfsumme berechnet und in den Stripe-Metadaten neben der Liste der Chunks gespeichert. Diese Prüfsummen werden als Teil des Hintergrund-Scans periodisch neu berechnet, indem die physischen Chunks gelesen und mit den Prüfsummen in den Streifen-Metadaten verglichen werden. Wenn eine Neuerstellung der Daten erforderlich ist (z.B. wegen korruption), wird zusätzlich die durch die Erasure Coding gebotene resiliency automatisch im Hintergrund genutzt.
ab CHF 0.12 pro GB im Monat - Jetzt buchen!
Der Service wird ab Auftragseingang innerhalb von wenigen Arbeitstagen bereitgestellt.
Wir beraten Sie gerne
Erfahren Sie mehr zu unseren Backup Solutions und lassen Sie sich von unseren Experts beraten.
Wir unterstützen Sie bei den nächsten Steps.