Verschlüsselte Datensicherung mit Atempo TimeNavigator in die AWS Cloud

Warum legt man das Backup in die Cloud? Und warum haben wir uns für die Kombination von Atempo TiNa mit Amazon Web Services entschieden?

Anforderungen aufgrund ISO 27001 Zertifizierung

Nachdem wir seit April 2019 ISO 27001 zertifiziert sind, hatten wir anschließend die Herausforderung unsere Sicherungen von Systemen in zwei angemieteten Schränken bei einem externen Rechenzentrumsbetreiber in Frankfurt auszulagern, dass sie auch im Worst Case, selbst wenn der komplette Standort nicht mehr verfügbar ist, wiederhergestellt werden können.

Backup via VPN?

Zuerst evaluierten wir die Möglichkeit ob die Daten bzw. Systeme direkt über das VPN zu unserer Zentrale in Stuttgart gesichert werden können. Die Sicherungen waren aber trotz großer Bandbreite zu umfangreich und daher dauerte die Sicherung zu lange und beeinträchtigte das Tagesgeschäft. Daher sahen wir – nachdem es ein externer Datenspeicher, dieser außerhalb des Rechenzentrums liegen musste und eine Sicherung auf Band mangels Personals vor Ort nicht möglich war – nur noch die Option „Backup in die Cloud“ für zweckmäßig und effizient.

Was bietet unser langjähriger Backup-Partner Atempo an?

An dem Standort in Frankfurt hatten wir bereits eine Enterprise Lösung für „Backup und Recovery“, dieses sicherte die Systeme bzw. deren Daten bereits auf ein hochverfügbares Storage vor Ort. Bei unserem Standort in Stuttgart ist die gleiche Lösung im Einsatz, nur das hier noch zusätzlich auf Bänder gesichert wird, die ausgelagert werden. Daher setzten wir uns mit dem Vertrieb der Lösung „Atempo Time Navigator“ (TiNa) in Verbindung, ob dieses Vorhaben damit realisiert werden kann. Tatsächlich bot der Hersteller hier etwas an. Das Angebot beinhaltete ein Lizenzupgrade und einen Professional Service für die Inbetriebnahme. Der Vorteil bei der Verwendung der bestehenden Lösung war auch, dass die Restores über die Cloud direkt über den Standort in Stuttgart gemacht werden könnten und so die Daten bzw. Systeme auch in Stuttgart wiederhergestellt bzw.  in Betrieb genommen werden könnten.

Und welche Cloud für das Backup?

Tja, nun brauchten wir noch eine passende Cloud. Wir haben uns hier auf Grund der Unterstützung durch den Hersteller Atempo für die Amazon AWS Cloud entschieden. Trotz der Auswahlmöglichkeit der Datenspeicherung in deutschen Rechenzentren wollten wir noch mehr Kontrolle über die Sicherheit der Daten haben und entschieden uns diese vor dem Upload in die Cloud zu verschlüsseln. Das beherrschte unsere bereits etablierte Software ebenfalls.

1_atempo_aws_storage_gateway_config

Für das Setup in der Cloud ist ein Account mit der Eingabe von Zahlungsdaten erforderlich. Amazon bietet hierfür ein „Tape Gateway“ als virtuelle Maschine für VMware ESXi an. Hier hatten wir bereits die notwendige Plattform vor Ort um diese online zu nehmen und mit unserem Amazon AWS Konto zu verknüpfen.

Nach dem die Backupsoftware mit dem Lizenzupgrade versehen war und einige Konfigurationsanpassungen vorbereitet wurden, konnten wir uns dem Setup in der Amazon AWS Cloud widmen.

Grob zusammengefasst wurden folgende Konfigurationsänderungen auf dem Linux-basierenden Backupserver durchgeführt:

  • Selbstsignierte Root CA mit dem Security & Compliance Manager erstellt
  • Media Encryption Zertifikat mit dem Security & Compliance Manager erstellt
  • Security Template mit dem Security & Compliance Manager erstellt
  • Rule mit dem Security & Compliance Manager erstellt
  • iscsi-initiator-utils, sg3_utils und sg3_utils-libs nachinstalliert
  • Rule den einzelnen Hosts zugeordnet, damit die Daten bei der Sicherung verschlüsselt werden

2_atempo_aws_rootca_security_compliance_manager

Auf allen Systemen wo der Backupagent installiert ist, musste zusätzlich das Zertifikat für die Verschlüsselung abgelegt werden.

Konfiguration der AWS Managementkonsole

Sobald das „Tape Gateway“ einsatzbereit ist, geht die weitere Konfiguration über die AWS Managementkonsole. Hier erscheint nach erfolgreicher Aktivierung das Gateway im Bereich „Storage Gateway“. Das Gateway benötigt mindestens zwei Festplatten mit jeweils 150 Gigabyte für den Cache und den Upload Buffer. Nun wählt man noch den passenden Media Changer (Tape Library) aus. In unserem Fall war das ein IBM-03584L32-0402 und dann können auch bereits schon die ersten Tapes erstellt werden.  Hier gilt es zu Unterscheiden in welchem Pool diese erstellt werden sollen. Es gibt den „Glacier Pool“ und den „Deep Archive Pool“. Je nach dem wie schnell verfügbar die Daten sein sollen und wie lange diese aufbewahrt werden sollen und natürlich auch preislich, gilt es zwischen diesen Pools den richtigen auszuwählen.

3_atempo_aws_create_tapes

Jetzt ist das Amazon AWS Konto erstellt und das Gateway einsatzbereit und der Backupserver vorbereitet.

Der letzte Schritt der Konfiguration ist nun der Zugriff auf den Media Changer und die Tape Drives. Dieser erfolgt per iSCSI vom Backupserver zum Tape Gateway:

4_atempo_aws_mediachanger

Sobald das Betriebssystem den Zugriff auf die Devices hat, kann auch die Backupsoftware darauf zugreifen. Hierfür braucht es nur den „Device Detection Wizard“ aufzurufen und den Anweisungen zu folgen.

5_atempo_aws_device_detection_wizard

Jetzt kann über den Library Manager die Library initialisiert werden und ein Scan des Inventory durchgeführt werden. Danach sollten die in der AWS Cloud erstellten Tapes in der Mailbox dargestellt werden, wobei sie nun von dort in die Slots verschoben werden können und anschließend entweder nur als Spare Tape oder direkt einem Media Pool zugeordnet werden können.

6_atempo_aws_library_manager

Unsere Sicherung in die Cloud – Status quo

Wir sichern bei uns nicht direkt von den einzelnen Hosts in die Cloud, sondern machen ganz normal unsere täglichen inkrementellen Backups und am Wochenende unser Fullbackup auf den hochverfügbaren Storage. Anschließend gehen die bereits verschlüsselten Backups per Duplikationsjob täglich über das Tape Gateway in die AWS Cloud. Diese Verbindung ist zusätzlich HTTPS-verschlüsselt. In der AWS selbst gibt es auch noch einmal zusätzlich die Möglichkeit der Verschlüsselung.

Die Sicherungen laufen bei uns jetzt seit einiger Zeit, kleinere Restores waren auch erfolgreich, jetzt stehen noch die umfangreicheren Restores aus und wir sind noch dabei einen Notfallplan bzw. ein Konzept zu erstellen, welche Szenarien es alles geben könnte und wie in den einzelnen Fällen eine Wiederherstellung der Daten gewährleistet werden kann. Auch hierfür bietet der Hersteller Atempo einen entsprechenden professional Service an und unterstützt uns dabei.

Fazit: In Summe sind wir mit dieser Lösung, der Kombination aus Atempo Time Navigator und Amazon AWS Cloud und den sich daraus bietenden Möglichkeiten sehr zufrieden – es läuft.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

CAPTCHA *