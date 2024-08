Für das Backup großer Datenmengen wählen IT-Verantwortliche oft Object Storage, entweder in der Cloud oder als Appliance am eigenen Standort oder eine Mischung aus beidem. Mit seinem Produkt verspricht Hersteller Object First nurn einen On-Prem-Objektspeicher, der ein maßgeschneidertes Backup für Veeam-Umgebungen bieten soll.

Die Out-of-the-box immutability (Ootbi) die Anforderungen an Leistung, Sicherheit und Einfachheit bedienen, die andere Systeme eventuell nicht zur Gänze erfüllen. Der Hersteller gibt an, im Vergleich mit Direct Attached Storage (DAS), Deduplizierungs-Appliances und Hardened Linux Repositories besser abzuschneiden. So würden DAS-Systeme keine unveränderlichen Backups bieten, Dedup-Geräte und Repositories nur in bestimmten Produkten. Darüber hinaus beschreibt Object First nur DAS-Systeme als ebenso leicht bedienbar wie die eigene Lösung. Auch bei der Leistungsstärke sieht sich der Objektspeicher-Anbieter vor diesen drei Alternativen.

Zero Trust als Basis für optimierte Sicherheit Object First integrierte eine Zero Trust Data Resilience Architecture (ZTDR) in seine Lösung, um ein hohes Sicherheitsniveau zu offerieren. Zero Trust erfordert, dass die Backup-Infrastruktur in mehrere Sicherheitsdomänen oder Ausfallsicherheitszonen unterteilt wird, zum Beispiel Backup-Software, primärer Backup-Speicher und sekundärer Backup-Speicher – jede mit ihrer eigenen reduzierten Angriffsfläche. In diesem Fall kann die Backup-Software immer noch eine Angriffsfläche haben, aber der Backup-Speicher hat eine minimale Angriffsfläche. Erreicht wird dies durch die Beschränkung der Kommunikation auf ein dem Industriestandard entsprechendes S3-Protokoll. Die ZTDR wird empfohlen, um die Zero-Trust-Prinzipien explizit auf die Backup- und Recovery-Infrastruktur auszuweiten. Zusammen mit dieser Architektur sollten folgende Maßnahmen umgesetzt werden: Segmentierung: Trennung von Backup-Software und Backup-Speicher.

Mehrere Datensicherheitsdomänen oder Ausfallsicherheitszonen, um mehrschichtige Sicherheit zu gewährleisten.

Unveränderlichkeit des S3-nativen Objektspeichers.

S3-eigene Sicherheit, Zugriff mit geringsten Rechten, IAM und MFA.

S3-Kommunikationsprotokoll mit minimaler Angriffsfläche für Backup Storage.

Null-Zugriff auf Root und Betriebssystem zum Schutz vor böswilligen oder gefährdeten Administratoren.

Offenes Design und offene Architektur, die die Einführung und Bereitstellung in Unternehmen vereinfachen. Die Veeam-Architektur und der Hardware-Formfaktor garantieren die Trennung zwischen dem Veeam Backup & Replication-Server (Backup-Software) und Ootbi (Backup-Speicher), wobei mehrere Ausfallsicherheitszonen die Durchsetzung des Zero-Trust-Modells gewährleisten. Abbildung 1: Die Zero Trust Resilience Architecure in der schematischen Darstellung. (Quelle: Object First) Die Unveränderbarkeit der Backups wird über das S3-native Object Lock sichergestellt. Dabei lassen sich die Daten über das S3-Protokoll vom eigenen Standort aus in die Cloud kopieren. Ootbi unterstützt zudem Veeams Direct-to-Object-Funktion, die es ermöglicht, Backups direkt im Objektspeicher zu initiieren, was die Leistung und Effizienz verbessert

Einfache Bedienung und schnelle Implementierung Der Hersteller eine schnelle Installation und simple Bedienung mit seiner Bedienungsoberfläche. Laut eigenen Angaben lässt sich die Lösung in weniger als 15 Minuten einrichten und Anwender benötigen keine Kentnisse in Linux. Ebenso ist kein zusätzliches Setup oder eine Anpassung des namespace notwendig, wenn auf dem Veeam-Layer skaliert wird. Abbildung 2: Ootbi kann wie DAS-Systeme oder Dedup-Appliances als Backup-Ziel genutzt werden. (Quelle: Object First) Die Installation selbst erfordert 3 IPs, zwei physische und eine vIP für den S3-Endpunkt sowie einen Nutzernamen, ein Passwort und ein MFA-Setup. Werden zusätzliche Nodes benötigt, so kann der Admin diese innerhalb von zehn Minuten mit automatischem Scaling und Load Balancing hinzufügen. Dabei muss der Veeam-Namespace niht verändert werden und ein Backup Repository ist ebenso nocht erforderlich. Für einfacheres Management hat der Hersteller das Veeam Smart Object API integriert. Benachrichtigungen und Aktualisierungen sind von Object First-Servern aus abrufbar. So wird sichergestellt, dass der Linux-Kernel und der proprietären Objektspeichersoftware sicher und mit QA-geprüften Patches auf dem neuesten Stand sind und die Auswirkungen von Zero-Day-Schwachstellen und Exploits gemindert werden.