Beskytter I jeres backupsystem godt nok?

I gamle dage – det er for20 år siden – udgjorde backup-systemet nærmest hele virksomhedens samlede sikkerhedssystem. Backuppen var vores fundament og livline - gik noget galt, så var det om at få rullet backuppen på, og så var vi i luften igen. Trusselsbilledet var til at overskue: fejlsletning af en fil, strømafbrydelse… vi var i den lette liga.

I dag er trusselsbilledet væsentligt mere sofistikeret. Vi er rykket over i den tunge liga og arbejder med firewalls, antivirus, intrusion detection og skal afværge mere og mere udspekulerede cyberangreb med krypto-lockere, ransomware og alskens skidt og snavs. Men netop i vores kamp mod et nuanceret og kompliceret trusselsbillede, som ændrer sig fra dag til dag, er det min påstand, at alt for mange har overset backuppen som virksomhedens helt fundamentale sikkerhedssystem. Sikkerhed er godt, men sikkerheden bliver ikke bedre end fundamentet.

Backupsystemet er simpelthen blevet glemt som en del af sikkerhedsberedskabet.

I min dagligdag har jeg fornøjelsen af at møde mange virksomheder. En del af dem har desværre været ramt af skidt og snavs. Heldigvis har ingen af virksomhedernes backupinstallationer været inficeret, så vi har kunnet komme af med skidtet ved at reetablere sidste ikke-inficerede version af data fra backupsystemet. Operationen er heldigvis lykkedes i de sager, jeg har kendskab til, men det har også fået mange til at overveje, om det, de har, er godt nok? Det er længe siden, at man har sagt backup og sikkerhed i samme linje. Man har taget for givet, at tingene var i orden og har brugt tid på at beskytte sig på alle mulige andre måder.

Det er heldigt, at de her angreb endnu ikke har inficeret backupsystemet, for det kan de lige så godt. Angrebene bliver mere og mere sofistikerede - det er jo trods alt godt begavede mennesker, der står bag. Måske er de bare ikke kommet til at have tænkt backupsystemet ind i deres angreb endnu? Men de bliver hele tiden klogere, så det kommer nok.

Hvad skal man så gøre? En bekymring fra min side er, at mange backupsystemer er en del af Windows-familiens Active Directory, hvilket gør systemerne sårbare, fordi de deler rettigheder og filer med resten af installationen. Nedbring risikoen ved at melde backuppen ud af AD.

En mere drastisk fremgangsmåde vil være at implementere backupsystemerne på operativsystemer, der ikke bliver angrebet på samme måde, fx Linux, UNIX eller AIX. Endnu har vi ikke set angreb på operativsystemerne, for det er ikke her, at hackerne arbejder. Det allermest effektive råd, jeg kan give? Det lyder næsten retro, men ikke desto mindre: Genoptag brugen af båndteknologi og hav en ekstra kopi af din backup på bånd.

Per Lolks billede
Per har 20 års erfaring fra it-branchen med rådgivning og løsningssalg til private virksomheder og offentlige organisationer. Per blogger om, hvordan ny teknologi kan bruges i praksis inden for rammerne af forretning, teknologi og økonomi.

Kommentarer (22)

Brian Hansen

Er det eneste jeg har, hvor jeg har lov til at smide alt andet og koncentrere mig om problemet, hvis der er knuder med det.
Mindst lige så vigtigt som at tage backup, er det at have jævnlige restore tests.
Tit er det faktisk ikke backuppen der fejler, men restore af data der er problemet.
Jeg plejer at sige jeg ikke backer up for at backe up, men for at restore!

Anders Majland

Genoptag brugen af båndteknologi og hav en ekstra kopi af din backup på bånd.

Og i en mindre virksomhed kan harddiske også være en nem løsning. De er nemme at mounte/unmounte og kan let gemmes af vejen i en bankboks eller bare offsite.

Jeg har ikke fulgt med i priserne på tape backup men ser ud til at et lto-6 drev (2,5TB) koster en 15-20000kr og så ~300 per bånd. Så f.eks 10 bånd og station koster 18-23000kr. Tilsvarende koster 10 4TB diske omkring 10.000kr (plus ~1000 til en hotswap controller/tray eller lign)

Brian Hansen

Joh, men hvem blir efter arbejdstid og skifter disk når de 4TB er brugt op? :P
Diske er også relativt skrøbelige for stød.
Der er en lidt højere opstarts pris for tapes, men hvis investeringen alligevel spredes over flere år betyder det ikke noget.

Anders Majland

Diske giver kun mening hvis de kan fåes store nok til pladsbehovet ;-)

Med LTO båndstationer med autoloader er opstartsprisen ganske høj. Specielt hvis man skal have 2 for at have redundant restore mulighed.

Nogle gode bud på LTO-6/7 entry-level med autoloader ?

Christian Lysel

En PowerVault TL1000, og en kontroller, koster knap 38.000 kr.
Den kan rumme 9 bånd (22,5 TB). LTO-6 bånd på 2,5 TB koster 300 kr, det giver 120 kr/TB. http://configure.euro.dell.com/dellstore/config.aspx?oc=pvtl100001&model...

Diske på 8 TB koster 1.700 kr, det giver 212 kr/TB. http://www.edbpriser.dk/harddisk/seagate-archive-hdd-st8000as0002-8-tb-i...

En "autoloader" til disk kan løses med:

Prisforskellen på en PowerVault TL1000 og Intels JBOD2312s2sp er 28.000 kr, for de penge kan man købe 132 TB backup kapacitet.

For at bånd skal være billigere end disk, skal vi op over 304 TB i backup kapacitet.

Alle priser er inkl moms.

Rasmus Haslund

Ofte giver tape rigtig god mening i samspil med disk, specielt når man som oftest gerne vil overholde 3-2-1 reglen:
3 kopier af data (inkl. produktion)
2 medie typer
1 kopi offsite

Tape er i øvrigt også nemt i forhold til lange retention krav.

Jens Jönsson

Hvem gider tape/disk backup, når der findes remotebackup, som endda placerer data ude af huset, sikret mod brand, tyveri, hærværk osv.

Jeg er med på at man >ikke< skal smide data på en eller anden server i USA....

Cryptolocker angreb blev hurtigt løst. Rens systemerne (eller re-installer), slet krypterede filer og restore fra remotebackup.
Oppe at køre igen næste dag, uden datatab....

I øvrigt er der mange der tror at deres backup redder dem, hvis de f.eks. har korrupte data. Men nej, backup er 1:1 kopiering af data og kan man ikke gå langt nok tilbage til før data blev korrupte, så er man på den.
Så sørg for jævnlig restore test, ikke kun at du kan tilbage føre data fra backup, men også test at data er valide...

Rasmus Haslund

Remote Backup uden lokal backup er måske et fornuftigt valg i forhold til at sikre at data som endnu ikke er korrupt/ramt af malware kan beskyttes.

Men forestil dig lige at skulle restore mange TB data retur via en remote backup løsning. Her må det klart foretrækkes at have en lokal backup.

En ideel arkitektur efter min mening må være at lave lokal backup til noget disk baseret storage med en fornuftig hastighed og have blot meget nyt data her.

Derefter sende en kopi til tape/seperat storage offsite/cloud løsning.

Din pointe om restore test er 100% nødvendig, helt enig, det må dog ses i øjnene at såfremt restore test er en manuel process vil rigtig rigtig mange aldrig få det foretaget. Det er derfor essentielt ens backup software kan automatisere restore test.

Jens Jönsson

Men forestil dig lige at skulle restore mange TB data retur via en remote backup løsning. Her må det klart foretrækkes at have en lokal backup.


Har næsten lige gjort det hos en kunde der blev ramt af Cryptolocker. Det var intet problem. Det tog et par dage at restore alle filer på serveren over en 100/100 Mbit/s forbindelse.
Enig i at det nok ikke er en ADSL man skal udføre den opgave med.
Alternativt kunne vi afhente kopi af data på USB disk, så alt i alt intet problem....

Finn Aarup Nielsen

Restore test virker ikke nødvendigvis. Hvis ransomwaren er sofistikeret nok vil både backup og (normal) restore være inficeret, så man ikke vil kunne se at backuppen også er inficeret. Jeg har ikke hørt tilfælde om det, men det burde være muligt. Tænk på en inficieret gammeldags tar der ind- og afkoder krypteret.

Jens Bech Madsen
Brian Hansen

1TB i døgnet er i hvert fald ikke acceptabel restore tid her i biksen :)
Det kan jeg klare på et par timer fra mit halvgamle LTO drev.
Alternativet er selvfølgelig at have remote backup i DK, og med en aftale hvor leverandøren sørger for at data kommer ud til dig hurtigt, enten på diske eller et tape-drev til låns.
Men lur mig om ikke det er hurtigere og billigere bare at have hardwaren i første omgang...

Per Lolk Blogger

Vi har generelt gode erfaringer med IBMs tape-systemer, der starter med et stand alone drev og fås helt op til kæmpe libraries, der kan rumme 1000-vis af bånd. Til det efterspurgte behov vil TS3100 eller TS3200 være en god løsning - man kan evt. læse mere her http://komplex-it.dk/produkter/backup/ibm/

Når man vælger en løsning, er det vigtigt at tænke fremad, så man ikke får købt for småt. Tag højde for, at man typisk ser en datavækst på 40 % hos en gennemsnitsvirksomhed – og vælger man at implementere nye systemer, der eks. bruger billeder, så tager datavæksten yderligere nogle gevaldige hop.

Det betyder, at hvis backup-data i dag fylder 5 TB, så vil de fylde 14 TB om 3 år (51,41,41,4). Bruger man LTO 7-teknologi, bliver det til 3 bånd (36 TB som er native kapacitet på et LTO 7-bånd). Dertil kommer restore-hastighed alt efter hvilket backup-system man bruger – man skal designe sin backup, så den kan restores hurtigt. Derfor er det en dårlig idé at blande kritiske systemers data på mange bånd, fordi man så skal restore små bidder af data fra forskellige bånd. Det kræver meget søgning og mange båndskift, hvilket tager tid.

I stedet bør man reservere bånd til enkelte systemer. De fleste ordentlige backup-systemer kan klare det. Hvis udgangspunktet er 5 TB data, så skal man faktisk have fat i et system, der kan have 10-15 bånd.

Derudover skal man overveje, hvor mange drev man skal bruge. Har man eksempelvis to drev i stedet for ét, kan man jo fx flytte data fra ét bånd til et andet og dermed rydde op på båndene og fjerne gamle data (det er processer, som ordentlige backup-systemer kan håndtere for jer), ligesom man har mulighed for at restore fra to drev.

Per Lolk Blogger

Løsningen skal dimensioneres efter den hastighed, man ønsker at kunne restore med. Det svageste, og ikke mindst dyreste, led i dén kæde er som regel linjen. På baggrund af datamængden og hvad linjen leverer af båndbredde, kan man regne sig frem til, hvor lang tid restore vil tage. Tit kommer vi til den konklusion, at det ikke er dén hastighed, man ønsker.

Ofte tænker man så på løsningen med USB-disken som et godt alternativ til at speede tingene op. Her er det dog min klare anbefaling at teste leverandøren. Der er nemlig ret meget arbejde forbundet med den opgave, og USB-protokollen har også sin begrænsning, hvad angår båndbredde. Sidst men ikke mindst, bør man overveje risikoen forbundet med selve transporten: i det øjeblik man flytter disken, ligger hele virksomhedens data på denne disk – er det en risiko, man er villig til at løbe?

Vi kommer tit til den konklusion, at den bedste løsning er en hybrid-løsning med en backup-server på lokationen, og en remote server på en anden lokation. På den måde bliver data fordelt på to lokationer, og man får den til enhver tid bedste restore-hastighed.

Bent Jensen

Sidst men ikke mindst, bør man overveje risikoen forbundet med selve transporten: i det øjeblik man flytter disken, ligger hele virksomhedens data på denne disk

Du mener vel forhåbentligt at der ligger en krypteret KOPI af firma data på denne disk ?
Vigtige og "hemmelige" Data er vel forhåbentligt krypteret, om det ligger i skyen, på severe, på bånd, USB ...... eller disk.

Et lokal indbrud kan være nemmere end et digitalt, hvis man betaler 2 Romaer eller tjetjener 100.000 for at bryde ind på Novo, stjæle bånd og server, og sætte ild til resten.
Så står man vel med meget bedre kort på hånden end dem som afpresset et hospital.
Hvis ikke tingene var krypteret eller der var en kopi et andet sted ?

Per Lolk Blogger

Den fysiske sikkerhed skal naturligvis være i orden, og det vil også være en god idé med kryptering. Der findes særlige medier til at læse og skrive krypterede data, men man skal være opmærksom på, at kryptering i dag er en kendt disciplin, og derfor er der også værktøjer til at dekryptere. Derfor må man ikke tro, at den hellige gral er velforvaret, fordi data er krypteret. 

Per Lolk Blogger

Sådanne tilfælde kender jeg heller ikke. Til gengæld kender jeg efterhånden en del tilfælde, hvor backuppen har været redningen, så derfor er det naturligt, at hackerne vil interessere sig for backup-systemer. Derfor handler det efter min opfattelse om at få backup-systemerne skilt ud fra de resterende systemer, anvende operativsystemer som hackerne ikke er så dygtige til fx Unix, melde backup-systemerne ud af AD som foreslået i indlægget, og flytte data til tape, evt. tape der bruger kryptering, hvis man vil forbedre den fysiske sikkerhed.

Brian Hansen

Du tror ikke hackerne kan lidt UNIX? :)
En "nem" måde at sikre backuppen på hvis man har et SAN der understøtter det, er at have en dedikeret offline maskine kørende sammen med tape-robotten, og så lave al dataflytning via direkte adgang til LUN'et, udenom firma ethernet osv.
Har man samtidigt admin interfacet adskilt fra produktionsnetværket, så har man her ret god men simpel sikkerhed.

Log ind eller opret en konto for at skrive kommentarer