NetWorker und DataDomain Security
Verfasst von Uwe W. Schäfer am 31. Januar 2023
Eine gute Datensicherung war noch nie so wichtig wie heute.
Es vergeht gefühlt kein Tag an dem nicht eine neue Malware oder Ransomware Attacke in den Nachrichten oder Zeitungen (z.B. heute 31.01.2023 ein ganzseitiger Artikel in der SZ) erscheint, in dem ein neuer Angriff thematisiert wird. Ein absoluter Schutz gegen diese Plage scheint nicht möglich. Umso wichtiger ist eine gute und sichere Datensicherung, damit man im Fall der Fälle die verschlüsselten Daten schnell wieder herstellen kann. ABER: nach aktuellem Stand der Dinge ist das erste Angriffsziel der Hacker eben die Datensicherung. Denn wenn diese erst mal ausgeschaltet werden kann, ist der Angegriffene machtlos und muss wohl oder übel bezahlen.
Aus diesem Grunde sollte die Sicherheit der eigenen Datensicherungsumgebung eines der wichtigsten Themen in Ihrer IT sein. Aber natürlich muss der Backup-Administrator zunächst mal wissen, wie man die Datensicherung vor unbefugtem Zugriff und vor allem vor vorzeitigem Löschen oder Verändern schützen kann.
Diese Herausforderung ist mittlerweile eines der wichtigsten Themen in meinem „NetWorker Advanced“. Hier ein kurzer Abriss der im NetWorker und der DataDomain eingebauten Schutzmechanismen.
Kommunikation zwischen Backup-Server und Backup-Client
Verwendung von generischen NetWorker Eigenschaften:
- Servers Datei
- Client Zertifikate
- Verschlüsselung der Datenkommunikation
- Das ist auch ohne DataDomain möglich
- Einsatz des NetWorker Tunnel Moduls
- nsr-tunnel : sichere Kommunikation vom NetWorker Server zu Clients in einer DMZ
Verwendung von Sicherheitsfeature der DataDomain Systeme
Boost Protokoll (Bandwidth Optimized Open Storage Protokoll)
Beim Boost Protokoll handelt es sich um ein properitäres Format, das von Viren nicht erkannt wird. Die folgenden Eigenschaften machen dieses Protokoll noch sicherer:
- Einsatz eines PEM-Zertifikats für das Boost-Protokoll
- Verschlüsselung des Datenstroms zwischen Client und der DD
- Medium : AES128-SHA1
- High : AES256-SHA1
Sicherheits-Konfigurationen im NetWorker
- Rollen basierte Definition der NetWorker Adminstratoren
- Sichere Benutzer Definitionen
- user,host, …, instname
- Sichere Benutzer Definitionen
- Bestmöglicher Einsatz von Tape als Sicherungsmedium
- WORM
- Verschlüsselung
- per NetWorker ASM Funktion
- Als Tape Funktion
- Verschlüsselung
- WORM
- Einrichten von bestmöglichen Auditierungseinstellungen
- Security-Audit Logs
- Data-Audit-Logs
Sicherheits-Konfigurationen auf den DataDomain-Systemen
Verwendung einer DataDomain als sichere Datenablage:
- Einsatz der DataDomain RetentionLock Funktionalität (zeitlich beschränkte WORM Funktionalität)
- Es existieren zwei Modi:
- Governance Mod:
- auf MTREE Ebene aktivierbar
- Schutz der gesicherten Daten auf der Protokoll Ebene
- CIFS
- NFS
- Boost
- Rentention-Zeiten können vom DD-Admin geändert werden.
Allerdings nur auf Datei Ebene
- Das Ergebnis
- Die Backup-Daten sind vor Ablauf der Retention-Lock Zeit von der Backup-Applikation und dem Backup-Admin nicht mehr veränderbar
- Compliance Mode:
- Besonderheiten:
- Kann nur für das ganze System gesetzt werden
- benötigt einen Security Officer
- …
- Das Ergebnis:
- keine auf der DD befindliche Datei kann mehr verändert werden
Auch nicht vom DELL-Support
- keine auf der DD befindliche Datei kann mehr verändert werden
- Besonderheiten:
- Governance Mod:
Einsatz weiterer Sicherheitsmechanismen der DataDomain Systeme
- Verschlüsselung der Daten auf der DataDomain
- Unter Verwendung eines Key-Managers
- Duplizierung der Daten auf eine zweite DataDomain, mittels
- ClonedControlReplication (CCR)
- MTREE Replication
Einsatz weiterer DataDomain Features zum Erhöhen der Sicherheit
- Login Features
- Unterstützung von LDAPS und AD mit SSL/TLS
- Verwendung von DataDomain Benutzer Rollen
- Boost User ohne Rechte auf der DD
- Benutzer („user“)-Rolle zum monitoren der Systeme
- Separieren der Admin und Security Benutzer
- Einsatz einer zwei Faktor Autorisierung
- beim Login wird ein zusätzliches Token verlangt
- RSA-SecureID
- beim Login wird ein zusätzliches Token verlangt
Einsatz der DELL CyberSecurity Plattform
- Einrichten eines Air-Gap zum Schutz vor Insider Hacks
- Analyse der Daten im Secure Bereich
- Verwendung von CyberSense
- Analyse der gesicherten Daten mit Mitteln der Software-Forensik
- Sicher stellen eines Viren-freien Datenbestandes
Alle diese Konfigurationsmöglichkeiten zur Verbesserung der Datensicherheit werden in meinem NetWorker Workshop beleuchtet und wenn möglich auch praktisch vorgeführt.
Sollten ich Ihr Interesse an diesen Themen geweckt haben, würde ich mich freuen, Sie im Hause qSkills in Nürnberg begrüßen zu dürfen.
Es steht Ihnen aber auch die Möglichkeit zur Verfügung, mich für einen NetWorker und DataDomain Health Check in Ihrem Hause zu buchen.