In de huidige tijd met dagelijkse cyberaanvallen moeten we de traditionele manieren van backup heroverwegen. Deze volstaan simpelweg niet meer. Traditioneel is bijvoorbeeld de 3-2-1 regel met 3 kopieën op 2 verschillende media waarvan 1 offsite. Maar aangezien hackers zich als eerste richten op de backup is een gegarandeerde bescherming van het backup-target essentieel.
Wat we echter vaak als backup-target tegenkomen is een NAS of een losse Windows of Linux server met disks die via standaardprotocollen als SMB en NFS benaderbaar zijn. Of een LTO Tapelibrary met meerdere tapeslots om geautomatiseerd Tapes vol te schrijven. Ondanks dat deze backup targets wellicht in een ander netwerksegment zitten of beschermd zijn met een password: een hacker zit meestal maanden in je netwerk en achterhaald deze informatie. Om vervolgens als eerste de backup data te versleutelen of te verwijderen.
Om dit te voorkomen is de 3-2-1 regel uitgebreid met 2 extra cijfers, namelijk 3-2-1-1-0. De laatste twee cijfers houden in dat minstens 1 kopie immutable oftewel niet muteerbaar is. De 0 houdt in dat er nul fouten in de backup kopie zitten en de integriteit van de data gegarandeerd kan worden. Dit wordt door middel van regelmatige restore-tests gecontroleerd.
Immutable Backup zorgt voor extra zekerheid
Immutable houdt dus in dat eenmaal opgeslagen data niet gewist, overschreven of gewijzigd kan worden. Door niemand. De periode waarin is in de meeste systemen in te stellen (‘retention lock’) om te voorkomen dat de hoeveelheid immutable data uit de hand loopt. Ook kun je er voor kiezen om onderscheid in type data te maken en alleen die data op deze wijze te beveiligen die bedrijfskritisch zijn.
Er zijn meerdere manieren om ‘immutability’ te realiseren. Zo kun je dit doen door backup data offline te bewaren (bijvoorbeeld op LTO-Tape die je uit de library haalt) of ook wel ‘airgap’ genoemd. Daarnaast zijn er specifieke onpremise backup targets die “objectlocks” gebruiken waarbij eenmaal geschreven data ‘gelocked’ worden. Sommige aanbieders bieden verschillende type “locks” aan waarbij er een 4-ogen principe geldt en de lock alleen verwijderd kan worden door de Master Admin samen met de supportafdeling van de leverancier. Ook zijn er zogenaamde “governance- of compliancy-mode locks” voor organisaties die moeten voldoen aan bepaalde regelgeving of ISO-normen en hierop worden geaudit.
Naast onpremise backup targets die immutability bieden, bieden ook de Public Cloud Providers S3 Object lock functionaliteit. Uiteraard dient de backup software wel met immutability en protocol type (bijvoorbeeld S3) om te kunnen gaan.
Wat het beste bij jouw situatie past is afhankelijk van veel factoren. De hoeveelheid en type data, gestelde RPO en RTO eisen (link naar begrippen), huidige backup software, dreigingsprofiel, ICT organisatie etc. Het is een kwestie van de juiste investeringen doen die zijn afgestemd op de eisen van de organisatie met gezond evenwicht in o.a. risicoprofiel, functionaliteit, beheersbaarheid, RPO/RTO en kosten.
Neem contact op met kennispartner Storage Architects BV voor meer achtergrond, informatie en keuzes.
