Odborná sekce
S3 Cloud Objektové úložiště proti ransomware - VEEAM Backup
07.10.2024, 15:11
Rozšiřte své VEEAM zálohování o Imutabilitu a ochranu dat v další lokalitě! S3 Cloud Objektové úložiště s datovými centry v ČR je jedním ze základních kamenů strategie obrany proti kybernetickým útokům.
Hledáte efektivní S3 Cloud Objektové úložiště pro svůj zálohovací software? Pronajměte si ho jako službu a využijte flexibilitu, kterou přináší. Platíte pouze za to, co skutečně využíváte – žádné skryté poplatky, paušály nebo závazky! Kontaktujte nás pro cenovou specifikaci.
Jedním z nejvážnějších kybernetických útoků je ransomware. Frekvence útoků je alarmující – dochází k nim každých 11 sekund, a zhruba 80 % případů směřuje na firmy. Zranitelné nejsou jen velké korporace, ale také středně velké a menší podniky. Zejména menší společnosti často nemají dostatečné zdroje na robustní kybernetickou ochranu, což je činí atraktivnějšími cíli.
Zejména pro tyto společnosti je výhodné neinvestovat do vlastní technologie zálohování v další lokalitě, ale pronajmout si imutabilní kapacitu jako službu S3 Cloud úložiště, které je kompatibilní s Amazon S3 REST API.
Naše služba S3 Cloud Objektové úložiště je postavena na Enterprise technologii Hitachi Content Platform (HCP). Je certifikována dle zákona „§499 O archivnictví a spisové službě“ a dále Digitální a informační agenturou (DIA) jako poskytovatel „cloud computingu dle § 6q zákona č. 365/2000 Sb. o informačních systémech veřejné správy“.
Co je to imutabilita?
Imutabilní záloha je typ zálohy, kterou poskytují S3 Objektová úložiště. Takovou zálohu nelze změnit nebo smazat. Neměnnost je vynucena samotným objektovým úložištěm a nelze tedy obejít ani v situaci, kdy útočník získá nejvyšší ADMIN oprávnění (i v rámci zálohovací infrastruktury).
Imutabilní záloha tedy chrání nejen proti vnější hrozbě (kyber útok), ale taktéž proti vnitřní hrozbě (snaha zaměstnance škodit).
Neměnné zálohy lze odstranit pouze po uplynutí nastaveného časového období. S nástupem ransomwaru se neměnná záloha stala pro obnovu zásadní. Je to proto, že aktéři hrozeb nyní běžně útočí na zálohy. S neměnnou zálohou jsou data chráněna před těmito typy útoků .
Zálohování dat do S3 Cloud Objektové úložiště s Imutabilitou
VEEAM Data Platform umožňuje zálohovat data do S3 Cloud úložiště a využívat funkci S3 Object Lock tak, aby byly jejich zálohy byly neměnné - Imutabilní. Neměnnost zajišťuje, že jakmile jsou data zapsána, nelze je změnit nebo smazat, dokud nevyprší zadaná doba Imutability. Tato funkce je zvláště výhodná při ochraně před útoky ransomwaru, protože zabraňuje zlomyslným aktérům manipulovat se zálohovanými daty. Přidání šifrování k vašim datům také pomáhá zabránit zlodějům v krádeži vašich dat, protože bez správného klíče jsou k ničemu. Konfigurace vzdáleného S3 Objektového úložiště v prostředí VEEAM je velmi jednoduchá...
Jak funguje neměnnost
Při konfiguraci úložiště záloh ve VEEAM Backup mohou uživatelé povolit Imutabilitu pro své S3 repositáře. Doba Imutability je nastavena na základě zásad nakonfigurovaných v rámci S3 Object repositáře. Pokud například zásady uchovávání stanoví 30denní období, vaše data zůstanou po těchto 30 dní neměnná.
VEEAM používá ke komunikaci s S3 Objektovým úložištěm dvě možné metody, kde každá z metod přináší určité výhody:
- Metoda DIRECT (komunikuje přímo s S3 úložištěm a nevyžaduje lokální kapacitu. Může však čerpat více kapacity úložiště.
- Metoda Scale-Out ( Díky spojení lokálního a S3 úložiště vytváří kapacitně velmi efektivní řešení s minimálními nároky na přenosové linky. Vyžaduje však jisté množství lokální "akcelerační" kapacity)
Použití vhodné metody je otázkou volby na základě vícero faktorů a rádi Vám poskytneme k těmto možnostem konzultaci.
Veeam Backup - Zálohovací metoda DIRECT ► S3 Objektové úložiště
Metoda „Direct“ zálohuje on-line přímo do S3 Cloud Objektového úložiště a nevyžaduje žádnou lokální backup repository. Jednoduchost této metody je vyvážena určitými vlastnostmi, které je třeba vzít v úvahu:
- Aby zálohovací úloha mohla proběhnout, vyžaduje funkční konektivitu do S3 objektového úložiště.
- Nízká rychlost konektivity vede k dlouhému trvání zálohovací úlohy a tím k příliš dlouhému „životu“ VMware snapshotu.
- Kromě komprese neprobíhá žádná další metoda zmenšení objemu dat. Dvakrát provedený FullBackup alokuje dvakrát více dat na úložišti.
- Rychlost restore je závislý na rychlosti konektivity do S3 Objektového úložiště.
Veeam Backup - Zálohovací metoda ScaleOut ► S3 Objektové úložiště
Metoda „ScaleOut“ vyžaduje lokální kapacitu - Backup Repository o kapacitě alespoň pro jednu plnou zálohu. Tuto kapacitu využívá Veeam jako „lokální akcelerační cache“ pro postprocesní přenos dat do S3 Objektového úložiště. Tato metoda sice vyžaduje potřebu určitého množství kapacity na backup serveru, má však řadu výhod:
- Záloha probíhá lokální rychlostí do Performance Tieru. Ten drží alespoň jednu poslední plnou zálohu.
- VEEAM do S3 Objektového úložiště posílá pouze unikátní data. Více Full Backupů téměř nezvyšuje kapacitní čerpání objektového úložiště.
- Transport dat do objektového úložiště je postprocesní. Pomalá konektivita nevadí a v případě výpadku konektivity VEEAM naváže transport dat do S3 úložiště.
- Díky postprocesnímu transportu dat do S3 Objektového úložiště lze definovat časové okno pro přenost dat (například nočních hodin) a sladit tak potřeby čerpání internetové konektivity mezi uživatele a zálohy.
- Vysoká rychlost restore díky využití lokálně dostupných datových bloků. VEEAM restore z S3 Objektového úložiště čerpá jen unikátní bloky (které nedrží lokálně).
- Na S3 objektovém úložišti jsou uloženy všechny bloky pro kompletní restore. Obnova je tak možná i v případě úplné ztráty zálohovacího serveru (lokální data nejsou pro obnovu nezbytná, slouží pouze pro akceleraci rychlosti)
Šifrování
Mezi základní Best Praciticies patří šifrování dat. To znamená, že data by neměla společnost opouštět v jiné než šifrované podobě. Veeam Backup pro tyto účely nabízí šifrování nejen na úrovni jednotlivých Backup úloh.
Technologie VEEAM „ScaleOut“ umožňuje globální enkrypci dat AES256 při odesílání dat do S3 Objektového úložiště. Není tak třeba definovat enkrypci na úrovni jednotlivých backup jobů. Best practicies doporučují tuto enkrypci využívat a mít heslo uloženo v analogové podobě pro případ restore v případě dissaster.
Bez šifrovacích klíčů jsou Vaše data na S3 Cloud Objektovém úložišti nečitelná a nehrozí žádná možnost jejich vytěžení ani pokud by případný útočník získal přístupové údaje k úložišti.
NIS2 je tady. Jste připraveni?
NIS 2 je nový rámec povinností v národní legislativě týkající se kybernetické bezpečnosti. Mimo jiné má dopad i na pravidla pro zálohování, obnovu a dlouhodobé ukládání dat a informací včetně testování obnovy v rámci IS ISMS:
- Zálohy musí být minimálně v jedné instanci umístěny v jiném fyzickém prostředí než provozní data.
- Zálohy dat musí být uloženy v prostoru, který má zajištěné řízení přístupu osob podle oprávnění a přístupy do prostoru jsou monitorovány
- Pro zálohy dat, které se ukládají online na jiná datová úložiště, musí být zajištěno:
• přístup k datovému úložišti je řízen přes jiná přístupová oprávnění než oprávnění zálohovaných systémů/dat
• Zajištění záloh heslem, šifrování záloh
Proč námi provozované S3 Cloud Objektové úložiště?
Objektové S3 úložiště je umístěno v datových centrech nejvyšších standardů. Data jsou na území české republiky, což je výhodné jak z hlediska řady právních aspektů, tak přímým připojením do uzlu NIX.CZ garantující pro české prostředí vyšší rychlosti a kratší odezvy.
Hitachi Content Platform na kterém je infrastruktura S3 cloudu postavena, splňuje podmínky dané českým zákonem o archivnictví (§ 499) . Dále jsme scháleni informační agenturou (DIA) jako poskytovatel „cloud computingu dle § 6q zákona č. 365/2000 Sb. o informačních systémech veřejné správy“.
Veškerá data se nacházejí ve dvou rozdílných páteřních datových centrech a jsou tedy ve dvou kopiích. V případě nedostupnosti jednoho datového centra jsou data zpřístupněna z druhého. Technologie je tak odolná proti ztrátě dat a nabízí úroveň dostupnosti až 15ti devítek!
Data jsou zabezpečena nejen kryptovaným přístupem, ale i kryptovaným uložením dle standardů AES256. Metadata objektů nejsou zpřístupněna do veřejného prostoru.
Objektové S3 cloud úložiště může být součástí Vaší firemní strategie bezpečnosti – data „poslední záchrany“ uložena mimo firmu. Většina současných zálohovacích SW umožňuje integraci s tímto typem objektového úložiště.
Cena služby je stanovena dle jejího skutečného čerpání, přičemž největší roli zde hraje skutečně obsazená kapacita. Neplatíte žádné fixní poplatky ani neuzavíráte smlouvu, která by Vás vázala k minimálnímu měsíčnímu čerpání služby. Platba jen a pouze na základě spotřeby služeb v daném měsíci!