Start Data & Storage

Hochsicheres Storage mit software-definiertem Airgap

StoneFly ist ein sehr effizient arbeitender Familienbetrieb und entwickelt hochleistungsfähige und hochsichere Backup-, Disaster-Recovery- und Archivierungslösungen. Die patentierte StoneFusion-Betriebssystemarchitektur ermöglicht die unveränderliche Speicherung von Daten mit einem software-definierten Airgap.

Stonefly geht über die gebräuchliche 3-2-1-Regel hinaus und positioniert sich zusätzlich zu existierenden Backuplösungen, um besonders schützenswerte Daten zu sichern

Das weltweit aktive Unternehmen ist Gründungsmitglied des IP Storage Institute (IPSI) und behauptet von sich selbst, der eigentliche Erfinder von iSCSI zu sein. Dafür spricht, dass der Gründer und Eigentümer bereits im März 1996 die Domain iscsi.com registrierte und maßgeblich dazu beitrug, das iSCSI-Protokoll zum weltweiten Standard-Speicherprotokoll zu machen. Seine Firma stellte 2002 als eine der ersten iSCSI-Speichergeräte her. Seitdem ist es das erklärte Ziel, einfache und erschwingliche Datenverwaltungslösungen der Enterprise-Klasse – physische Server und Cloud-basierte Lösungen – für große Organisationen aber auch kleine und mittelständische Unternehmen (SMBs) anzubieten.

Logischer Air-Gapped Vault statt Offline Bibliothek

Mittels Air-Gapping lassen sich IT-Systeme, u. a. auch Speicherziele, von unsicheren Netzwerken, sensiblen Produktionsumgebungen oder kritschen Hostplattformen isolieren. Air-Gaps spielen für Sekundärspeicher, z. B. für Backup oder Archivierung, eine große Rolle. Bei der Air Gap-Sicherung wird zwischen zwei Arten unterschieden. Für physische Air-Gaps wird der Zielspeicher physisch vom Produktionsnetzwerk getrennt. Ein typisches Szenario für physisches Air-Gapping sind Tape Libraries. Sekundäre Speicherziele wie Bandlaufwerke sind jedoch für viele Anwendungsszenarien unrentabel: zu teuer in der Anschaffung und umständlich in der Handhabung. Speziell im Katastrophenfall dauert es oft lang, bis die Daten wiederhergestellt sind.

Logische Air-Gaps, bei denen die physische Verbindung erhalten bleibt, sind effizienter und schneller. Allerdings gibt es oft Bedenken hinsichtlich der Sicherheit. Um dem zu begegnen, hat StoneFly verschiedene Mechanismen in seine Architektur integriert. U. a. sorgen integrierte Firewalls, Virtualisierung, Sandboxing, rollenbasierte Zugriffskontrollen, softwaredefinierte Netzwerke bzw. auf der physischen Ebene Storage-, Netzwerk- und Energieverwaltungscontroller für die Isolation des Speichers vom Rest des Netzwerkes.

StoneFly biete isolierte und unveränderliche Speicherumgebungen für virtuelle Maschinen in einer Appliance

Die schlüsselfertigen hyperkonvergenten Backup- und DR-Appliances von StoneFly vereinen Leistung und Sicherheit in einer Scale-out-fähigen Architektur. Den Kern bildet das StoneFly Storage OS – StoneFly SCVM (Storage Concentrator Virtual Machine), eine Eigenentwicklung des Gründers. Duale Hardware-Controller sichern zwei unabhängige und isolierte Umgebungen. Jede dieser Umgebungen arbeitet separat und verfügt über eigene Hardware-Controller.

Der primäre Controller ist dem Virtualisierungshost (Quelle) mit Hypervisor und den Produktions-VMs vorbehalten. Der sekundäre Controller steuert den sicheren Speicherbereich (Target). Unterstützt werden iSCSI, Fibre Channel (FC), CIFS, SMB und NFS sowie die S3 REST API. Möglich sind Konfigurationen wie synchrone Replikation mit automatischem Failover/Failback, asynchrone Replikation, unveränderlichen und Air-Gapped-Speicher, S3-Objektsperre, unveränderliches FileLock, kontinuierliche Datensicherung (CDP) und gemeinsames NAS-Repository. Die integrierten DR-Funktionen erlauben die Replikation kritischer Workloads und Daten.

Daten werden in Repositories abgelegt. Die sind hierarchisch aufgebaut und bieten mit jeder Stufe mehr Sicherheit. WORM-Repositories (Write Once Read Many) schützen kritische Daten davor, dass sie unfreiwillig überschrieben, gelöscht oder verschlüsselt werden. Für S3-Objekte stehen Funktionen wie S3 Object Lockdown zur Verfügung. Unveränderliche Snapshots erlauben im Falle einer Katastrophe eine schnelle Datenwiederherstellung.

Repositories am Beispiel eines Veeam-Backups (Quelle: StoneFly)

Volumes in logischen Air-Gap-Vaults können manuell oder automatisch über benutzerdefinierte Richtlinien ein- und ausgeschaltet werden.

Eine integrierte Sandbox erlaubt Übungen von Datenmigrationen, Wiederherstellungen und Backup-Mechanismen sowie Tests von Security-Updates, neuen Anwendungen oder Konfigurationen, bevor sie in Produktivumgebungen installiert werden.

Die Plattform unterstützt verschiedene Hypervisoren wie VMware, Hyper-V oder Proxmox. StoneFly SCVM ist Hardware-agnostisch und kann auf Bare Metal, in einer VM oder in Cloud-Umgebungen installiert werden. Das macht die Lösung auch für Service Provider interessant, die so kleineren Kunden immutable Datenspeicher as a Service anbieten können. Die Plattform ist mandantenfähig. Die Preise starten ab 5.000 USD, was die Lösung extrem attraktiv macht – auch für KMU.

Fazit

Ein bisschen erinnert die Architektur an hochsichere Arbeitsplätze wie die von secunet mit einem Hauch von Datendioden. Um so verwunderlicher, dass noch kein anderer Entwickler von Storage darauf gekommen ist. Der Bedarf allein in deutschen Behörden an solchen Lösungen müsste doch eigentlich riesig sein.


Wir trafen StonFly-Gründer und CEO Mo Tahmasebi und Vice President of Global Corporate Development, Lilly Tahmasebi, im März 2024 im Rahmen der IT Press Tour in ihrem Headquarter.

Stonfly-Gründer und CEO Mo Tahmasebi und Vice President of Global Corporate Development, Lilly Tahmasebi