Verfasst von Uwe W. Schäfer am 7. August 2025

Die Angriffe durch Ransomware Attacken, werden immer häufiger und durch die Angriffe von Staaten auch immer ausgefeilter und perfider. Umso wichtiger ist ein sicheres und geschütztes Backup nach dem Motto Zero-Trust (Traue niemandem).
Die DataDomain kennt zwei Modi für den Schutz der Daten auf dem Backup-Storage-System, "RetenionLock Governance" und "RetentionLock Compliance". Ersterer schützt die Daten auf der DataDomain vor einem versehentlichen Löschen durch die Backup Appliance und "normale" Benutzer, kann aber vom DataDomain Administrator relativ leicht deaktiviert werden. Den Modus könnte man demnach auch als den Tust-the-DataDomain-Administrator Modus bezeichnen. Der zweite Modus (RetentionLock Compliance) kann hingegen als Trust-Nobody oder "Zero Trust" Modus bezeichnet werden. Ist ein DataDomain Mtree mit diesem Modus versehen, kann NIEMAND Dateien vor ihrem Ablaufdatum von diesem Bereich entfernen.

 

Umstellung des DataDomain RetentionLock Modus 

Die DataDomain System bieten seit Jahren die Möglichkeit das Sicherungsziel für die Backup-Applikationen mit dem Einsatz des RetentionLock Modus Compliance "Bombensicher" zu machen. Aber meine Erfahrung aus den Diskussionen bei den NetWorker Workshops oder der Ist-Aufnahme bei meinen HealthChecks zeigen, dass dieser Modus bis dato so gut wie NIE verwendet wird.

Eine Umstellung des RetentionLock Modus eines bereits verwendeten Backup-Mtrees ist leider nicht möglich! Man kann folglich nur einen neuen Mtree anlegen diesen in den Compliance Modus versetzen und hierauf neue Sicherungsgeräte anlegen. Dieses Anlegen auf einem neuen Mtree, der zudem nicht dem Namen des NetWorker-Servers entspricht ist im Backup-Programm NetWorker aber gar nicht vorgesehen. Hier wird ein DataDomain Sicherungsdevice immer auf dem Mtree mit dem Namen des NetWorker-Servers angelegt.

Ein weiterer Wunsch des Backup-Administartors ist die bereits gesicherten Daten auf dem bestehenden Mtree zu behalten und lediglich die in den gesicherten Daten mit ihren aktuellen Aufbewahrungszeiten in den Compliance Modus zu überführen.

Aktivieren Sie die Zero-Trust Funktionalität der DataDomain!

Ich habe vor kurzem ein Ablaufverfahren entworfen in dem die Umstellung eines bestehenden Mtrees im RetentionLock Modus Governance in den Compliance Modus umgesetzt werden kann. Hierbei bleiben alle Attribute der bestehenden SaveSets erhalten und dass Ergebnis ist ein Mtree mit dem Namen des Backup-Servers im Compliance Mode. Dieses Verfahren wurde bereits erfolgreich bei einem großen Kunden mit 2 DataDomain 9910 Systemen durchgeführt. Die einzige Problematik hierbei ist:

• es Bedraf einer guten und genauen Planung des Vorgehens
• man benötigt eine "längere" Down-Time des oder der Backup-Server

Sollten auch Sie mit dem Gedanken spielen, ihre Backup-Umgebung sicherer zu gestalten dürfen Sie sich gerne bei "mir" melden.

 

 

Verfasst von Uwe W. Schäfer am 12. November 2024

Liebe Teilnehmerinnen und Teilnehmer,

nach vielen bereichernden Jahren bei qSkills möchte ich Euch heute mitteilen, dass ich meine Tätigkeit als Referent für Dell/EMC NetWorker im Juli 2025 beenden werde. Es war mir eine Freude, mein Wissen und meine Erfahrungen mit Euch zu teilen und gemeinsam die vielseitigen Möglichkeiten dieser Backup-Software zu erkunden.

Bis zu meinem Abschied werde ich noch mindestens zwei weitere Termine für jeden NetWorker-Workshop anbieten. Ich lade Euch herzlich ein, diese letzten Gelegenheiten zu nutzen, um Euch mit mir in die Tiefe dieses mächtigen Produkts einzuarbeiten.

Ich freue mich auf die verbleibenden Workshops und auf die Chance, Euch ein letztes Mal bei qSkills zu begleiten.

Herzliche Grüße,
Euer Uwe W. Schäfer