IT-Infrastruktur: widerstandsfähig gegen Cyberkriminalität

Resilienz

Innerhalb dieser Erwägungen rückt auch ein weiterer Aspekt verstärkt in den Vordergrund: die Widerstandsfähigkeit oder Neudeutsch „Resilienz“ gegen Cyberkriminalität, insbesondere gegenüber Ransomware-Angriffen. Umfragen zeigen, dass mehr als 30 Prozent der deutschen Unternehmen in der Vergangenheit bereits von einem Ransomware-Angriff betroffen waren (Quelle: KPMG Survey e-Crime in der deutschen Wirtschaft 2019, S. 62).

Im Jahr 2021 sind die Ransomware-Angriffe weltweit um rund 102 Prozent im Vergleich zum Vorjahreszeitraum gestiegen. Gleichzeitig konzentrieren Ransomware-Angreifer ihre Bemühungen auf alle Branchen weltweit. Während in Nordamerika Organisationen des Gesundheitswesens seit Jahresbeginn die meisten Angriffe erleiden, absorbieren in Europa Versorgungsunternehmen die meisten Angriffe (Quelle: Check Point Research).

Herausforderung Ransomware

Ransomware hat die grundsätzlichen Herausforderungen für Datensicherung und -wiederherstellung verändert und verschärft. Ursprünglich dienten Sicherheitskopien und Wiederherstellungsmethoden vor allem dazu, Datenverluste und -korruptionen durch menschliche Fehler zu beheben.

Diese werden in der Regel relativ schnell entdeckt, und die korrekten Daten können vergleichsweise einfach aus einem aktuellen Backup wiederhergestellt werden. Dies bedeutet, dass eine geringe Datenmenge vom Sicherungsziel in die Produktionsumgebung kopiert wird. Ransomware sorgt für eine grundsätzlich andere Lage. Denn dieser Malware-Typ bleibt lange Zeit inaktiv beziehungsweise unauffällig, um so viele Daten wie möglich zu verschlüsseln.

Ransomware kann somit lange Zeit unentdeckt bleiben. Dieses Ransomware-spezifische Verhalten führt zu großen Datenbewegungen während der Wiederherstellung, längeren Wiederherstellungszeiten und verlagert den Fokus von der Backup-Geschwindigkeit auf die Wiederherstellungsgeschwindigkeit. Gleichzeitig haben größer werdende Datenmengen und Big-Data-Lösungen den Umfang der zu sichernden (oder wiederherzustellenden) Daten erhöht, was die operative Herausforderung weiter verschärft.

Wiederherstellungsgeschwindigkeit: wo liegt das Problem?

Um die Backup-Geschwindigkeit zu erhöhen, werden synthetische Voll-Backups und deduplizierte Speicherung von Backups verwendet. Der Wiederherstellungsprozess erfordert dann in den meisten Fällen die Zusammenstellung von Daten aus mehreren Generationen von Backups, die sich an verschiedenen physischen Standorten befinden. Das Ergebnis ist ein pseudo-zufälliges Lesemuster während der Wiederherstellung, das zu zufälligen I/O-Sendungen an die Laufwerke führt und sich negativ auf die Wiederherstellungszeit auswirkt.

Kostspielige All-Flash-Lösungen

Viele Unternehmen, die von niedrigen Wiederherstellungsgeschwindigkeiten frustriert waren, wechselten zu All-Flash-Lösungen, um dieses Problem zu adressieren. Somit stiegen die Kosten für das Backup drastisch. Da einige (zuweilen sogar die Mehrzahl der) Daten an der Quelle dedupliziert werden, ist es nicht mehr möglich, die Kapazität am Ziel signifikant zu reduzieren, was die Kosten für Flash-Medien weiter steigen lässt. Eine effiziente Backup-Lösung wird somit zu kostspielig.

Die Lösung: bessere Snapshot-Technologie

Es stellt sich heraus, dass die verwendeten Speichermedien weder für die allgemeine Leistungsfähigkeit einer Storage-Lösung noch für die spezielle Leistung von Backup und Recovery ausschlaggebend sind. Viel relevanter ist eine intelligente Softwarearchitektur. Hier spielt die verwendete Snapshot-Technologie eine entscheidende Rolle.

Die bekannten Snapshot-Verfahren „Copy-on-write“ sowie „Redirect-on-write“ stoßen im Einsatz für Backup und Recovery schnell an ihre Grenzen. Beim Copy-on-write-Verfahren werden alle Blöcke, die geschützt werden sollen, kopiert, bevor sie mit neuen Informationen überschrieben werden.

Mit anderen Worten: Wenn ein Block eines Volumes geändert werden soll, kopiert das System diesen Block in einen separaten Snapshot-Bereich, bevor er mit den neuen Informationen überschrieben wird. Dieser Ansatz erfordert drei Input/Output-Operationen für jeden Snapshot: einen Lese- und zwei Schreibvorgänge.

Beim Redirect-on-write-Verfahren hingegen nutzt das Storage-System „Pointer“, um Volumes zu repräsentieren. Wenn ein Block geändert werden muss, leitet das Speichersystem lediglich den Pointer für diesen Block auf einen anderen Block um und schreibt die Daten dorthin.

Beide Verfahren geraten insbesondere dann an ihre Grenzen, wenn man eine große Anzahl von Snapshots oder Snapshots mit großer Geschwindigkeit erstellt. Das Problem ist das Lock-Management im Cache. Um einen Snapshot zu erstellen, müssen bestimmte Datenstrukturen im Speicher für die Dauer des Snapshots gesperrt werden.

Ohne diese Sperrung käme es zu einer Datenkorruption. Um diese zu vermeiden, verbringen moderne Speichersysteme eine signifikante Zeit unproduktiv, will sagen ohne irgendwelche I/O-Operationen auszuführen. Je größer die Datenmengen werden und/oder umso schneller Snapshots erzeugt werden, desto mehr macht sich dieser Leistungsverlust bemerkbar und Unternehmen sind gezwungen, sich ein weiteres Storage-System zuzulegen.

Der Grundgedanke eines alternativen Snapshot-Verfahrens ist recht einfach. Es ist ein virtueller Anwender-Adress-Raum (VUA: Virtual User Address) erforderlich, in dem mehrere Adressen auf dieselben physischen Daten verweisen können. Einen Snapshot zu erstellen, wird somit zu einer Metadaten-Operation. Es erfordert lediglich, dass ein Pointer im VUA-Raum erstellt wird. Dabei handelt es sich um eine Operation, die keine Zeit erfordert und bei der keine Daten kopiert werden. Bei diesem Vorgehen werden auch keine Metadaten gesperrt, wenn ein Snapshot erstellt wird.

Die Datenintegrität kann dabei durch Zeitstempel („Timestamps“) erzielt werden. Wenn man für jeden Schreibvorgang im System, beispielsweise für jeweils 64 KB an geschriebenen Daten, einen Zeitstempel erzeugt, lässt sich jeder Schreibvorgang eindeutig einem Snapshot zuordnen, basierend auf dem Zeitstempel, wann der Snapshot erstellt wurde, und dem Zeitstempel aller anstehenden I/Os. Er gehört eindeutig entweder zum Snapshot oder nicht. So wird Schreib- und Datenintegrität über Snapshots hinweg gewährleistet, ohne dass die Metadaten in irgendeiner Form gesperrt werden. Das Snapshot-Objekt selbst erhält ebenfalls einen Zeitstempel.

Der Schlüssel im Kampf gegen Ransomware: unveränderliche Snapshots

Snapshots mit der geschilderten Methode haben keinerlei Auswirkungen auf die Performance eines Speichersystems. Das bedeutet auch, dass die Anzahl der möglichen Snapshots praktisch kein fixes Limit hat. Die Anzahl der von einer IT-Abteilung gewünschten oder geforderten Snapshots wird das System nie an seine Grenzen bringen.

Da es sich um einen Prozess handelt, der keine Zeit erfordert, gilt das Gleiche für die Snapshot-Geschwindigkeit. Auf dieser Snapshot-Methode lässt sich ein sehr effizientes Replikationsverfahren realisieren. Beim Spiegeln eines Volumes lässt sich mit einer bestimmten Häufigkeit von wenigen Sekunden ein Snapshot anfertigen.

Das entsprechende Log wird dann an das Slave-System übertragen und sobald die Übertragung bestätigt wurde, wird der vorangegangene Snapshot gelöscht. Als Ergebnis kann ein Unternehmen ein Speichersystem mit 100.000 wie auch immer replizierten Volumes erhalten, oder ein großes Volume, das buchstäblich das gesamte Array repliziert. Dabei lässt sich ein Wiederherstellungspunkt-Ziel (RPO: Recovery Point Objective) von vier Sekunden gewährleisten.

„Aber auch gegen Ransomware ist ein Kraut gewachsen: unveränderliche Snapshots mit extrem kurzen Wiederherstellungszeiten.“

Nevzat Bucioglu, Infinidat

Der letzte Schritt auf dem Weg zu einer Infrastruktur, die auch erfolgreichen Ransomware-Angriffen widerstehen kann, besteht darin, Snapshots unveränderlich zu machen. Dies ist erforderlich, weil Cyberkriminelle unter Umständen auch die Datensicherung und den Speicher angreifen, in dem die Backup-Lösungen untergebracht sind. Solch unveränderliche Snapshots können beispielsweise mit der WORM-Technologie (Write Once Read Many) erzeugt werden, die sicherstellt, dass Kopien der Daten nicht gelöscht, verschlüsselt oder verändert werden können.

So kann in der Tat ein virtuelles Air Gap, eine Trennung zwischen den Backup-Datensätzen und deren Snapshots geschaffen werden. Um weiterhin die nahezu sofortige Wiederherstellung eines beliebigen Systemzustands in der Historie der Daten zu ermöglichen und so die Datenintegrität und -konsistenz zu gewährleisten, kann eine regelbasierte Point-in-Time-Recovery-Funktion verwendet werden. Als letzten Schritt zum Schutz gegen Ransomware sollte eine isolierte Testumgebung zum Einsatz kommen, in der ein Unternehmen die Daten verifizieren kann, bevor sie in einer Produktivumgebung wieder online gehen.

Fazit

Die Besinnung auf die Vorteile der Private Cloud und das Augenmerk auf Gesamt-Performance und -Kosten einer IT-Lösung sollten dazu führen, dass bei der Auswahl dieser Lösung immer auch der IT-Katastrophenfall mitbedacht wird. Aktuell stellt Ransomware dabei die größte Herausforderung dar, wie jüngste Beispiele belegen. Aber auch gegen Ransomware ist ein Kraut gewachsen: unveränderliche Snapshots mit extrem kurzen Wiederherstellungszeiten.

Über den Autor:
Nevzat Bucioglu verantwortet als Country Manager Deutschland seit April 2021 alle DACH-Aktivitäten des international operierenden Speicher-Spezialisten Infinidats, der 2011 erstmals seine innovative softwarebasierte InfiniBox-Architektur auf den Markt gebracht hat. Als ausgewiesener Kenner der IT-Branche verfügt Bucioglu auch über ein feinmaschiges Netzwerk im Channel. Nach unterschiedlichsten Karrierestationen, in denen er sich unter anderem auch intensiv mit dem Schutz kritischer IT-Infrastrukturen beschäftigt hat, war er vor seinem Wechsel zu Infinidat zuletzt als Head of Channel Sales Germany & Austria für Pure Storage tätig.

Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.