5 0 0:SEP Immutable Storage – SiS (Unveränderlicher Speicher)

From SEPsesam
This page is a translated version of the page 5 0 0:SEP Immutable Storage – SiS and the translation is 100% complete.
Other languages:

Copyright © SEP AG 1999-2022. Alle Rechte vorbehalten.

Jede Form der Reproduktion der Inhalte dieses Benutzerhandbuches, ganz oder in Teilen, ist nur mit der ausdrücklichen schriftlichen Erlaubnis der SEP AG gestattet. Bei der Erstellung dieses Benutzerhandbuches wurde mit größtmöglicher Sorgfalt gearbeitet, um korrekte und fehlerfreie Informationen bereit stellen zu können. Trotzdem kann die SEP AG keine Gewähr für die Richtigkeit der Inhalte dieses Benutzerhandbuches übernehmen.

Docs latest icon.png Willkommen in der aktuellsten Version der SEP sesam Dokumentation 5.0.0 Jaglion. Frühere Versionen der Dokumentation finden Sie hier: Dokumentation Archiv.


Übersicht

Bitte beachten Sie: SiS ist eine kommende (geplant für Jaglion V2 Release) Datenschutzfunktion. Das Veröffentlichungsdatum und die genaue Funktionalität können sich noch ändern.

Ein Immutable Storage (unveränderlicher Speicher) ist ein sehr wirksamer Schutz gegen Ransomware-Angriffe. Da sich Ransomware immer weiter entwickelt, werden Sicherungen zu einem der Ziele von Ransomware-Angriffen. Sie können gelöscht, verändert oder verschlüsselt werden. Daten können verloren gehen oder Ihr Unternehmen kann der Gefahr ausgesetzt werden, dass wichtige Unternehmensdaten oder Authentifizierungsinformationen verkauft oder weitergegeben werden, wenn das Lösegeld nicht gezahlt wird.

SiS - SEP Immutable Storage (unveränderlicher Speicher)

SEP sesam führt SEP Immutable Storage, auch Si-Storage oder SiS genannt, ein, um Angriffe auf Sicherungen zu verhindern. Die Idee hinter SEP sesam Immutable Storage ist, dass gespeicherte Daten während ihrer gesamten Lebensdauer in ihrer ursprünglichen und unveränderten Form vollständig statisch bleiben. Das bedeutet, dass Unternehmen sich schnell von einem Ransomware-Angriff erholen können, selbst wenn sie den Zugriff auf ihre Daten und Server verloren haben, indem sie gespeicherte Datenkopien verwenden, die unverändert und intakt geblieben sind, um die gesamte Betriebsumgebung wiederherzustellen.

SiS: Für Szenarien, in denen der Administrator-Zugang zum Sicherungsserver gefährdet ist

Angreifer kompromittieren in der Regel mehrere Konten, wenn sie versuchen, Zugang zu Administratorkonten zu erhalten, um die Ransomware zu starten. Zu den anvisierten Administratorkonten gehören die Anmeldedaten von Sicherungs-Administratoren, die eine Hintertür für den Zugriff auf relevante, an einem einzigen Ort gespeicherte Umgebungsdaten bieten. Die Sicherungsumgebung ist ein guter Ansatzpunkt, da der Sicherungsserver Zugriff auf kritische Systeme wie die Virtualisierungsumgebung und Speicherorte hat.

Information sign.png Anmerkung
Daher kann SiS in einem Ransomware-Szenario eine entscheidende Rolle spielen. Selbst mit vollem Admin-Zugriff auf den SEP sesam Sicherungsserver können die Angreifer Ihre Sicherungsdaten nicht löschen oder sie in irgendeiner Weise verändern oder verschlüsseln. Es spielt also keine Rolle, ob der Angreifer die Kontrolle über Ihre Sicherungsserver erlangt hat, da Sie immer über die Daten verfügen, die nicht kompromittiert sind und für die Rücksicherung Ihrer gesamten Umgebung verwendet werden können.

Weitere Einzelheiten finden Sie unter Bewährte Praktiken zum Schutz vor Ransomware.

Wesentlichste Vorteile von SiS

Resistent gegen Ransomware-Angriffe
Die Unveränderlichkeit gewährleistet, dass die Daten statisch, unveränderbar und nicht löschbar sind. Angreifer können sie daher nicht ändern, verschlüsseln oder löschen, selbst wenn sie sich Zugang zu Ihrer Sicherungsumgebung verschafft haben.
Resistent gegen menschliches Versagen und böswillige Insider-Bedrohungen
Niemand von innen, unabhängig von seiner Rolle im Unternehmen und seinem Benutzerstatus, kann die Daten absichtlich oder versehentlich manipulieren oder löschen.
Einhaltung von Datensicherheits- und Compliance-Vorschriften
SiS kann sicherstellen, dass die Daten in Übereinstimmung mit den Anforderungen der Branche und den gesetzlichen Vorschriften aufbewahrt werden, indem es die Unveränderlichkeit und Authentizität der Daten gewährleistet. Die Unveränderlichkeit garantiert die Integrität der Daten und ihre Löschung nach einem bestimmten Zeitraum.
Gesetzliche Aufbewahrungspflicht
Gewährleistet die Datenauthentizität bei Rechtsstreitigkeiten und die sichere Aufbewahrung sensibler Informationen für eine bestimmte Zeitspanne.

Gewährleistung der Unveränderlichkeit von Daten

SiS basiert auf dem Si3 NG Deduplication Store, einem speziellen Typ von Datenspeicher, der typischerweise für die Si3 Deduplizierung benötigt wird. Si3 NG ist eine neue Generation des Si3-Datenspeichers, der eine hohe Leistung für die Sicherung, Rücksicherung und Migration sowie für die direkte Sicherung in S3 bietet. Die neue SiS-Funktionalität bietet zusätzlich integrierte Sicherheitsfunktionen zur Wahrung der Datenintegrität, wie z.B. eine WORM-Funktion (Write-Once-Read-Many), definierbare Unveränderlichkeit, Audit-Protokolle usw.

Auf der Grundlage des Dateischutzdienstes (File Protection Service - FPS), der das Dateisystem durchsucht und das Immutable Bit für alle neuen Objekte setzt, werden alle auf SiS gespeicherten Daten zum Zeitpunkt der Speicherung als unveränderlich gekennzeichnet und können nicht mehr geändert werden. Kein auf SiS gespeichertes Objekt kann in irgendeiner Weise verändert werden: Es kann nicht umbenannt oder entfernt werden, es können keine Verknüpfungen zu diesen Objekten hergestellt werden, und es kann nicht auf seine Metadaten zugegriffen oder diese verändert werden. Die Objekte mit unveränderlichen Attributen können nur im Lesemodus angezeigt werden.

SiS ist ein Speicherort, der einmal beschrieben und so oft wie nötig gelesen werden kann. Dies gilt für alle Medienpools, die mit dem SiS-Datenspeicher verbunden sind.

Wie das funktioniert

Linux Server mit SEP sesam
Der Si3 NG Deduplication Store muss auf einem dedizierten Linux Server mit installiertem SEP sesam eingerichtet werden und direkt mit dem SEP sesam Server über TCP Netzwerkzugang verbunden werden, um ihn vor Angriffen über VM-Zugriff zu schützen. Alle Anforderungen für den Linux-Server finden Sie im Abschnitt Anforderungen.
Geschützter Remote-Zugriff
Wenn der SSH-Zugriff auf den SiS-Server aktiviert ist, müssen völlig andere Anmeldedaten als SEP sesam Admin und Server root verwendet werden, damit sie nicht kompromittiert werden können, und an einem entfernten Ort gespeichert werden, auf den der SEP sesam Server nicht zugreifen kann. Robuste Authentifizierung und Autorisierung müssen zusammen mit den Prinzipien des geringsten Privilegs (Principles of least Privilege) und der Aufgabentrennung (Separation of Duties - SOD) beachtet werden. Es wird empfohlen, dass SEP sesam Komponenten nur über einen eingeschränkten TCP Port unter Verwendung von Nicht-Root-Zugangsdaten kommunizieren.
Daten können nicht angetastet werden
Kontrollierter Zugriff mit flexibler Einstellung der Datenaufbewahrungszeit, während die Objekte WORM-geschützt und unveränderlich sind, so dass der Zugriff auf die Daten eingeschränkt ist - sie können nicht geändert, verschlüsselt oder gelöscht werden.
Kein Zugriff erlaubt
Sobald der Unveränderlichkeitszeitraum festgelegt ist, können nicht einmal privilegierte Konten, wie z.B. ein autorisierter Sicherungsadministrator, die Aufbewahrung ändern, vorzeitig ablaufen lassen oder löschen.
Gesicherte Datenintegrität
Jedes auf SiS gespeicherte Objekt hat seinen eigenen Hash-Wert, der auf seinem Inhalt basiert und seine Integrität gewährleistet. Wenn aktualisierte Daten in einem unveränderlichen Dateisystem gespeichert werden, werden sie an einem neuen Ort gespeichert, so dass nur der geänderte Block geschrieben und die Metadaten des Dateispeicherorts aktualisiert werden. Auf diese Weise bleiben die Daten in einem unveränderlichen Dateisystem gleich, während sich die Metadaten im Laufe der Zeit ändern.
Unveränderlichkeit garantiert durch SiS
Die Unveränderlichkeit von SiS basiert auf dem zugrunde liegenden Dateisystem. Wenn alte Sicherungsdaten von SiS auf einen anderen Speicher verschoben werden, z.B. auf einen billigeren Archivspeicher in der Cloud oder auf Band, hat SEP sesam nicht mehr das Eigentum an den Daten, die sich nun in einer Domäne des gewählten Speichers befinden, und die Unveränderlichkeit wird von SEP sesam nicht mehr garantiert.
Information sign.png Anmerkung
SiS kann so konfiguriert werden, dass es den Vorschriften entspricht und die Vertraulichkeit, Integrität und Sicherheit der darauf gespeicherten Daten nachweist. Die Verwaltung und Sicherheit des SiS-Speichers liegt jedoch in der Verantwortung des Kunden, während SEP die Unveränderlichkeit des SiS und seinen ununterbrochenen Betrieb nur dann garantieren kann, wenn die Konfiguration des SiS-Speichers korrekt durchgeführt wurde und alle Bedingungen (wie unten beschrieben) für den SiS-Betrieb erfüllt sind.

Unterstützte Auftragstypen

SiS unterstützt alle auch sonst von SEP sesam unterstützten Sicherungsauftragstypen:

  • Alle Pfad-Sicherungen (Dateisystem)
  • Alle unterstützten VM-Sicherungsaufträge: Citrix XEN Server/XCP-ng, Hyper-V, KVM QEMU, Nutanix AHV, OpenNebula, Oracle Linux Virtualization Manager (OLVM), Proxmox VE, Red Hat Virtualization (RHV), VMware vSphere
  • Alle unterstützten Datenbanksicherungen: IBM DB2, Informix, MS SQL, MySQL/MariaDB, Oracle, PostgreSQL, SAP, SAP ERP mit MaxDB
  • Alle unterstützten Groupware Sicherungen: GroupWise, HCL (IBM) Domino, Kopano, MS Exchange, SharePoint

Konfiguration eines Immutable Storage

Da Windows-basierte Sicherungsserver anfälliger für bösartige Angriffe sind, verlässt sich SiS auf ein Linux-System, um unveränderliche Kopien der Sicherungsdaten zu speichern. Diese Anforderung gilt nur für den SiS Server, während der SEP sesam Server Windows oder Linux sein kann, wie in den SEP sesam Hardware Anforderungen beschrieben.

Im Folgenden finden Sie eine Liste der Voraussetzungen für die Einrichtung des SiS Linux-Servers und des Si3 NG.

Anforderungen

Information sign.png Anmerkung
SiS erfordert einen dedizierten Linux-Server, auf dem eine 64-Bit-Linux-Distribution mit den folgenden Merkmalen läuft:
  • Eine der unterstützten Linux-Versionen: SLES 15, RHEL 8 oder Debian 11
  • XFS
  • ext4
  • Unterstützung des chattr-Befehls
  • Ausreichende Speicherkapazität (siehe Hardware Anforderungen).

Der SiS Server funktioniert nicht auf älteren Linux-Versionen wie SLES12, RHEL 7 und Debian 10.

  • Installiertes SEP sesam RDS Paket V. 5.0.0.x. Für Details, siehe SEP sesam Installation - Kurzanleitung.
    • Für die minimalen Si3 Hardware Anforderungen, die für den SEP sesam Si3 Deduplizierungsserver gelten, siehe Hardware Anforderungen.
    • Für den Si3 NG Deduplication Store ist eine zusätzliche Menge an RAM erforderlich. Details finden Sie unter Konfiguration eines Si3 NG Deduplication Store: Erforderliche zusätzliche Menge an RAM und CPU.
    • Wenn Sie die maximale Größe für einen Si3 Deduplication Store abschätzen möchten, müssen Sie sicherstellen, dass auch genügend Platz für den Si3 Reparaturbereich vorhanden ist. Andernfalls hat der Si3 Deduplication Store zu wenig Platz für einen einwandfreien Betrieb. Der benötigte Speicherplatz sollte anhand der Größe einer FULL-Sicherung aller erforderlichen Daten berechnet und um weitere 50% (dieser Datenmenge) vergrößert werden. Dies ergibt eine Abschätzung für den insgesamt benötigten Speicherplatz.
  • Si3 NG läuft auf einer Java Plattform und benötigt eine Java Laufzeitumgebung. Die benötigte Java-Version hängt von der SEP sesam Version ab.
  • Die Konfiguration des SiS-Servers muss manuell auf dem Server selbst vorgenommen werden, wie im folgenden Abschnitt erläutert.
SEP Warning.png Achtung
Die Sicherheit des SiS-Speichers und der Schutz Ihrer Daten vor verschiedenen Angriffen wird von SEP nur dann gewährleistet, wenn Folgendes zutrifft: Wenn SSH für den Zugriff auf den SiS-Server verwendet wird, müssen Sie eindeutige Zugangsdaten mit eingeschränktem Zugriff verwenden, die sich vollständig von SEP sesam Admin und Server root unterscheiden. Diese Zugangsdaten dürfen nur an einem Ort gespeichert werden, auf den der SEP sesam Server keinen Zugriff hat.

Konfiguration: Auf einem dedizierten SiS Linux Server

  1. Laden Sie das SEP sesam RDS Paket V. 5.0.0.x aus dem SEP Download Center herunter: Stellen Sie sicher, dass Sie die richtige Datei für Ihren Prozessortyp herunterladen. Installieren Sie das Paket auf dem Linux Server wie in Linux Installation beschrieben.
  2. Um den Speicherpfad für den SiS Datenspeicher einzurichten, ermitteln Sie die nächste freie Laufwerksnummer auf dem SEP sesam Server. Öffnen Sie dann die Shell auf RDS und führen Sie aus:
# sm_create_sds.sh -E <Tage> -d <Laufwerksnummer> <Datenspeichername> <Speicherpfad>
  -E <Unveränderlichkeitszeitraum in Tage>
  -d <Laufwerksnummer>

Zeitraum der SiS Unveränderlichkeit

Unveränderlichkeitszeitraum bedeutet, dass alle Sicherungssätze auf dem SiS-Speicher für die konfigurierte Anzahl von Tagen unveränderbar sind. Der in den SiS-Speichereinstellungen angegebene Zeitraum für die Unveränderlichkeit beginnt in dem Moment, in dem ein Sicherungssatz in den Speicher geschrieben wird.

Im folgenden Beispiel wird der Unveränderlichkeitszeitraum auf einem dedizierten SiS Linux Server auf 30 Tage festgelegt: -E 30. Dies sollte ausreichen, um eine typische Sicherungskette zu schützen, da Ransomware bereits in Ihren Systemen sein kann, bevor sie zuschlägt.

Beispiele

#/opt/sesam/bin/sesam/sm_create_sds.sh -E 30 -d 20 si3 /data

In diesem Fall empfiehlt SEP die folgende Aufbewahrung für eine Sicherungskette: Erstellen Sie einen Medienpool MONTH mit einer Aufbewahrungszeit von 31 Tagen (geben Sie einen zusätzlichen Tag an: SiS Unveränderlichkeitszeitraum + 1 Tag, wobei SiS Unveränderlichkeitszeitraum die Anzahl der Tage ist, die Sie auf der SiS-Speicherseite angegeben haben) und erstellen Sie eine 7-Tage-Richtlinie für FULL INCR. Beachten Sie, dass Sicherungen auf SiS geschützt sind und daher keiner Änderung unterliegen. Daher ist es sehr wichtig, dass Ihre Sicherungskettenkonfiguration mit der SiS Unveränderlichkeitszeitraum-Einstellung synchronisiert wird, damit Ihre aktive Sicherungskette geschützt ist. Weitere Details finden Sie im Abschnitt Erstellen von Unveränderlichkeits- und Aufbewahrungsrichtlinien.

Nach Ablauf des Unveränderlichkeitszeitraums werden die Sicherungen aus dem SiS-Speicher gelöscht.

Firewall Konfiguration

Um eine Verbindung vom SEP sesam Server zu akzeptieren, muss der richtige Port für den SiS Dienst geöffnet sein. Der Standardport ist 11701 + Laufwerksnummer (wie oben konfiguriert). Addieren Sie die zugewiesene Laufwerksnummer (aus dem ersten Schritt) mit der Standard-Portnummer.

Beispiel für Laufwerksnummer 20: 11701 + 20 = 11721
Dieser Port muss in der Firewall geöffnet sein.

Beispiel für Debian Linux:

firewall-cmd --zone=public --add-port 11721/tcp -permanent
firewall-cmd -reload
firewall-cmd --list-ports (returns at least port 11721/tcp)

Konfiguration: Auf dem SEP sesam Server

SEP Warning.png Achtung
Aus Sicherheitsgründen darf der dedizierte SiS Linux Server nicht als SEP sesam Client hinzugefügt werden!

Fügen Sie zunächst die folgende Systemeinstellung zur SEP sesam DB hinzu, um den Datenspeichertyp SiS in der Benutzeroberfläche zu aktivieren. Sie müssen das SEP sesam Profil einstellen, um den Befehl von der Kommandozeile auszuführen. Verwenden Sie dann den folgenden Befehl:

sm_db "INSERT INTO defaults (key,user_name,value) VALUES ('gui.enable.credentials.si3appliance','sesam','1');"

Sobald der oben genannte Standardwert hinzugefügt wurde, öffnen Sie die GUI und erstellen Sie einen neuen Si3 NG-Datenspeicher mit demselben Namen wie auf dem RDS.

  1. In Auswahl -> Komponenten klicken Sie Datenspeicher, um den Inhalt des Datenspeichers anzuzeigen.
  2. Im Menü Datenspeicher, wählen Sie Neuer Datenspeicher. Der Dialog Neuer Datenspeicher wird geöffnet.
  3. Geben Sie in den Eigenschaften des Datenspeichers den Namen ein, den Sie zuvor auf dem RDS als Namen für den Si3 NG Deduplication Store verwendet haben. Durch die Eingabe des Namens wird auch der Laufwerksgruppenname für Ihren Si3 Deduplication Store im Feld Neue Laufwerksgruppe gesetzt.
  4. Aus der Auswahlliste Speicherart, wählen Sie SEP Si3 NG Deduplication Store.
  5. SiS new-DS Jaglion V2 de.jpg
  6. Die Optionen Erstelle Laufwerk und Zweites Laufwerk anlegen sind unter den Eigenschaften Laufwerksparameter aktiviert. Der vordefinierte Wert für das Laufwerk wird automatisch in das Feld Laufwerksnummer eingetragen. Ändern Sie die Laufwerksnummer und geben Sie die Laufwerksnummer ein, die Sie in der SiS-Konfiguration ausgewählt haben.
  7. Der Name im Feld Neue Laufwerksgruppe ist bereits gefüllt. Sie können ihn ändern, indem Sie einfach einen neuen Namen eingeben.
  8. Der voreingestellte Anzahl an Kanälen wird bereits in der Auswahlliste Max. Anzahl Kanäle angezeigt. Die Anzahl der verfügbaren Kanäle hängt von ihrem SEP sesam Paket ab. Details zur Lizenzierung, siehe SEP sesam Lizenz.
  9. Aus der Auswahlliste Device Server wählen Sie den Device Server für ihren Datenspeicher.
  10. Wechseln Sie zum Reiter Speicher Backend und konfigurieren Sie die Anmeldeinformationen, indem Sie Neu wählen. Benennen Sie das neue Zugangsdatenset und setzen Sie den SiS Host auf den Hostnamen oder die IP-Nummer von RDS.
  11. SiS config-credentials de.jpg
  12. Gehen Sie zurück zu Eigenschaften, um das Feld Pfad zu konfigurieren. Verwenden Sie die große Schaltfläche Durchsuchen, um den Server zu suchen und den Speicherort Ihres Datenspeichers zu finden, den Sie bei der Konfiguration von SiS festgelegt haben. Das Informationsfenster Neuer Datenspeicher erscheint mit vordefinierten empfohlenen Werten für die Größe Ihres Datenspeichers. Klicken Sie auf OK, um den ausgewählten Speicherort und die empfohlenen Größenwerte zu bestätigen.
    Information sign.png Anmerkung
    Sie können den Speicherort nur durchsuchen, wenn Sie die Anmeldeinformationen wie im vorherigen Schritt beschrieben konfiguriert haben.

    Sie können die Größe Ihres Datenspeichers später unter den Eigenschaften Größe ändern. Sie können die folgenden Werte auch manuell eingeben, je nach freiem Speicherplatz auf SiS.

    • Kapazität: Geben Sie die Größe (in GB/GIB) des Sicherungsspeicher an.
    • Oberer Schwellenwert (High Water Mark): Die HWM definiert eine Obergrenze für den genutzten Speicherplatz. Wenn dieser Wert erreicht wird, ändert sich der Status eines Datenspeichers von OK auf Warnung, aber die Sicherungen werden weiterhin durchgeführt. Stellen Sie sicher, dass Sie genügend Speicherplatz für Ihre gesicherten Daten zur Verfügung stellen.

    SiS config-browse de.jpg
    Klicken Sie auf OK, um Ihren Datenspeicher zu konfigurieren. Sie werden aufgefordert, sofort einen neuen Medienpool für diesen zu erstellen. Klicken Sie auf Ja und folgen Sie dem im folgenden Abschnitt Erstellen von Unveränderlichkeits- und Aufbewahrungsrichtlinien beschriebenen Verfahren.

Erstellen von Unveränderlichkeits- und Aufbewahrungsrichtlinien

Durch die Wahl des Zeitraums für die Unveränderlichkeit legen Sie fest, wie lange Objekte sicher aufbewahrt werden, bevor sie gelöscht werden. Die Unveränderlichkeit der gesicherten Daten wird erreicht, indem der Zugriff auf die Daten vollständig eingeschränkt wird, so dass sie nicht verändert werden können. Das bedeutet, dass die Unveränderlichkeitsrichtlinie, die Sie auf dem SiS-Speicher erstellen, nicht geändert werden kann.

SiS Unveränderlichkeitszeitraum und Medienpool-Aufbewahrungszeit

Bei der Konfiguration des SiS-Speichers wird die Aufbewahrungszeit eigentlich zweimal festgelegt:

  1. Zunächst auf dem SiS-Speicher selbst. Der SiS Unveränderlichkeitsparameter ist der ausschlaggebende Parameter für die Dauer der Unveränderlichkeit und gibt an, wie lange die darauf gespeicherten Sicherungssätze unveränderlich sind und daher nicht gelöscht, verschoben oder in irgendeiner Weise verändert werden können. Siehe das Beispiel oben.
    Information sign.png Anmerkung
    Die Einstellung der SiS-Unveränderlichkeit kann nur auf dem SiS Speicher selbst konfiguriert werden und kann nicht über die SEP sesam UI geändert werden. Der Zeitraum für die Unveränderlichkeit von Daten auf SiS wird in Tagen bei der Erstellung der Richtlinie angegeben. Sie dient dazu, die Einhaltung der festgelegten Regeln zu erzwingen und kann von niemandem geändert werden, bis der Unveränderlichkeitszeitraum abgelaufen ist.
  2. Der zweite Parameter ist die Medienpool-Aufbewahrungszeit. Sie definiert den Zeitraum, in dem alle Sicherungssätze im jeweiligen Medienpool zum Lesen verfügbar sind, so dass die Sicherungssätze erhalten bleiben und für die Rücksicherung, Migration oder Replikation zur Verfügung stehen. Dieser Zeitraum sollte länger sein als der SIS-Speicher-Unveränderlichkeitszeitraum.
    Information sign.png Anmerkung
    Nach Ablauf des Unveränderlichkeitszeitraums für den SIS-Speicher sind die Sicherungssätze weiterhin verfügbar, aber der zusätzliche Schutz gegen versehentliches Löschen oder Ändern der Sicherungssätze ist nicht mehr gegeben.

Erstellen eines Medienpools und einer Medienpool-Aufbewahrungsrichtlinie

Da SEP sesam-Datenspeicher Medienpools für die Sicherung auf Festplatten (in diesem Fall ein SiS-Speicher) verwenden, müssen Sie zunächst einen dedizierten Medienpool dafür konfigurieren und auch eine Medienpool-Aufbewahrungsrichtlinie festlegen. Beachten Sie, dass Sie so viele Medienpools für einen Datenspeicher erstellen können, wie Sie benötigen.

  1. Im Fenster Neuer Medienpool geben Sie einen Namen für den Medienpool ein, wählen eine Laufwerksgruppe (die Sie zuvor in der SiS-Datenspeicherkonfiguration angelegt haben) und stellen die Aufbewahrungszeit in Tagen ein. Diese Aufbewahrungszeit gibt die Anzahl der Tage an, für die die Daten von SEP sesam vor dem Schreiben geschützt werden, so dass die Sicherungssätze erhalten bleiben und für eine Rücksicherung verfügbar stehen. Die Aufbewahrungszeit beginnt mit dem Datum, an dem ein Sicherungssatz auf das Medium geschrieben wird und definiert das Ablaufdatum (EOL), nach dem der Sicherungssatz gelöscht werden kann.
    Information sign.png Anmerkung
    Um zumindest die komplette letzte Sicherungskette zu schützen, sollte ein in der Medienpool-Aufbewahrungszeit angegebenes Mindestmaß an Schutz immer in Übereinstimmung mit der SiS-Unveränderlichkeitszeitraum eingestellt werden. Stellen Sie sicher, dass Sie solche Aufbewahrungseinstellungen festlegen, die es Ihnen ermöglichen, die gesamte Sicherungskette auf dem SiS-Speicher zu schützen. Beachten Sie, dass die auf der Ebene des Medienpools festgelegte Aufbewahrungszeit höher sein sollte als die unveränderliche SiS-Aufbewahrungzeit. Siehe Beispiel oben.
  2. Weitere Details zur Konfiguration eines Medienpools finden Sie unter Konfiguration von Medienpools für Datenspeicher.

    SiS store media pool de.jpg

  3. Nachdem Sie Ihren Medienpool eingerichtet haben, müssen Sie einen Sicherungsauftrag erstellen, einen Zeitplan Anlegen und ein Sicherungstermin mit beidem verbinden. Details finden Sie unter Standard Sicherungsverfahren.

Sicherheitsüberlegungen

Zeiteinstellungen
Die aktuell exakte Zeiteinstellung ist für die Unveränderlichkeit entscheidend. Diese wird auf dem SiS-Linux-Server überprüft, um zu verhindern, dass potenzielle Angreifer die Zeit ändern und die konfigurierte Unveränderlichkeitszeit umgehen. Es ist also unbedingt darauf zu achten, dass die Zeit korrekt ist. Es wird empfohlen, einen zuverlässigen NTP-Server für die Zeitsynchronisation Ihres dedizierten SiS-Linux-Servers zu verwenden.
Zusätzliche Repositories auf dem dedizierten Linux-Server
Unveränderliche und nicht-unveränderliche Datenspeicher oder andere Daten-Repositories auf demselben Linux-Server zu haben, ist nicht möglich! Eine solche Konfiguration birgt zusätzliche Sicherheitsrisiken und wird daher nicht unterstützt.

Siehe auch

Audit-ProtokollierungBewährte Praktiken zum Schutz vor RansomwareÜber Authentifizierung und AutorisierungSicherungsstrategie – Best PracticesWie richte ich einen Remote Device Server (RDS) ein