Im zweiten Teil unserer Artikelreihe Storage, quo vadis?! geben wir Beispiele für eine sichere Speicher-Architektur inkl. Empfehlung geeigneter Anbieter. Im dritten Teil der Artikelserie geht es um eine sicherere Infrastruktur – damit ein Angreifer gar nicht erst an die Daten kommt.
Teil I der Artikelreihe: Storage, quo vadis?!
Teil III der Artikelreihe: Infrastruktur
Storage, Backup & Co trennen
Storage per sé ist nicht sicher. Sinnvolle Maßnahmen sind Verschlüsselung der Daten sowohl in Ruhe als auch Bewegung. Auch Integritätschecks, eingebaute Redundanz z. B. durch RAID oder Erasure Coding sowie unveränderliche Momentaufnahmen (Snapshots) für die schnelle Wiederherstellung versehentlich gelöschter oder veränderter Daten fügen einen Mehrwert hinzu. In einer perfekten Unternehmenswelt jedoch ergänzen bzw. unterstützen Storage und Backup andere Bausteine wie die Cybersicherheitsmaßnahmen und -werkzeuge, das Data Life-Cycle-Management und weitere Unternehmensprozesse.
Die perfekte Architektur folgt dem Prinzip Schuster, bleib bei deinen Leisten!
Für einen bestmöglichen Schutz empfehlen wir mindestens eine Trennung in Front- und Backend. Einzelne Services sind in Segmenten organisiert. Dabei ist es egal, ob etwas auf dedizierter Hardware, virtualisiert in einer VM oder als Microservice in Containern installiert ist.
In unserem Beispiel gibt es unterschiedliche Lösungen für:
- Datenmanagement
- Storage
- Backup
- Archive
Data Management
Zu einer gezielten, übergreifenden Datenmanagementstrategie gehört ein durchgängiges Datenmanagement. Im Datenmanagement geht es um die Selektion, Aufbereitung, Organisation, Verarbeitung, Analyse und Pflege sowie Speicherung und Sicherung aller unternehmensrelevanten Daten über den gesamten Lebenszyklus hinweg. Die Ziele sind:
- Informationen in allen Systemen und Anwendungen konsistent und sicher zur Verfügung zu stellen.
- korrekte und zuverlässige Informationen für die Entscheidungsfindung bereitzustellen.
- Vorschriften und Gesetze einzuhalten (Compliance).
- die Datenintegrität zu wahren.
Ein wichtiger Bestandteil des Datenmanagements und Schlüsselelement einer umfassenden Data-Governance-Strategie ist die Klassifizierung. Dabei werden die Daten anhand verschiedener Merkmale identifiziert und kategorisiert. Kriterien für die Einstufung (Kategorisierung) der Daten sind u. a. Inhalt, Sensibilität und Wichtigkeit. Im Zuge der Kategorisierung werden die Daten angereichert, z. B. mit Tags. Eine granulare, korrekte Kategorisierung fördert nicht nur die effiziente Nutzung der Daten. Es vereinfacht auch das Auffinden und Abrufen von Informationen, hilft Dubletten zu vermeiden und die Kosten der Ressourcen für Speicherung bzw. Sicherung zu senken.
Analysen der sowohl strukturierten als auch unstrukturierten Daten geben wertvolle Einblicke in Nutzung und Art der Informationen. Damit können Unternehmen bessere Strategien zur Risikominderung entwickeln oder Governance-Richtlinien individueller gestalten.
Anbieter von empfehlenswerten Datenmanagement-Plattformen sind:
Wichtige Kriterien für die Auswahl können sein, ob eine Plattform auch on-prem betrieben werden kann, mandantenfähig ist, eigene AI- und Sprachmodelle (Large Language Modell, LLM) genutzt werden können (Bring your own AI) oder ob eine Vollindexierung gemacht wird bzw. nur die Metadaten indexiert werden. Letztes macht die Plattformen zwar schneller aber nicht unbedingt genauer.
Storage
Storage ist wichtig zur Speicherung aller im Unternehmen anfallenden Daten. Dazu gehören die Datensätze einer Datenbank genauso wie die Konfigurationen der Systeme, Log- und Protokolldaten, Word-Dokumente oder Bilder. Je nach Art der Daten werden diese als Datei, Objekt oder direkt als Block ausgegeben. Unified Storage-Systeme können alle drei Anforderungen bedienen und reduzieren die Komplexität. Ebenfalls eine wichtige Rolle spielt die Übertragung der Daten. Je nach Quelle oder Ziel und Art des Storage (DAS, SAN/NAS, Cloud) werden unterschiedliche Protokolle verwendet. Die wichtigsten sind SMB (in älteren Systemen CIFS), NFS, iSCSI, Fibre Channel oder das bei Cloudspeichern verwendete S3. Auch bei den Protokollen gilt: Einer für alle.
Ein weiteres wichtiges Kriterium bei der Auswahl ist die Verwendung eines Global Namespace. Damit werden alle Daten einheitlich verwaltet – egal welcher Art oder wo sie liegen. Für ein bestmögliches Zusammenspiel aller Komponenten sind Herstellerzertifizierungen ein gutes Indiz, z. B. von VMware, Rubrik oder Microsoft.
Containerisierte Landschaften haben besondere Anforderungen an Storage. Storage für Container muss äußerst dynamisch und hochgradig automatisierbar sein. Er muss verschiedene Formen von persistenten und nicht-persistenten Daten verwalten können. In Kubernetes z. B. ist der elementare Speichertyp nicht-persistent. Man spricht in dem Zusammenhang auch von ephemeralen Speicher: Der Speicher ist in erster Linie portabel, aber nicht dauerhaft; und er verwendet dazu ein temporäres Verzeichnis auf dem jeweiligen Host eines Kubernetes-Pods. Zur Verwaltung wird inzwischen häufig das Container Storage Interface (CSI) benutzt. Auf Grund fehlender Standardisierung ist allerdings jede Implementation unterschiedlich, was es nicht einfacher macht. Cloudian, Piraeus oder CubeFS (ehemals ChubaoFS) sind optimiert für die Anforderungen containerisierter Anwendungen.
Moderne Speicherlösungen sind:
- Cloudian
- Piraeus
- Hammerspace
- Weka
- VAST Data
- TrueNAS von iXsystems
- StorPool
- Leil Storage
Backup & Recovery
Backup und (Desaster) Recovery bilden in modernen Unternehmen eine Einheit. Immer beliebter werden Anbieter von Cloud-Backups. Die wichtigsten Kriterien bei der Auswahl einer geeigneten Lösung sind die Integration in bestehende Landschaften (werden alle vorhandenen Systeme unterstützt?) und die Fähigkeit, auch Daten in SaaS-Plattformen zu sichern. Snapshots sind eine besondere Form des Backups. Damit lassen sich Daten schnell und kontinuierlich sichern. Fast alle Anbieter unterstützen inzwischen diese Funktion. Dennoch sollte auch auf Vollbackups nicht verzichtet werden. Dazu werden initial alle Daten gesichert und spätere Veränderungen inkrementell. Nicht an Gültigkeitkeit verloren hat die 3-2-1-Regel: drei Kopien auf mindestens zwei verschiedenen Medien und eine Kopie sollte offline aufbewahrt werden (Air Gap). Die typische Vorhaltezeit von Backups beträgt 30 Tage, aus Compliance-Gründen manchmal auch bis zu 366 Tagen (ein Jahr + ein Tag). Inzwischen sind auch Cloudspeicher oder virtuelle Airgaps akzeptiert.
Moderne Backup-Lösungen sind:
Ein wichtiges Kriterium bei der Auswahl sollte die Fähigkeit zu automatisierten Wiederherstellungstests sein. Ansonsten gilt zu beachten:
- Zu einer wirkungsvollen Backup-Strategie gehört immer auch ein Notfallplan sowie ein Testplan.
- Der Backup-Speicher (Sekundär-Storage) sollte von einem anderen Hersteller sein als der Primärspeicher.
- Auf Allow-Listing basierte Backup-Gatekeeper wie Blocky4Backup von Grau Data erhöhen den Schutz.
Archivierung
Ein Archiv ist keine Datensicherung. Der größte Unterschied ist, dass im Gegensatz zu einem möglichst vollständigen Backup nicht alle Daten archiviert werden müssen (oder sollen). In der Regel bestimmen Gesetze oder Vorschriften, welche Daten wie lange rechtskonform aufbewahrt werden müssen. Allerdings sollten auch archivierte Daten unveränderlich sein. Beliebt für die Archivierung sind Cloudspeicher wie Glacier (AWS), Tape Libraries oder auch modernere Interpretationen wie die von FAST LTA oder StoneFly.
Grundsatz der Archivierung sollte sein, Daten nur so lange wie nötig aufzubewahren. Archiv-Management-Lösungen helfen bei der Verwaltung. Unsere Empfehlungen sind:
- die deutschen PoINT Software & Systeme
- QStar Technologies aus Italien
- Quantum
- Rimage
Fujifilm Kangaroo ist eine komplette Appliance, die sich auch für KMU eignet. Im Sommer 2024 soll eine Light-Version verfügbar sein.
Wer seine Daten besonders lange aufbewahren oder sich das lästige Umkopieren von Tapes sparen möchte, sollte sich vielleicht mit neuen Medien wie DNA-Speicher oder Glas beschäftigen. Auch optische Speicher erleben eine Renaissance.
