How to resolve AdBlock issue? 
Was sind Air Gaps und wie funktionieren sie? Der Datenspezialist Pure Storage gibt einen Einblick in diesen Sicherheitsansatz und wie eine abgestufte Backup-Architektur mit Datenbunkern Unternehmen dabei helfen kann, mit langfristigem, hochverfügbarem Speicher den Betrieb aufrechtzuerhalten.
Ransomware-Angreifer sind skrupellose Opportunisten – aber das bedeutet nicht, das Unternehmen ihnen ihre Arbeit erleichtern sollten. Beim Angriff auf die Backoffices von Colonial Pipelines war die kritische Gas- und Kraftstoffinfrastruktur der USA mehr als vier Tage lang offline. Eine Untersuchung ergab, dass es aufgrund schwerwiegender Sicherheitslücken „ziemlich einfach“ war, einzudringen. Unternehmen sollten Hackern also das Leben so schwer wie möglich machen. Glücklicherweise gibt es ein ganzes Arsenal an Technologien und Architekturparadigmen, die genau das ermöglichen. Einer dieser Ansätze heißt „Air Gaps“ – aber sind sie ein Allheilmittel für die Widerstandsfähigkeit im Internet?
Was ist ein Air Gap?
Ist ein Air Gap ein Muss, Marketing-Jargon oder beides? Traditionell war ein Air Gap physisch, mit bandbasierten Backups oder externen Systemen, getrennt durch keinerlei physische Konnektivität. Administratoren erstellen eine Verbindung zwischen dem Produktionssystem und dem Air-Gap-System, wie eine Zugbrücke. Die Brücke wird heruntergefahren, wenn Daten übertragen werden, und dann für den Rest der Zeit wieder hochgefahren.
Heutzutage geht die Definition und das Konzept von „Air Gap“ über die herkömmliche „physische Netzwerkisolation“ hinaus und ist ein wertvoller Bestandteil einer effektiven und effizienten Datensicherheitsstrategie. Moderne Air Gaps konzentrieren sich mehr auf die logische Trennung, hauptsächlich durch Netzwerkkontrollen. Im Wesentlichen handelt es sich um Netzwerkdesign-Topologien, die Produktions- und Backup-Netzwerke trennen. Einige Anbieter haben das Konzept angepasst in:
- „Virtuelle“ Air Gaps: Diese wurden zuerst von Anbietern eingeführt, die sich auf die logische Netzwerktrennung konzentrieren und einen doppelten Satz an Infrastruktur mit WORM-Funktionen (Write Once, Read Many) verkaufen wollten. Das Netzwerk zwischen den Standorten würde sich in regelmäßigen Abständen öffnen und schließen. Dies wurde durch umfassende Beratung und professionelle Dienstleistungen erreicht.
- „Operative“ Air Gaps: Als der virtuelle Air Gap bei den Kunden nur auf mäßiges Interesse stieß, wurden operative Air Gaps geschaffen, um die Infrastrukturkosten zu senken und die Einrichtung und Wartung stärker zu automatisieren.
Im Kern basieren beide Ansätze meist auf WORM-Funktionen, die für regulatorische und Compliance-Anforderungen entwickelt wurden. Das Ziel eines Air Gaps ist es, kritische Daten von lokalen Netzwerken und Produktionsbereichen zu isolieren, die anfälliger für Angriffe sind. Durch das regelmäßige Einlesen von Daten aus dem Produktionsnetzwerk werden Backups regelmäßig aktualisiert, aber die beiden Seiten sind nicht immer miteinander verbunden. Diese Intervalle können einmal täglich oder in einem beliebigen festgelegten Rhythmus erfolgen.
Das Air-Gap-Versprechen
Die Idee ist, dass Bedrohungen ohne eine offene Verbindung zwischen den beiden Standorten theoretisch keine Brücke haben, über die sie eindringen können. Und ohne Rechenknoten sind Air-Gap-Systeme noch weniger zugänglich. Einige Anbieter von Datenspeichern preisen diese Air Gap Recovery Vaults als moderne Innovation zur Datensicherheit an. Ein sogenannter Air Gap könnte sogar etwas Einfaches und Programmatisches sein, wie z. B. eine Firewall.
Im Allgemeinen können Air Gaps einen besseren Schutz bieten, indem sie für eine höhere Sicherheit als herkömmliche Backup-Architekturen sorgen, die Ausbreitungsfähigkeit von Malware einschränken, Hackern die Arbeit erschweren, an Air-Gapped-Daten zu gelangen, und die Chancen erhöhen, sich von einem Angriff zu erholen. Auch nach einem Angriff können Air Gaps nützlich sein, um nicht kompromittierte Daten wiederherzustellen. Es gibt aber noch mehr zu bedenken.
Die Realität der Air Gaps
Bei Air Gaps sind einige Punkte zu beachten. Der erste ist die Zugänglichkeit. Nach einem Angriff, bei dem jede Sekunde zählt, ist ein Air-Gapped Vault nicht nur für Hacker schwer zugänglich – auch für die legitimen Benutzer ist der Zugriff schwierig. Der zweite Punkt ist der Aufwand, der mit der Aufrechterhaltung von Air Gaps verbunden ist. Je umfangreicher ein Air Gap mit komplexem Scripting wird, desto mehr Pflege und Wartung ist erforderlich, um funktionsfähig und effektiv zu bleiben.
Air Gaps sind zudem nicht zu 100 Prozent immun gegen Angriffe. Die Implementierung und der Betrieb können teuer sein und die Verwaltung und Wartung kann sich als schwierig erweisen. Air Gaps sind auch nicht besonders gut skalierbar und die Wiederherstellung großer Datenmengen kann länger dauern. Sie bieten keine Lösung für interne Bedrohungen oder kompromittierte Zugangsdaten von Speicher- oder Sicherungsadministratoren. Die Wiederherstellung großer Dateimengen dauert zu lange, wenn Unternehmen strenge RPOs einhalten müssen – und die Klassifizierung dieser Daten für eine abgestufte Wiederherstellung ist zeit- und arbeitsaufwendig.
Sicherheitsstrategien mit Air Gaps können auch die Probleme der Zuverlässigkeit und Geschwindigkeit nicht vollständig lösen – die beiden wichtigsten Faktoren für eine erfolgreiche Wiederherstellung. Was ist also eine umfassende Air-Gap-Lösung, die Einfachheit, Zuverlässigkeit und Geschwindigkeit vereint?
Moderner Ansatz für Air-Gap
Eine moderne Herangehensweise an den virtuellen Air Gap ist eine Implementierung der nächsten Generation, die alle Vorteile eines Air-Gap-geschützten Datenbunkers bietet, aber mit einem entscheidenden Unterschied: Sie ist einfacher und schneller. Die Pure Storage SafeMode-Funktion ist hierbei der Schlüssel. SafeMode erstellt eine sichere Enklave, aus der Snapshots nicht gelöscht werden können – weder manuell noch durch einen programmatischen Ansatz. Darüber hinaus gibt es ein zusätzliches menschliches Element. Um Snapshots manuell zu löschen, erfordert diese Lösung interaktive Unterstützung in Echtzeit, wodurch eine zusätzliche Schutzebene hinzugefügt wird. Hinzu kommt die Einfachheit. Integrierte Automatisierung und voreingestellte Timer sorgen für ein beruhigendes Gefühl, ohne dass zusätzliche Arbeit für die Aufrechterhaltung programmatischer oder physischer Air Gap erforderlich ist.
Wenn Datenwiederherstellungen nicht schnell genug sind, um größere betriebliche, rufschädigende und finanzielle Auswirkungen zu vermeiden, ist all die Arbeit, die Unternehmen in die Sicherung investiert haben, wertlos. Unabhängig von der Plattform oder der zugrundeliegenden Technologie ist eine schnelle Wiederherstellung entscheidend.
Resilienz ohne eine mehrstufige Backup-Architektur?
Oben wurde das Konzept der Air Gaps erklärt und wie einige Anbieter von Datenspeichern sie nutzen, um Angriffe zu verhindern. Was passiert aber, wenn es doch zu einer Katastrophe kommt? Als Colonial Pipeline von dem spektakulären Ransomware-Angriff betroffen war, nutzte das Unternehmen seine eigenen Backups, um das System wiederherzustellen. Die Backups waren jedoch zu langsam. Der Prozess dauerte Tage und die Verzögerungen hatten verheerende Auswirkungen. Hätten der Infrastrukturbetreiber Datenbunker in Kombination mit abgestuften Sicherungsarchitekturen genutzt, wäre die Geschichte anders verlaufen.
Prävention ist nur die halbe Miete
Datenschutzstrategien können nicht nur die Zeit vor einem Ereignis abdecken – sie müssen auch die Erwartungen nach einem Ereignis erfüllen. Air Gaps können zwar eine zusätzliche Präventionsebene bieten, aber nach einem Ereignis sind zwei Dinge entscheidend, die eine Air-Gap-Lösung allein nicht bewältigen kann: Zugänglichkeit und Geschwindigkeit. Nach einem Angriff sind Air-Gap-Vaults nicht immer leicht zugänglich, und ein guter Schutz ist nur die halbe Miete, wenn es um Backup und Wiederherstellung geht. Ohne eine zugrundeliegende Infrastruktur, die Zugänglichkeit und Geschwindigkeit bietet, muss das Unternehmen warten.
Was kann Unternehmen dabei helfen, Einfachheit, Zuverlässigkeit und Geschwindigkeit zu gewährleisten – vor, während und nach einem unerwarteten Ereignis? Die Antwort ist eine mehrschichtige Verteidigungsfähigkeit mit einer abgestuften Resilienzarchitektur und Datenbunkern. Mehrstufige Backup-Architekturen – oder Resilienzarchitekturen – nutzen verschiedene logische und geografische Standorte, um unterschiedliche Backup- und Wiederherstellungsanforderungen zu erfüllen.
Nachfolgend ein Beispiel für eine solche mehrstufige Architektur:
Ebene 1: Aktives Failover
Im Allgemeinen bietet diese Ebene ein sofortiges oder nahezu sofortiges Failover, ohne dass eine Wiederherstellung aus Snapshots oder Backups erforderlich ist. Die Technologie sollte ein sofortiges Failover zwischen zwei Systemen in unmittelbarer Nähe (11 ms oder weniger Latenz zwischen den Standorten) ohne Daten- oder Leistungsverlust ermöglichen, falls eine Seite des Clusters ausfällt. Für Unternehmen außerhalb der geografischen Grenzen, die für die Durchführung einer synchronen Replikation erforderlich sind, oder die eine Replikation über größere Entfernungen durchführen möchten, ist eine Lösung wie Pure ActiveDR denkbar, um eine Failover-Lösung mit sehr niedrigen RPO- und RTO-Werten bereitzustellen.
Ebene 2: Lokale Snapshots
Snapshots von Tier-1-Daten werden regelmäßig und wiederkehrend erstellt – von alle 15 Minuten bis zu mehrmals täglich. Diese werden für einen relativ kurzen Zeitraum (drei bis sieben Tage) lokal gespeichert, um im Falle einer Wiederherstellung eine nahezu sofortige Wiederherstellbarkeit zu gewährleisten. Diese Ebene ist nützlich, um nach Managementfehlern oder Fehlern in der Entwicklung schnell eine sofortige Wiederherstellung mit sofortigem Rollback durchzuführen.
Ebene 2a: Lokale Snapshot-Sicherung
Zusätzlich kann die lokale Snapshot-Sicherung die Wiederherstellbarkeit für eine schnelle Wiederherstellung nach einem kurzfristigen Datenverlust erweitern. Im Allgemeinen werden bei dieser Ebene lokale Snapshots vom primären Array ausgelagert und für einen etwas längeren Zeitraum (z. B. 14 bis 30 Tage) auf einem sekundären Array gespeichert. Dadurch wird Speicherplatz auf dem primären Array freigegeben, aber bei Bedarf sind immer noch extrem schnelle Wiederherstellungen möglich. Alle Snapshots bieten unveränderlichen und verbesserten Schutz, um zu verhindern, dass sie vom lokalen Array gelöscht werden.
Ebene 2b: Datenschutzsoftware
Datensicherungspartner und Backup-Anbieter können in diese Ebene integriert werden und bieten im Falle eines Cyberangriffs eine sehr schnelle Wiederherstellung der aktuellen Backup-Daten. Auf der Pure-Plattform können Backup-Anbieter erweiterte Wiederherstellungsoptionen durch benutzerdefinierte Integrationen und Architekturen bereitstellen.
Ebene 3: Primärer Datensicherungsstandort
Von Ebene 2 könnten 30 bis 360 Tage an Backup-Snapshots auf einen Standort der Ebene 3 repliziert werden, um mittelfristig die Wiederherstellbarkeit nach einer Katastrophe zu gewährleisten, die einen gesamten primären Rechenzentrumsstandort treffen könnte, wie z. B. ein Feuer oder ein Tornado. Diese Ebene ist als sekundärer Standort für die Notfallwiederherstellung (Disaster Recovery, DR) gedacht, der physisch und geografisch vom primären Standort getrennt ist und über fortschrittliche Backup-Integrationen für eine schnelle Wiederherstellbarkeit verfügt. Hochgradig unveränderbare Snapshots sind der Goldstandard für den Schutz vor Ransomware oder dem Löschen oder Beschädigen von Backup-Daten.
Ebene 4: Ein optionaler, reiner Datenbunker
Traditionell wurde auf Ebene 4 möglicherweise Bandspeicher verwendet. Heutzutage sind Bänder jedoch selbst für die langfristige Datenspeicherung kaum noch von Nutzen. Hier kommt ein Tier-4-Datenbunker ins Spiel, der als zusätzlicher, nur in eine Richtung nutzbarer Datenspeicher für die Aufbewahrung großer Datenmengen dient, die sofort genutzt werden können. Bunker können besonders nützlich sein, wenn eine ganze geografische Region betroffen ist und/oder die Wiederherstellung von Daten nicht praktikabel ist – aber das ist noch nicht alles, was sie leisten können.
Datenbunker: Die Geheimwaffe für Wiederherstellung und Ausfallsicherheit
Genauso wie unterirdische Bunker eine wichtige militärische Verteidigungsanlage darstellten, sind Datenbunker eine hervorragende Verteidigung gegen die Bedrohungen von heute. Als optionaler, zusätzlicher DR-Standort hinter primären und sekundären Backup- und DR-Standorten bietet ein Datenbunker eine hochsichere, zusätzliche Schutzebene.
Bunker bieten auch eine elegante Lösung für das Problem der Datengravitation. Eine militärische Analogie wäre, dass ein General nach einem Luftangriff alle kritischen Militäroperationen unter die Erde verlegt. Ein Unternehmen könnte entsprechend Rechenressourcen in einem Bunker einrichten und geschäftskritische Anwendungen verlagern, bis ein primäres und/oder sekundäres Rechenzentrum wiederaufgebaut oder wiederhergestellt ist.
Zusammenfassend lässt sich sagen, dass ein Datenbunker sehr schnell und zudem hochsicher ist, da die Kommunikation in den Bunker hinein, aber nicht aus ihm heraus erfolgt. Er hält große Datenmengen in einem nutzbaren Zustand. Bunkerdaten liegen in einer leicht zugänglichen Form auf relativ langsamen Medien vor und können im Falle einer größeren Katastrophe als ultimativer Wiederherstellungspunkt verwendet werden. Dies macht die Speicherung großer Datenmengen durch Datenreduzierung und/oder QLC-Ökonomie erschwinglich. Ein Datenbunker speichert Langzeitdaten, die Jahre zurückreichen. Diese Daten können für andere Zwecke verwendet werden, z. B. für Analysen, Compliance oder behördliche Anforderungen. Im Datenbunker liegen nur Daten und werden kontinuierlich repliziert. Unter normalen Umständen werden darin keine Produktionsrechenressourcen betrieben. Im Allgemeinen gibt es nur einen Weg hinein, ohne oder mit begrenztem Ausgang. Daten im Bunker könnten für begrenzte Zwecke verwendet werden und würden unter normalen Umständen nicht dazu bestimmt sein, den Bunker zu verlassen.
Fazit von Pure Storage: Schnelle Wiederherstellung macht den Unterschied
Die Implementierung einer Resilienzarchitektur ist eine hervorragende Möglichkeit, Resilienz und Langlebigkeit in die Wiederherstellungsstrategie zu integrieren, aber es ist möglich, noch einen Schritt weiterzugehen. Mit dem in jede Ebene integrierten SafeMode-Schutz und unveränderlichen Snapshots für zusätzliche Ausfallsicherheit sind Unternehmen noch besser vor Malware-Angriffen und versehentlichen oder böswilligen Löschungen geschützt. Ransomware wird von Tag zu Tag intelligenter, aber mittels moderner Backup- und Wiederherstellungslösungen können Unternehmen die Angreifer überlisten.
