Wiederherstellung alleine reicht nicht länger aus
In der Enterprise-IT ist man sich einig: Es reicht nicht länger aus, Wiederherstellungsmechanismen in Kraft zu haben, man muss auch dafür sorgen, dass die Wiederherstellungsdaten unberührt bleiben. Ransomware, bösartige Skripte und auch menschliches Versagen, sie alle können Datenschutzstrategien aushebeln, doch ein Glied in der Kette entpuppt sich immer häufiger als Schwachstelle: die Fähigkeit, Wiederherstellungspunkte zu manipulieren.
Mit dem bevorstehenden DataCore SANsymphony 10.0 PSP21 Release wird diese Lücke mit Immutable Snapshots geschlossen. Damit können Unternehmen Wiederherstellungsdaten an der Quelle sperren und sicherstellen, dass einmal erfasste Snapshots nicht mehr geändert, gelöscht oder neu konfiguriert werden können, bis die definierte Aufbewahrungsfrist abgelaufen ist. Selbst Administratoren können diesen Mechanismus nicht außer Kraft setzen.
Damit ist nicht nur ein weiteres Element im Datenschutzarsenal gegeben, sondern die Art und Weise, in der SANsymphony die Datenintegrität schützt und gewährleistet, dass Ihre Datenkopie dauerhaft im letzten bekannten guten Zustand bleibt, wird revolutioniert.
Eine Linie, die nicht überschritten werden kann
Jede Wiederherstellungsstrategie beruht auf der Voraussetzung, dass Ihre Daten im entscheidenden Moment noch genauso sind, wie sie bei der Erstellung waren. Doch die meisten Wiederherstellungspunkte sind anfällig: für menschliches Versagen, fehlerhafte Automatisierung oder absichtliche Manipulation beispielsweise durch Cyberangriffe.
Unveränderbarkeit stellt das Vertrauen in diese Grundvoraussetzung wieder her. Sie definiert eine Linie, hinter der Daten nicht mehr flüchtig sind, sondern permanent werden: einen Datensatz, der für immer so bleibt, wie er zum Zeitpunkt seiner Entstehung ist. Sobald die Daten diese Linie überschreiten, werden sie zum nachprüfbaren, schreibgeschützten Abbild der Wahrheit. Durch die Beseitigung der Möglichkeit zur Änderung bringen Immutable Snapshots Dauerhaftigkeit in den Schutz der Daten. Der Speicher wird zum sicheren Refugium anstatt zum Ort der Ungewissheit – das Fundament wahrer Cyber-Resilienz.
Wenn Schutz als Beweis dient
Heute fragt niemand mehr: „Gibt es davon eine Kopie?“ Stattdessen fragt man: „Lässt sich nachweisen, dass die Kopie echt ist?“
Immutable Snapshots bewahren nicht nur Daten, sie bewahren Vertrauen. Sie markieren einen Zeitpunkt, der nicht verhandelbar ist, nicht neu geschrieben werden und nicht heimlich angepasst werden kann. Was zum Erstellungszeitpunkt Fakt war, ist immer noch Fakt und bis auf den letzten Block nachvollziehbar.
Für Unternehmen, die mit Audits, Vorschriften oder Wiederherstellungsereignissen zu tun haben, ist diese Sicherheit transformativ. Sie verwandelt Backups von einer Vorsichtsmaßnahme in ein Instrument des Vertrauensschutzes. Bei SANsymphony ist diese Integrität in die Speicherebene selbst integriert. So wird Unveränderbarkeit zu etwas, das stärker als reiner Schutz ist – sie ist der Nachweis, dass Ihre Daten genau das sind, was sie zu sein vorgeben.
Unveränderbarkeit als feste Komponente der Speicherebene
Bei SANsymphony ist die Unveränderbarkeit keine zusätzliche Schicht und kein Extra – sie ist fest in die Speicherebene integriert. Jeder Immutable Snapshot stärkt den Schutz auf der untersten Ebene, unabhängig von den Aktionen der Nutzer oder der Absicht des Administrators. Ist der Snapshot einmal erstellt, ist sein Zustand endgültig, bis die vorab definierte Aufbewahrungsfrist abgelaufen ist.
Diese Vorgabe wird ausnahmslos durchgesetzt. Kein Befehl, kein Privileg und kein Prozess kann einen Immutable Snapshot vor Ablauf der Frist ändern oder löschen. Auch bei einem Wartungsfenster, Neustart oder Failover bleiben die Wiederherstellungspunkte gesperrt und verifizierbar.
Hinter dieser Gewissheit steckt Methode:
- Durchsetzung der Aufbewahrungsfrist, die nicht weniger als 24 Stunden betragen kann; so werden vorzeitige Freigaben oder versehentliche Löschungen verhindert.
- Hash-basierte Integritätsprüfung zur Validierung jedes Immutable Snapshots anhand seines kryptografischen Siegels und zum Nachweis, dass keine Veränderungen vorgenommen wurden.
- Nahtlose Verwaltung über die Managementkonsole, PowerShell oder REST API als zusätzliche betriebliche Steuerung, ohne den Schutz zu schwächen.
- Bedingungslose Persistenz: Auch nach Abstürzen oder Neustarts werden unveränderbare Snapshots im schreibgeschützten Modus wiederhergestellt, sodass der lückenlose Schutz gewährleistet ist.
Dieser Schutz ist durch die Architektur vorgegeben – Unveränderbarkeit per Konzept, nicht durch Konfiguration. Dadurch wird die Speicherebene zur finalen, uneinnehmbaren Verteidigungslinie für die Unternehmensdaten.
Die Arbeit mit Immutable Snapshots
So erstellen Sie einen Immutable Snapshot
Die Erstellung eines Immutable Snapshots in SANsymphony beginnt wie jede andere Snapshot-Operation: Wählen Sie auf der Seite Virtual Disk Details Create Snapshot. Wenn Sie einen Haken in das Kontrollkästchen neben Immutable setzen, setzt SANsymphony den Snapshot-Typ automatisch auf Full, da für die Unveränderbarkeit ein vollständiges, unabhängiges Bild der Quelle benötigt wird.
Nach Wahl der Unveränderbarkeit setzt SANsymphony eine minimale Aufbewahrungsfrist von 24 Stunden durch. Wird eine kürzere Frist eingegeben, ändert das System diese automatisch ab und meldet dies vor dem Fortfahren.
Während der Erstellung startet die Hash-Berechnung automatisch. Jeder Datenblock im Snapshot wird in den kryptografischen Hash aufgenommen und bildet ein nachprüfbares Integritätssiegel. Der Fortschritt wird als Prozentsatz unter der Registerkarte Immutability angezeigt. Bereits während der Hash-Vorgang läuft, ist der Snapshot schreibgeschützt und vor Änderungen geschützt.
Nach dem erfolgreichen Abschluss des Hash-Vorgangs ändert sich der Status des Snapshots in Retention Locked. Von diesem Moment an kann er durch keinen Befehl, kein Privileg und keinen Prozess mehr geändert oder gelöscht werden, nicht einmal von einem Administrator.
So machen Sie einen vorhandenen Snapshot Immutable
Bereits vorhandene Snapshots können Sie nachträglich unveränderbar machen. Wählen Sie unter der Registerkarte Immutability des ausgewählten Snapshots Make Immutable und legen die Aufbewahrungsfrist fest. Nach der Bestätigung gelten hier die gleichen Regeln: Der Hash-Vorgang startet automatisch, der Snapshot ist ab sofort schreibgeschützt und der Status ändert sich nach Abschluss des Vorgangs in Retention Locked.
Mit dieser Funktion können Administratoren den Schutz auch nachträglich verstärken und beispielsweise einen kritischen Snapshot nach einer Validierung oder vor der Archivierung sichern.
Verifikation der Integrität
Sie können zu jedem Zeitpunkt Seal Verification ausführen, um sich zu vergewissern, dass der Hash eines Snapshots nach wie vor dem gespeicherten Siegel entspricht. Stimmen die Werte überein, ändert sich der Status des Snapshots in Verified. Werden Diskrepanzen erkannt, wird der Snapshot als Compromised gekennzeichnet, bleibt aber nach wie vor unveränderbar und geschützt.
Die Verifikation des Siegels gewährleistet langfristiges Vertrauen, speziell bei Unternehmen, die die Integrität der Überwachungskette oder die Einhaltung strenger Datenaufbewahrungsvorschriften nachweisen müssen.
Komprimierung möglich
Wenn Sie Immutable oder andere Snapshots erstellen, können Sie optional Compression freigeben, vorausgesetzt, der ausgewählte Pool unterstützt die Kapazitätsoptimierung. Die Komprimierung verringert die Standfläche des Speichers und behält ansonsten die vollständigen Unveränderbarkeitsmerkmale des Snapshots bei. Bei unveränderbaren Snapshots wird die Komprimierung bei der Erstellung angewendet und über die gesamte Aufbewahrungsfrist beibehalten. So lässt sich die Speichereffizienz optimieren, ohne die Datenintegrität zu beeinträchtigen.
Überwachung und Persistenz
Immutable Snapshots sind in das System Health Monitoring integriert. Die Konsole generiert automatisch Warnmeldungen, wenn Snapshots sich dem Ablauf der Frist nähern (per Systemvorgabe drei Tage im Voraus). Administratoren können die Erstellungszeiten, die Ablaufdaten und den Hash-Verifikationsstatus in einer einzigen Ebene ansehen. Auch nach einem Neustart, Wartungsfenster oder Failover werden Immutable Snapshots automatisch schreibgeschützt wiederhergestellt. Es ist keine manuelle erneute Anwendung oder Aktualisierung der Richtlinien erforderlich, die Unveränderbarkeit ist fest in das Design integriert.
Gesperrt. Nachweislich. Unüberwindlich.
Immutable Snapshots markieren einen Wendepunkt in der Konzeption des Schutzes von Unternehmensdaten. Durch die Integration der Unveränderbarkeit direkt in die SANsymphony-Architektur wird die letzte Schwachstelle eliminiert – die Möglichkeit, zu verändern, was nicht verändert werden darf. Jeder Snapshot wird zu einer uneinnehmbaren Festung, immun gegen Manipulation und Zeit. In einem Ökosystem, in dem die Datenwiederherstellung alleine nicht mehr ausreicht, sind Immutable Snapshots die Grundlage für echte Resilienz: Daten, die nicht nur überleben, sondern nachweislich integer sind.
Fragen Sie eine kostenlose Testversion von SANsymphony an, um Immutable Snapshots in Aktion zu erleben.
