SEP sesam immutable Storage (SiS) |

SEP sesam immutable Storage (SiS)   

Besonderer Ransomware-Schutz: SEP Immutable Storage (SiS) bietet eine Dateispeicherfunktion, die resistent gegen Ransomware-Angriffe ist und auf Si3 NG unter Linux basiert. Selbst mit vollem Admin-Zugriff auf den SEP sesam Backup Server können Angreifer die auf SiS gespeicherten Daten nicht löschen, verändern oder verschlüsseln.
 

Gefahrenszenarien: Gefährdung des Administrator-Zugangs zum Sicherungsserver 

Angreifer kompromittieren in der Regel mehrere Konten beim Versuch Zugang zu Administratorkonten zu erhalten, um die Ransomware zu starten. Zu den anvisierten Administratorkonten gehören die Anmeldedaten von Sicherungs-Administratoren, die eine Hintertür für den Zugriff auf relevante, an einem einzigen Ort gespeicherte Umgebungsdaten bieten. Die Sicherungsumgebung bietet einen guten Ansatzpunkt, da der Sicherungsserver Zugriff auf kritische Systeme wie die Virtualisierungsumgebung und Speicherorte hat. 
 

SiS - SEP Immutable Storage (unveränderlicher Speicher)

SiS ist ein sehr wirksamer Schutz gegen Ransomware-Angriffe, da Backups immer häufiger zu einem der Ziele von Angriffen werden, so dass bei diesen Ransomware-Attacken die Backups gelöscht, verändert oder verschlüsselt werden könnten. 


SEP Immutable Storage, auch Si-Storage oder SiS genannt, verhindert dies!
SEP sesam Immutable Storage für direkt angeschlossenen Linux Filesystem Storage gewährleistet, dass gespeicherte Daten während ihrer gesamten Lebensdauer in ihrer ursprünglichen und unveränderten Form vollständig statisch bleiben. Das bedeutet, dass Unternehmen sich schnell von einem Ransomware-Angriff erholen können, selbst wenn sie den Zugriff auf ihre Daten und Server verloren haben, indem sie gespeicherte Datenkopien verwenden, die unverändert und intakt geblieben sind, um die gesamte Betriebsumgebung wiederherzustellen.


Mit SiS können die Angreifer selbst mit vollem Admin-Zugriff auf den SEP sesam Sicherungsserver die Sicherungsdaten nicht löschen oder sie in irgendeiner Weise verändern oder verschlüsseln. Es spielt also keine Rolle, ob der Angreifer die Kontrolle über Ihre Sicherungsserver erlangt hat, da Sie immer über die nicht kompromittiert Daten verfügen und diese für die Rücksicherung Ihrer gesamten Umgebung verwendet werden können. SiS basiert auf dem Si3 NG Deduplication Store, einem speziellen Typ von Datenspeicher, der für die Si3 Deduplizierung benötigt wird. Si3 NG ist eine neue Generation des Si3-Datenspeichers, der eine hohe Leistung für die Sicherung, Rücksicherung und Migration sowie für die direkte Sicherung in S3 bietet. Die neue SiS-Funktionalität bietet zusätzlich integrierte Sicherheitsfunktionen zur Wahrung der Datenintegrität, wie z.B. eine WORM-Funktion (Write-Once-Read-Many), definierbare Unveränderlichkeit (einzustellende Retention Time), Audit-Protokolle usw.


Auf der Grundlage des Dateischutzdienstes (File Protection Service - FPS), der das Dateisystem durchsucht und das Immutable Bit für alle neuen Objekte setzt, werden alle auf SiS gespeicherten Daten zum Zeitpunkt der Speicherung als unveränderlich gekennzeichnet und können nicht mehr geändert werden. Kein auf SiS gespeichertes Objekt kann in irgendeiner Weise verändert werden: Es kann nicht umbenannt oder entfernt werden, es können keine Verknüpfungen zu diesen Objekten hergestellt werden, und es kann nicht auf seine Metadaten zugegriffen oder diese verändert werden. Die Objekte mit unveränderlichen Attributen können nur im Lesemodus angezeigt werden.


SiS ist ein Speicherort, der einmal beschrieben und so oft wie nötig gelesen werden kann. Dies gilt für alle Medienpools, die mit dem SiS-Datenspeicher verbunden sind.

SiS Highlights auf einen Blick


Resistent gegen Ransomware-Angriffe
Die Unveränderlichkeit gewährleistet, dass die Daten statisch, unveränderbar und nicht löschbar sind. Angreifer können sie daher nicht ändern, verschlüsseln oder löschen, selbst wenn sie sich Zugang zu Ihrer Sicherungsumgebung verschafft haben.


Resistent gegen menschliches Versagen & böswillige Insider-Bedrohungen
Niemand von innen, unabhängig von seiner Rolle im Unternehmen und seinem Benutzerstatus, kann die Daten absichtlich oder versehentlich manipulieren oder löschen.


Einhaltung von Datensicherheits- und Compliance-Vorschriften
SiS kann sicherstellen, dass die Daten in Übereinstimmung mit den Anforderungen der Branche und den gesetzlichen Vorschriften aufbewahrt werden, indem es die Unveränderlichkeit und Authentizität der Daten gewährleistet. Die Unveränderlichkeit garantiert die Integrität der Daten und ihre Löschung nach einem bestimmten Zeitraum (einzustellende Retention Time).


Gesetzliche Aufbewahrungspflicht
Gewährleistet die Datenauthentizität bei Rechtsstreitigkeiten und die sichere Aufbewahrung sensibler Informationen für eine bestimmte Zeitspanne.

 

Funktionsweise

Der Si3 NG Deduplication Store muss auf einem dedizierten Linux Server mit installiertem SEP sesam eingerichtet werden und direkt mit dem SEP sesam Server über TCP Netzwerkzugang verbunden werden, um ihn vor Angriffen über VM-Zugriff zu schützen.


Remote-Zugriff ist geschützt
Wenn der SSH-Zugriff auf den SiS-Server aktiviert ist, müssen völlig andere Anmeldedaten als beim SEP sesam Admin und Server Root verwendet werden, damit sie nicht kompromittiert werden können, und an einem entfernten Ort gespeichert werden, auf den der SEP sesam Server keinen Zugriff hat. Robuste Authentifizierung und Autorisierung müssen zusammen mit den Prinzipien des geringsten Privilegs (Principles of least Privilege) und der Aufgabentrennung (Separation of Duties - SOD) beachtet werden. Es wird empfohlen, dass SEP sesam Komponenten nur über einen eingeschränkten TCP Port unter Verwendung von Nicht-Root-Zugangsdaten kommunizieren.

Unveränderbare Daten 
Kontrollierter Zugriff mit flexibler Einstellung der Datenaufbewahrungszeit, während die Objekte WORM-geschützt und unveränderlich sind, so dass der Zugriff auf die Daten eingeschränkt ist – Die Daten können nicht geändert, verschlüsselt oder gelöscht werden.

Keine Zugriffserlaubnis
Sobald der Unveränderlichkeitszeitraum festgelegt ist, können nicht einmal privilegierte Konten, wie z.B. ein autorisierter Sicherungsadministrator, die Aufbewahrung ändern, vorzeitig ablaufen lassen oder löschen.

Gesicherte Datenintegrität
Jedes auf SiS gespeicherte Objekt hat seinen eigenen Hash-Wert, der auf seinem Inhalt basiert und seine Integrität gewährleistet. Wenn aktualisierte Daten in einem unveränderlichen Dateisystem gespeichert werden, werden sie an einem neuen Ort gespeichert, so dass nur der geänderte Block geschrieben und die Metadaten des Dateispeicherorts aktualisiert werden. Auf diese Weise bleiben die Daten in einem unveränderlichen Dateisystem gleich, während sich die Metadaten im Laufe der Zeit ändern.

Garantierte Unveränderlichkeit durch SiS
Die Unveränderlichkeit von SiS basiert auf dem zugrunde liegenden Dateisystem. Wenn alte Sicherungsdaten von SiS auf einen anderen Speicher verschoben werden, z.B. auf einen günstigeren Archivspeicher in der Cloud oder auf Band, hat SEP sesam nicht mehr das Eigentum an den Daten, die sich nun in einer Domäne des gewählten Speichers befinden, und die Unveränderlichkeit wird von SEP sesam nicht mehr garantiert.

Was wird mit SiS unterstützt?
SiS unterstützt alle auch sonst von SEP sesam unterstützten Sicherungsauftragstypen:

  • Alle Pfad-Sicherungen (Dateisystem)

  • Alle unterstützten VM-Sicherungsaufträge: Citrix XEN Server/XCP-ng, Hyper-V, KVM QEMU, Nutanix AHV, OpenNebula, Oracle Linux Virtualization Manager (OLVM), Proxmox VE, Red Hat Virtualization (RHV), VMware vSphere

  • Alle unterstützten Datenbanksicherungen: IBM DB2, Informix, MS SQL, MySQL/MariaDB, Oracle, PostgreSQL, SAP, SAP ERP mit MaxDB

  • Alle unterstützten Groupware Sicherungen: GroupWise, HCL (IBM) Domino, Kopano, MS Exchange, SharePoint

2