Definition

Data Protection

Data Protection ist der Prozess der Absicherung wichtiger Informationen vor Korruption, Kompromittierung oder Verlust. Es handelt sich also um Datenabsicherung, nicht aber um den Begriff Datenschutz, wie er im Security-Umfeld benutzt wird. Die Bedeutung der Data Protection nimmt zu, da die Menge der erstellten und gespeicherten Daten in nie dagewesenem Ausmaß wächst. Außerdem gibt es wenig Toleranz für Ausfallzeiten, die den Zugriff auf wichtige Informationen unmöglich machen können.

Fortsetzung des Inhalts unten

Folglich besteht ein großer Teil einer Datenabsicherungsstrategie darin, sicherzustellen, dass Daten nach einer Beschädigung oder einem Verlust schnell wiederhergestellt werden können. Der Schutz der Daten vor Kompromittierung und die Gewährleistung berechtigter Datenzugriffe sind weitere wichtige Bestandteile der Data Protection.

Grundsätze der Data Protection

Die wichtigsten Grundsätze der Data Protection bestehen darin, Daten unter allen Umständen zu sichern und verfügbar zu machen. Der Begriff wird sowohl für Backups von Daten als auch für Business Continuity/Disaster Recovery (BC/DR) verwendet. Die Strategien zur Datensicherung entwickeln sich entlang zweier Linien: Datenverfügbarkeit und Datenmanagement.

Die Datenverfügbarkeit stellt sicher, dass den Anwendern die Daten zur Verfügung stehen, die sie für ihre Geschäftstätigkeit benötigen, auch wenn die Daten beschädigt sind oder verloren gehen.

Es gibt zwei Hauptbereiche des Datenmanagements, die bei der Data Protection zum Einsatz kommen: Data Lifecycle Management und Information Lifecycle Management. Data Lifecycle Management ist der Prozess der Automatisierung der Verschiebung von kritischen Daten auf Online- und Offline-Speicher. Information Lifecycle Management ist eine umfassende Strategie zur Bewertung, Katalogisierung, und zum Schutz von Informationsbeständen vor Anwendungs- und Benutzerfehlern, Malware- und Virenangriffen, Maschinenausfällen oder Anlagenausfällen und -unterbrechungen.

In jüngerer Zeit umfasst das Datenmanagement auch die Suche nach Möglichkeiten, aus ansonsten ruhenden Datenkopien einen geschäftlichen Nutzen für das Berichtswesen, für Test- und Entwicklungszwecke, für Analysen und andere Zwecke zu ziehen.

Abbildung 1: Data Protection setzt sich aus verschiedenen Segmenten zusammen, die wiederum in Datenmanagement und Datenverfügbarkeit unterteilt sind.
Abbildung 1: Data Protection setzt sich aus verschiedenen Segmenten zusammen, die wiederum in Datenmanagement und Datenverfügbarkeit unterteilt sind.

Was ist der Zweck der Data Protection?

Zu den Speichertechnologien, die Daten schützen sollen, gehört ein Festplatten- oder Band-Backup, das bestimmte Informationen auf ein festplattenbasiertes Speicher-Array oder ein Bandgerät kopiert, damit sie sicher gespeichert werden können. Spiegelung kann verwendet werden, um ein exaktes Replikat von Dateien zu erstellen, damit sie von mehreren Stellen aus verfügbar sind. Speicher-Snapshots können automatisch einen Satz von Zeigern (Pointer) auf Informationen erzeugen, die auf Band oder Platte gespeichert sind, was eine schnellere Datenwiederherstellung ermöglicht, während Continuous Data Protection (CDP) alle Daten in einem Unternehmen sichert, sobald eine Änderung vorgenommen wird.

Datenportabilität

Die Datenportabilität - die Möglichkeit, Daten zwischen verschiedenen Anwendungsprogrammen, Rechenumgebungen oder Cloud-Diensten zu verschieben - stellt eine weitere Reihe von Problemen für die Data Protection dar, was wiederum zu neuen Lösungen führt. Einerseits ermöglicht Cloud-basiertes Computing den Kunden, Daten und Anwendungen zwischen oder unter Cloud-Service-Providern (CSP) zu migrieren. Andererseits erfordert es Schutzmaßnahmen gegen Datenduplikation.

So oder so setzt sich das Cloud-Backup immer mehr durch. Unternehmen verlagern ihre Backup-Daten häufig in Public Clouds oder in Clouds, die von Backup-Anbietern unterhalten werden. Diese Backups können vor Ort vorhandene Festplatten- und Bandbibliotheken ersetzen oder als zusätzliche geschützte Kopien von Daten dienen.

Traditionell war die Datensicherung der Schlüssel zu einer effektiven Data-Protection-Strategie. Daten wurden in regelmäßigen Abständen, in der Regel jede Nacht, auf ein Bandlaufwerk oder eine Bandbibliothek kopiert, wo sie so lange verblieben, bis es zu einem Störfall beim primären Datenspeicher kam. Dann wurde auf die Backup-Daten zugegriffen und sie wurden verwendet, um verlorene oder beschädigte Daten wiederherzustellen.

Backups sind nicht länger eine eigenständige Funktion. Stattdessen werden sie mit anderen Data-Protection-Funktionen kombiniert, um Speicherplatz zu sparen und Kosten zu senken.

Backup und Archivierung wurden zum Beispiel als zwei getrennte Funktionen behandelt. Der Zweck von Backups war die Wiederherstellung von Daten nach einem Ausfall, während ein Archiv eine durchsuchbare Kopie der Daten bereitstellte. Das führte jedoch zu redundanten Datenbeständen. Heute gibt es Produkte, die Daten in einem einzigen Durchgang sichern, archivieren und indizieren. Dieser Ansatz spart Unternehmen Zeit und reduziert die Datenmenge im Langzeitspeicher. Dabei gilt es zu beachten, dass ein Backup kein Archiv ist, und umgekehrt. Allerdings lassen sich die Datenbestände beider Prozesse optimieren, um unnötige Duplikate zu vermeiden.

Die Konvergenz von Disaster Recovery und Backup

Ein weiterer Bereich, in dem Data-Protection-Technologien zusammenwachsen, ist die Verschmelzung von Backup- und Disaster-Recovery (DR)-Funktionen. Die Virtualisierung hat hier eine wichtige Rolle gespielt und den Fokus vom Kopieren von Daten zu einem bestimmten Zeitpunkt hin zur kontinuierlichen Datensicherung (CDP) verschoben.

Historisch gesehen ging es bei der Datensicherung darum, doppelte Kopien von Daten zu erstellen. Bei Disaster Recovery hingegen ging es darum, wie die Backups nach einer Katastrophe verwendet werden.

Snapshots und Replikation haben es möglich gemacht, sich viel schneller von einer Katastrophe zu erholen als in der Vergangenheit. Wenn ein Server ausfällt, werden Daten aus einem Backup-Array verwendet, aber nur, wenn Maßnahmen ergriffen werden, die verhindern, dass das Backup verändert wird.

Diese Maßnahmen enthalten die Verwendung eines Snapshots der Daten aus dem Backup-Array, um sofort eine Vergleichsplatte zu erstellen. Die Originaldaten aus dem Backup-Array werden dann für Leseoperationen verwendet, und Schreiboperationen werden auf die Vergleichsplatte geleitet. Bei diesem Ansatz bleiben die ursprünglichen Sicherungsdaten unverändert. Während all dies geschieht, wird der Speicher des ausgefallenen Servers neu aufgebaut und die Daten werden vom Backup-Array auf den neu aufgebauten Speicher des ausgefallenen Servers repliziert. Sobald die Replikation abgeschlossen ist, wird der Inhalt der Vergleichsplatte mit dem Speicher des Servers zusammengeführt und die Benutzer können wieder arbeiten.

Die Datendeduplizierung spielt eine Schlüsselrolle beim festplattenbasierten Backup. Deduplizierung eliminiert redundante Kopien von Daten, um die für Backups benötigte Speicherkapazität zu reduzieren. Die Deduplizierung kann in die Backup-Software integriert werden oder eine softwareaktivierte Funktion in Festplattenbibliotheken sein.

Dedupe-Anwendungen ersetzen redundante Datenblöcke durch Zeiger auf eindeutige Datenkopien. Nachfolgende Backups enthalten nur Datenblöcke, die sich seit dem vorherigen Backup geändert haben. Die Deduplizierung wurde erst als Data-Protection-Technologie eingesetzt und hat sich zu einer wertvollen Schlüsselfunktion für Primärdaten entwickelt, um den Kapazitätsbedarf für teurere Flash-Medien zu reduzieren.

CDP spielt mittlerweile eine Schlüsselrolle beim Disaster Recovery und ermöglicht schnelle Wiederherstellungen von Backup-Daten. CDP ermöglicht es Unternehmen, auf die letzte unbeschädigte Kopie einer Datei oder Datenbank zurückzugreifen und so den Informationsverlust im Falle einer Beschädigung oder Löschung von Daten zu reduzieren. CDP war zunächst eine separate Produktkategorie, hat sich aber so weit entwickelt, dass sie heute in die meisten Replikations- und Backup-Anwendungen integriert ist. CDP kann auch die Notwendigkeit beseitigen, mehrere Kopien von Daten zu führen. Stattdessen behalten Unternehmen eine einzige Kopie, die kontinuierlich aktualisiert wird, wenn Änderungen auftreten.

Strategien für Data Protection im Unternehmen

Moderne Data Protection für Primärspeicher umfasst die Verwendung eines integrierten Systems, das Backups ergänzt oder ersetzt und vor den folgenden potenziellen Problemen schützt:

Medienausfall. Ziel ist es, Daten auch dann verfügbar zu machen, wenn ein Speichergerät ausfällt. Synchrone Spiegelung ist ein Ansatz, bei dem Daten gleichzeitig auf ein lokales Laufwerk und einen entfernten Standort geschrieben werden. Der Schreibvorgang wird erst dann als abgeschlossen betrachtet, wenn eine Bestätigung vom entfernten Standort gesendet wird, wodurch sichergestellt wird, dass die beiden Standorte immer identisch sind. Dieses Mirroring erfordert einen Kapazitäts-Overhead von 100 Prozent.

RAID-Schutz ist eine Alternative, die weniger Overhead-Kapazität erfordert. Bei RAID werden die physischen Laufwerke zu einer logischen Einheit zusammengefasst, die dem Betriebssystem als eine einzige Festplatte präsentiert wird. RAID ermöglicht es, die gleichen Daten an verschiedenen Stellen auf mehreren Festplatten zu speichern. Dadurch überschneiden sich E/A-Vorgänge in ausgewogener Weise, was die Leistung verbessert und den Schutz erhöht.

Der RAID-Schutz muss die Parität berechnen, eine Technik, die überprüft, ob Daten verloren gegangen sind oder überschrieben wurden, wenn sie von einem Speicherort zu einem anderen verschoben werden, und diese Berechnung verbraucht Rechenressourcen.

Die Kosten für die Wiederherstellung nach einem Medienausfall sind die Zeit, die benötigt wird, um in einen geschützten Zustand zurückzukehren. Gespiegelte Systeme können schnell in einen geschützten Zustand zurückkehren. RAID-Systeme brauchen länger, weil sie die gesamte Parität neu berechnen müssen. Moderne RAID-Controller müssen bei der Wiederherstellung eines Laufwerks nicht das gesamte Laufwerk lesen, um die Daten wiederherzustellen, sondern nur die Daten, die sich auf diesem Laufwerk befinden. In Anbetracht der Tatsache, dass die meisten Laufwerke nur zu einem Drittel ausgelastet sind, kann intelligentes RAID die Wiederherstellungszeiten erheblich reduzieren.

Erasure Coding ist eine Alternative zu erweitertem RAID, die häufig in Scale-Out-Speicherumgebungen eingesetzt wird. Wie RAID verwendet Erasure Coding paritätsbasierte Systeme, die sowohl Daten als auch Parität über einen Cluster von Speicherknoten schreiben. Mit Erasure Coding können alle Knoten im Speicher-Cluster am Ersatz eines ausgefallenen Knotens teilnehmen, so dass der Wiederherstellungsprozess nicht durch die CPU belastet wird und schneller abläuft als in einem traditionellen RAID-Array.

Replikation ist eine weitere Data-Protection-Alternative für Scale-Out-Storage. Die Daten werden von einem Knoten auf einen anderen oder auf mehrere Knoten gespiegelt. Replikation ist einfacher als Erasure Coding, verbraucht aber mindestens die doppelte Kapazität der geschützten Daten.

Datenbeschädigung. Wenn Daten beschädigt oder versehentlich gelöscht wurden, können Snapshots verwendet werden, um die Dinge wieder in Ordnung zu bringen. Die meisten Speichersysteme können heute Hunderte von Snapshots verfolgen, ohne dass dies signifikante Auswirkungen auf die Leistung hat.

Speichersysteme, die Snapshots verwenden, können mit wichtigen Anwendungen wie Oracle und Microsoft SQL Serverzusammenarbeiten, um eine saubere Kopie der Daten zu erfassen, während der Snapshot ausgeführt wird. Dieser Ansatz ermöglicht häufige Snapshots, die über lange Zeiträume hinweg gespeichert werden können.

Wenn Daten beschädigt oder versehentlich gelöscht werden, kann ein Snapshot gemountet und die Daten zurück auf das Produktions-Volume kopiert werden, oder der Snapshot kann das vorhandene Volume ersetzen. Bei dieser Methode gehen nur minimale Daten verloren und die Wiederherstellung erfolgt fast sofort.

Ausfall des Speichersystems. Zum Schutz vor Ausfällen mehrerer Laufwerke oder anderen schwerwiegenden Ereignissen setzen Rechenzentren auf Replikationstechnologie, die auf Snapshots aufbaut.

Bei der Snapshot-Replikation werden nur Datenblöcke, die sich geändert haben, vom primären Speichersystem auf ein externes sekundäres Speichersystem kopiert. Die Snapshot-Replikation wird auch verwendet, um Daten auf einen sekundären Speicher vor Ort zu replizieren, der für die Wiederherstellung verfügbar ist, wenn das primäre Speichersystem ausfällt.

Vollständiger Ausfall des Rechenzentrums. Der Schutz vor dem Ausfall eines Rechenzentrums erfordert einen vollständigen Disaster-Recovery-Plan. Wie bei den anderen Ausfallszenarien gibt es auch hier mehrere Optionen. Eine Möglichkeit ist die Snapshot-Replikation, bei der die Daten auf einen sekundären Standort repliziert werden. Die Kosten für den Betrieb eines zweiten Standorts können jedoch unerschwinglich sein.

Cloud-Dienste sind eine weitere Alternative. Replikations- und Cloud-Backup-Produkte und -Dienste können verwendet werden, um die aktuellsten Kopien von Daten zu speichern, die im Falle einer größeren Katastrophe höchstwahrscheinlich benötigt werden, und um Anwendungsimages zu instanziieren. Das Ergebnis ist eine schnelle Wiederherstellung im Falle eines Rechenzentrumsausfalls.

Trends der Data Protection

Zu den neuesten Trends in der Data-Protection-Technologie gehören die folgenden:

Hyperkonvergenz. Mit dem Aufkommen der Hyperkonvergenz haben Anbieter begonnen, Appliances anzubieten, die Backup und Recovery für physische und virtuelle Umgebungen bieten, die hyperkonvergent, nicht hyperkonvergent und gemischt sind. Die in die hyperkonvergente Infrastruktur integrierten Data-Protection-Funktionen ersetzen eine Reihe von Geräten im Rechenzentrum.

Cohesity, Rubrik und andere Anbieter bieten Hyperkonvergenz für Sekundärspeicher an, die Backup, Disaster Recovery, Archivierung, Copy Data Management und andere nicht primäre Speicherfunktionen bereitstellen. Diese Produkte integrieren Software und Hardware und können als Backup-Ziel für bestehende Backup-Anwendungen im Rechenzentrum dienen. Sie können auch die Cloud als Ziel nutzen und Backups für virtuelle Umgebungen bereitstellen.

Ransomware. Diese Art von Malware, die Daten verschlüsselt und für den Schlüssel Lösegeld fordert, ist ein wachsendes Problem. Herkömmliche Backup-Methoden wurden verwendet, um Daten vor Ransomware zu schützen. Raffiniertere Ransomware passt sich jedoch an traditionelle Backup-Prozesse an und umgeht diese.

Die neueste Version der Malware infiltriert die Daten eines Unternehmens über einen längeren Zeitraum, sodass das Unternehmen am Ende den Ransomware-Virus zusammen mit den Daten sichert. Diese Situation macht es schwierig, wenn nicht gar unmöglich, ein Rollback auf eine saubere Version der Daten durchzuführen.

Um diesem Problem entgegenzuwirken, arbeiten Anbieter an der Anpassung von Backup- und Wiederherstellungsprodukten und -methoden, um die neuen Ransomware-Funktionen zu vereiteln, beispielsweise durch unveränderliche Backups.

Copy Data Management (CDM). CDM verringert die Anzahl der Kopien von Daten, die ein Unternehmen speichern muss, reduziert den Aufwand für die Speicherung und Verwaltung von Daten und vereinfacht die Data Protection. CDM kann die Release-Zyklen von Anwendungen beschleunigen, die Produktivität erhöhen und die Verwaltungskosten durch Automatisierung und zentrale Kontrolle senken.

Der nächste Schritt bei CDM besteht darin, mehr Intelligenz hinzuzufügen. Unternehmen wie Veritas Technologies kombinieren CDM mit ihren intelligenten Datenverwaltungsplattformen.

Disaster Recovery als Service. Die Nutzung von DRaaS nimmt zu, da mehr Optionen angeboten werden und die Preise sinken. Es wird für kritische Geschäftssysteme eingesetzt, bei denen immer mehr Daten repliziert und nicht nur gesichert werden.

Mobile Data Protection

Data Protection für mobile Geräte hat ihre eigenen Herausforderungen. Es kann schwierig sein, Daten von diesen Geräten zu extrahieren. Inkonsistente Konnektivität macht die Planung von Backups schwierig, wenn nicht gar unmöglich. Und der Schutz mobiler Daten wird zusätzlich dadurch erschwert, dass persönliche Daten, die auf mobilen Geräten gespeichert sind, von geschäftlichen Daten getrennt gehalten werden müssen.

Selektives File Sync und Share ist ein Ansatz zum Schutz von Daten auf mobilen Geräten. Obwohl es sich dabei nicht um ein echtes Backup handelt, verwenden diese Produkte in der Regel eine Replikation, um die Dateien der Benutzer mit einem Repository in der Public Cloud oder im Netzwerk eines Unternehmens zu synchronisieren. Dieser Speicherort muss dann gesichert werden. File Sync und Share ermöglicht den Benutzern den Zugriff auf die benötigten Daten von einem mobilen Gerät aus und synchronisiert gleichzeitig alle Änderungen, die sie an den Daten vornehmen, mit der Originalkopie. Es schützt jedoch nicht den Zustand des mobilen Geräts, der für eine schnelle Wiederherstellung benötigt wird.

Unterschiede zwischen Sicherheit und Datenschutz

Im Allgemeinen bezieht sich Datensicherheit speziell auf Maßnahmen, die die Integrität der Daten selbst vor Manipulation und Malware schützen, während sich Datenschutz auf die Kontrolle des Zugriffs auf die Daten bezieht. Es ist verständlich, dass eine Verletzung der Privatsphäre zu Problemen mit der Datensicherheit führen kann.

Datenschutz und Data Protection

Datenschutzgesetze und -bestimmungen variieren von Land zu Land und sogar von Staat zu Staat, und es kommen ständig neue hinzu. Chinas Datenschutzgesetz ist am 1. Juni 2017 in Kraft getreten. Die General Data Protection Regulation (GDPR oder DSGVO) der Europäischen Union trat 2018 in Kraft. Die Einhaltung der einzelnen Regeln ist kompliziert und herausfordernd.

Abbildung 2: Data Protection umfasst unterschiedliche Parameter.
Abbildung 2: Data Protection umfasst unterschiedliche Parameter.

Die Koordination zwischen all den unterschiedlichen Regeln und Vorschriften ist eine gewaltige Aufgabe. Die Nichteinhaltung von Vorschriften kann hohe Geldbußen und andere Strafen nach sich ziehen, bis hin zur Einstellung der Geschäftstätigkeit in dem Land oder der Region, das/die von dem Gesetz oder der Verordnung betroffen ist.

Für ein globales Unternehmen empfehlen Experten, eine Data-Protection-Richtlinie zu erstellen, die den strengsten Vorschriften entspricht, die für das Unternehmen gelten, und gleichzeitig ein Sicherheits- und Compliance Framework zu verwenden, das eine breite Palette von Anforderungen abdeckt. Die Grundlagen des Datenschutzes und der Data Protection gelten übergreifend und umfassen:

  • die Sicherung von Daten
  • das Einholen der Zustimmung der Person, deren Daten gesammelt werden sollen
  • die Identifizierung der Vorschriften, die für die betreffende Organisation und die von ihr gesammelten Daten gelten
  • Sicherstellen, dass die Mitarbeiter in den Feinheiten des Datenschutzes und der Datensicherheit umfassend geschult sind.
Diese Definition wurde zuletzt im März 2021 aktualisiert

Erfahren Sie mehr über Bedrohungen

ComputerWeekly.de
Close