Die 3-2-1-Regel zum Schutz gegen Ransomware

Was ist eigentlich die 3-2-1-Regel? Und warum ist sie im Zusammenhang mit Ransomware interessant? Also: Die Regel ist einerseits ein gängiger Industriestandard zum Schutz von Daten. Sie könnte aber durchaus auch zur Ihrem persönlichen, ultimativen Verteidigungssystem im Kampf gegen Ransomware werden! Was steckt dahinter?

Wir zerlegen die 3-2-1-Regel zum besseren Verständnis zunächst in drei Teile:

• 3 Datenkopien
• 2 verschiedene Arten von Medien
• 1 Kopie an einem anderen Ort – wenigstens eine!

Um dieses Konzept weiter aufzuschlüsseln: Die drei Datenkopien sind drei redundante Kopien Ihrer Daten, die auf verschiedene Speicher verteilt sind. Unter unterschiedlichen Arten von Medien verstehen wir unterschiedliche Formattypen wie das Kopieren auf eine Festplatte, ein Tape oder die Cloud. Eine Kopie verbleibt auf Ihrem Computer. Zuletzt wird eine Kopie außerhalb des Standorts aufbewahrt. Dies bedeutet, dass sie über das WAN oder Sneakernet in ein anderes Gebäude gesendet wird, sowie die Tapes an eine Speichereinrichtung oder eine öffentliche oder private Cloud.

Testen Sie Ihr Backup

Nun kommt die 0 dazu. Es mag scheinen, als würden wir der Liste nur zum Spaß weitere Zahlen hinzufügen, dies ist aber tatsächlich ein sehr wichtiger Teil des Prozesses. Das Konzept des 3-2-1-Teils bleibt gleich, aber 0 bedeutet, dass beim Testen der Wiederherstellung Ihres Backups lediglich 0 Fehler auftreten dürfen.

Achtung: Wenn Sie nicht richtig testen, ob Ihre Backups die gewünschten Daten enthalten und ob sie wiederherstellbar sind, sollten Sie vielleicht vorsichtshalber schon einmal Ihre Bewerbungsmappe aktualisieren.

Zur weiteren Erläuterung der Anwendung der 3-2-1-Regel zeigt dieser Beitrag verschiedene Optionen, die am Markt angeboten werden, um diese Standards zu erfüllen; ferner beleuchten wir häufige Fehler beim Versuch, die Regel zu befolgen sowie einige beliebte Konfigurationskombinationen.

Viele Lösungen verwenden bei dem Versuch, speicherunabhängig zu sein, eine große Anzahl verschiedener Medien. Das heißt, wenn wir uns mit dem Speicher verbinden und authentifizieren können, mit Lese- und Schreibberechtigung, können wir Backups an ihn senden. Diese Speichereinheiten umfassen sieben Haupttypen: Direct Attached, Network, Deduplicating, Object Storage, Tape, Storage Snapshot Orchestrator und Backup as a Service (BaaS). Jeder Speicher hat seine Vor- und Nachteile, wenn es um Leistung, Kosten und Sicherheit geht. Sehen wir sie nacheinander

Direct Attached Storage

Statistisch gesehen ist Direct Attached Storage einer der schnellsten Speichertypen. Unterstützt werden sowohl Windows- als auch Linux-Betriebssysteme. Die Maschine kann entweder virtuell oder physisch sein. Dieser Repository-Typ kann einige Wartungsnachteile aufweisen. Wenn niemand mit Linux-Betriebssystemen vertraut ist, müssen möglicherweise die Kosten für eine Windows-Lizenz in Betracht gezogen werden. Außerdem müssen Betriebssystem-Aktualisierungen berücksichtigt werden. Ebenso, wie diese sich darauf auswirken können, wie Daten geschrieben oder Prozesse verarbeitet werden. Es könnte eine Sicherheitslücke geben, die im selben Paket gepatcht wird und die Art und Weise ändert, wie Daten in den Dateitabellen gespeichert oder optimiert werden. Trotz dieser potenziellen Nachteile können Sie konsistente Geschwindigkeiten erwarten, und dieser Server kann als Proxy fungieren, um möglicherweise einen zusätzlichen Hop der Daten über das Netzwerk zu sparen.

Network Attached Storage

Network Attached Storage (NAS) ist im Allgemeinen die bequemste Art von Repository. Die Freigabe kann Ihrem Netzwerk präsentiert werden. Mehrere Gateway-Server können direkt darauf schreiben, wodurch die optimale Durchsatzgeschwindigkeit für Ihre Backups erreicht wird. Die Freigabe kann aus vielen Arten von Quellen stammen, z. B. einem NAS oder einem Windows-Server. Einer der Nachteile kann die Verbindung zur Freigabe sein; diese richtet sich nach den Höhen und Tiefen der Netzwerküberlastung in der Umgebung. Wenn das Netzwerk für einen bestimmten Zeitraum einen Anstieg des Datenverkehrs von Benutzern erfährt, dann kann es Ihnen passieren, dass Ihre Sicherungen durch die Durchsatzverfügbarkeit im Netzwerk gedrosselt werden. Das Problem kann durch dedizierte Subnetze für diesen Datenverkehr, mit vorab zugewiesener Netzwerkbandbreite, gemildert werden. Die über das Netzwerk gesendeten Backups sollten während der Übertragung verschlüsselt werden, da sonst irgendjemand, der in der Leitung schnüffelt, die Backup-Daten stehlen könnte. Kurz gesagt, dieser Verbindungstyp kann mit mehreren Gateway-Servern widerstandsfähiger werden. Kurz: Sie sollten Vorkehrungen treffen, damit das Netzwerk zuverlässig und die Daten sicher sind.

Deduplication Appliances

Deduplizierungs-Appliances werden am besten als langfristige Backup-Speicherlösung verwendet, aber nicht als primärer Speicherort für Backups empfohlen. Dies hat mehrere Gründe.

Die meisten Deduplizierungs-Appliances handhaben synthetische Prozesse wie Merges und Synthetic Fulls nicht gut; sie müssen Sicherungsdateien rehydrieren, um synthetische Prozesse durchzuführen. Derselbe Rehydrierungs-Prozess macht die Wiederherstellung der Sicherungsdaten sehr langsam und meist können die von den Unternehmen in der Regel geforderten Service Level Agreements (SLAs) für Recovery Time Objectives (RTOs) nicht erfüllt werden. Aus diesem Grund eignen sich Deduplizierungs-Appliances hervorragend zum Speichern langfristiger Kopien von Backup-Daten, etwa für Audits, sowie für Legal-Hold-Anforderungen, aber nicht für primäre Backup-Daten.

Diese Appliances helfen im Falle des Speicherns von Langzeitsicherungen, auf die nicht häufig zugegriffen werden muss, dabei, Platz zu sparen. Die Takeaways sind hier Deduplizierungs-Appliances, die sich aufgrund der platzsparenden Funktionen hervorragend als Sekundärspeicher für langfristige Backups eignen, aber in den meisten Fällen sehr langsame Wiederherstellungs-Geschwindigkeiten für diese Daten haben.

Object Storage

Objektspeicherung ist ein sehr heißes Thema bei Gesprächen über die Cloud. Objektspeicher schaffen den Anschein unendlicher Speichererweiterbarkeit, ohne dass ständig Festplatten zu einem physischen Server hinzugefügt werden müssen. Diese aufstrebende Technologie wurde durch das Konzept von OpEx und CapEx populär gemacht, mit dem kleine und große Unternehmen heute konfrontiert sind, wenn es um Ausgaben geht. Objektspeicher bietet die Flexibilität, für den benötigten Speicher zu bezahlen, ohne im Voraus für Hardware oder Wartung bezahlen zu müssen.

Aber selbst bei diesem fast magischen, weil ständig wachsendem Speicherplatz zum Speichern von Backups gibt es Nachteile. Beim Wiederherstellen der Daten oder Zurückholen von Backups aus dem Objektspeicher fällt häufig eine sogenannte Egress-Gebühr an, eine Gebühr für den Download zurück in die lokale Umgebung. Je billiger es ist, die Daten zu speichern, desto mehr kostet es im Allgemeinen, diese Daten wieder herunterzuladen. Zusammenfassend lässt sich sagen: Objektspeicher ist eine großartige Möglichkeit, die Investitionsausgaben im Voraus zu senken, aber lesen Sie unbedingt das Kleingedruckte hinsichtlich der Gebühren.

„Das Tape ist noch nicht tot“

Dies ist ein Lieblingssatz, um ein Gespräch über Tape-Sicherungen zu beginnen und zwar, weil es tatsächlich nicht tot ist. Tape ist immer noch der Speicher mit den niedrigsten Kosten pro Datenbyte und zudem einer der von Hause aus widerstandsfähigsten Speichertypen gegen Ransomware-Angriffe. Tapes sind auch schneller, als man erwarten könnte. Die LTO-Generation 8 hat eine Kapazität von bis zu 12 TB und unkomprimierte Geschwindigkeiten von 360 MB/s. Tape-Server gehören zu den Komponenten, die selbst von robuster Ransomware am wenigsten angegriffen werden. Da der Speicher so günstig ist, können Tapes offline gedreht und in einem Safe vor Ort per Air Gap gespeichert oder zur Einhaltung von Vorschriften an Iron Mountain gesendet werden. Dies ist keine primäre Backup-Lösung, aber dies ist eine sehr praktikable sekundäre, archivierende Backup-Lösung.

Storage-Snapshot-Orchestrierung

Die Storage-Snapshot-Orchestrierung ist eine großartige Funktion, die Ihre vorhandenen Speicherkapazitäten für die Speicherproduktion nutzt. Sie können Speicher-Snapshots erstellen und verwalten. Wenn Sie also von Ransomware getroffen werden, können Sie die Software ganz einfach verwenden, um zu einem bekannten Betriebszustand zurückzukehren. Die Storage-Snapshot-Orchestrierung erzeugt im Allgemeinen, aufgrund des reduzierten Overheads, das niedrigste Recovery Point Objective (RPO).

Beim Orchestrieren eines Storage-Snapshots werden die neuen Daten umgeleitet, um sie in einen anderen Sektor des zugrunde liegenden Speichers zu schreiben, wodurch eine Point-in-Time-Kopie des Speichers erhalten bleibt. Da keine vorhandenen Daten an einen neuen Speicherort kopiert werden müssen, werden die Points-in-Time-Speicher-Snapshots in Minuten statt in Stunden erstellt und beanspruchen keinen Netzwerkverkehr. Dieser Prozess hilft jedoch nicht im Falle eines Hardwarefehlers, da sich die Produktions-VMs und Speicher-Snapshots auf demselben Speicher befinden, es sei denn, die Daten werden auf ein sekundäres Speicher-Array gespiegelt. Zwar besteht die Fähigkeit, das kürzeste RPO für Rollbacks zu haben, dies schützt Sie aber natürlich nicht vor den Hardwarefehlern.

Weiterhin gibt es auch Dienstleister, die Backup as a Service (BaaS) anbieten. Wenn Sie solch einen Dienstleister haben, kann eine Kopie der Sicherungen an einen anderen Standort gesendet werden, der vom Dienstleister betrieben wird. Mit einem Dienstleister zu arbeiten, kann eine großartige Lösung für Kunden sein, die keinen sekundären Geschäftsstandort haben oder sich diesen nicht leisten können, um ihre Backups dorthin zu verlagern. Das größte potenzielle Problem bei dieser Option besteht darin, dass man die Kontrolle über die Daten an Dritte abgeben muss. Es ist ein Muss, die Backups zu verschlüsseln, aber vor allem auch zu prüfen, ob der Dienstleister die Anforderungen für Daten-Compliance und Regulierungen des Unternehmens erfüllt. BaaS ist eine hervorragende Möglichkeit, einen Teil der Verantwortung bei der Einhaltung der 3-2-1-Regel abzugeben, es ist aber natürlich notwendig, sich nach dem richtigen Anbieter umzusehen und sicherzustellen, dass der Vertrag die gesetzlichen Anforderungen des Unternehmens hinsichtlich Daten auch erfüllt. 

Die 3-2-1-1-0-Regel ist heute der Königsweg. Sie trägt dazu bei, dass bei unterschiedlichsten Vorfällen eine erfolgreiche Wiederherstellung möglich ist. Die Abbildung unten zeigt unsere 3-2-1-1-0-Regel: 

Der Unterschied sind die 1 und die 0 am Ende und die Erweiterung soll zu höherer Vielseitigkeit führen.

• Es sollten 3 Kopien der Daten vorhanden sein
• Auf 2 verschiedenen Medien
• 1 Kopie sollte sich außerhalb des Unternehmens befinden
• 1 Kopie ist offline, Air-Gapped oder unveränderlich
• Und 0 Fehler mit SureBackup Recovery Verification

Diese beiden Ergänzungen sind heute von entscheidender Bedeutung. Eine Kopie der Sicherungsdaten, die entweder offline, Air-Gapped oder unveränderlich ist, ist ein unglaublich widerstandsfähiges Element zur Gewährleistung der Datenrettung bei einem Ransomware-Vorfall. Es gibt einige Szenarien, in denen eine Kopie mehrere Eigenschaften haben kann, wie z. B. WORM-Bandmedien, die aus dem Bandlaufwerk entfernt wurden. Das wäre dann gleichzeitig offline, unveränderlich und Air-Gapped. Ich bezeichne eine Kopie von Daten, die entweder offline, air-gapped oder unveränderlich ist, gemeinhin als "ultra-resilient".

Bei der Wiederherstellung keine Überraschungen zu erleben, ist heute ein großer Vorteil. Die SureBackup Recovery Verification von Veeam soll garantieren, dass ein Recovery tatsächlich fehlerfrei funktioniert. Was nicht bedeutet, dass ein Veeam-Backup per se nicht gut genug wäre, sondern, dass sich bestimmte Verhaltensweisen erst zeigen, wenn ein Backup-Recovery tatsächlich ausgeführt und ein Neustart durchgeführt wird. Die 3-2-1-1-0-Regel ist damit ein Garant für höchste Verfügbarkeit und durch viele erfolgreiche Kundenprojekte belegt, gerade auch in Krisensituationen.

Zusammenfassend lässt sich sagen, dass jede Backup-Optionen ihr Anforderungsprofil findet. Es kommt immer darauf an, was das Beste für Ihr Unternehmen ist. Das Verständnis der Stärken und Schwächen jeder Option, verbunden mit der Betrachtung der entstehenden Kosten ist der beste Weg, um festzustellen, was Ihr Unternehmen benötigt.

Als führender Anbieter von Cloud-Backup ist Veeam seit langem etabliert. Veeam bietet Datenschutzlösungen für das Multi-Cloud Unternehmen durch starke Allianzpartnerschaften und nahtlose Technologie-Integrationen mit den führenden Cloud-Anbietern.