In modernen Unternehmen müssen IT-Teams bei der Datensicherheit zwei Herausforderungen bewältigen: Zum einen die zermürbende Verwaltung von Lebenszyklusdaten von Tausenden Benutzern, die tagtäglich zur Organisation hinzukommen oder sie verlassen; und zum anderen die immer raffinierteren Bedrohungen, allen voran Ransomware, die es nicht mehr nur auf lokale Server abgesehen hat, sondern die Injektion von Schadcode direkt in die Cloud synchronisiert.
Zudem hält sich in Unternehmen hartnäckig der Irrtum, dass die Cloud eine Form des Backups wäre.
Unternehmen, die Google Workspace intensiv nutzen, können allerdings ein böses Erwachen erleben. Google sichert zwar die Resilienz der Anwendungsinfrastruktur zu – das heißt, die Server laufen und die Umgebung ist funktionsfähig –, doch die Integrität der Daten auf diesen Servern liegt allein in der Verantwortung der Kunden.
Einen nativen Papierkorb oder Sperr-Tools wie Google Vault zu nutzen, reicht nicht mehr. Für eine echte Absicherung von SaaS-Umgebungen brauchen Unternehmen Strategien, die mehr als nur die manuelle Verwaltung anstreben, sondern vielmehr auf ein Zero-Touch-Sicherheitsniveau abzielen. Dies setzt richtlinienbasierte Automatisierung und eine Sicherheitsarchitektur voraus, die auf Unveränderlichkeit und logischem Air Gapping beruht.
Nachfolgend wird erläutert, wie Rubrik die Lücke zwischen Betriebs- und Resilienzanforderungen schließt und so dafür sorgt, dass Google Workspace-Daten nicht nur gesichert, sondern wirklich widerstandsfähig sind.
Wir stellen vor: Datenresilienz für Google Workspace
Die Absicherung von Google Workspace erfordert eine radikale Umstellung der Strategie. Rubrik bietet unveränderliche, per Air Gap geschützte Backups von Gmail und Google Drive, die mandantenweite Angriffe überstehen. Sie stellen selbst nach schwersten Angriffen einen separaten Wiederherstellungspunkt dar, damit Unternehmen trotz der Katastrophe nahtlos weiterarbeiten können.
Der Rubrik-Schutz für Google Workspace beruht auf vier Säulen:
Logisches Air Gapping: Totale Abtrennung unveränderlicher Backups vom primären Google-Mandanten. Selbst wenn das Konto eines globalen Admins gehackt wurde, bleiben die Backup-Daten unberührt und bereit für die Wiederherstellung. Dadurch wir das Risiko einer kompletten Übernahme des Mandanten praktisch neutralisiert.
Detailgetreue Wiederherstellung: Nahtlose, lokale Wiederherstellung bei vollständiger Beibehaltung der Metadaten. Mit Rubrik wiederhergestellte Daten sind sofort verwendbar, da die ursprüngliche Ordnerstruktur und Zugriffskontrolllisten beibehalten werden. Eine erneute manuelle Konfiguration oder Berechtigungszuordnung ist nicht nötig. Alle Daten werden dank der gespeicherten Metadaten vollständig am richtigen Ort wiederhergestellt.
Richtliniengesteuerte SLAs: Automatisierter, richtlinienbasierter Schutz statt manuellem Scripting. Mit SLAs auf Ebene der Organisationseinheiten lassen sich die jeweiligen RPO- und RTO-Anforderungen erfüllen und der administrative Aufwand sinkt.
Nahtloses Offboarding: Schutz des internen Wissens, wenn Mitarbeiter aus dem Unternehmen ausscheiden. Mithilfe dieses Workflows werden die Daten ehemaliger Mitarbeiter mühelos übertragen oder archiviert. Kritische Unternehmensinformationen werden so bewahrt, allerdings ohne die Kosten für aktive Lizenzen tragen zu müssen.
Die Ergebnisse? Datensicherheit und Prozessoptimierung. Im nächsten Abschnitt geht es um die Architektur, das Onboarding, Backup- und Wiederherstellungs-Workflows – also um alles, was Sie über den Rubrik-Schutz für Google Workspace wissen müssen.
Resilienzorientierte Architektur
In der Lösung von Rubrik greifen drei unterschiedliche Komponenten ineinander, um Daten aus der primären Umgebung zu isolieren:
Google Workspace-Mandant des Kunden, also die Live-Produktivumgebung
Rubrik Security Cloud (RSC), das SaaS-Kontrollzentrum zur Verwaltung von Richtlinien, Überwachung des Datenrisikos und Einleitung von Wiederherstellungen. Hier laufen der Google Workspace-Schutz und Unternehmensdaten zusammen.
Rubrik Hosted Secure Resources ist der Vault, der sprichwörtliche Tresor. Hier finden sich eine spezielle Google Kubernetes Engine (GKE) für das Computing, Schlüsselverwaltungsdienste für die Verschlüsselung und Cloud-Datenspeicher.
Diese Architektur zeichnet sich durch ihre Unveränderlichkeit aus. Das bedeutet, sobald Daten in Rubrik Eingang finden, lassen sie sich nicht mehr ändern. Darüber hinaus beinhaltet Rubrik Sicherheitsfunktionen wie eine Aufbewahrungssperre und Quorum-Autorisierung, um Datenrichtlinien vor unbefugten Zugriffen von innen zu schützen.
Funktionsweise von Zero-Touch-Automatisierung
Die Rubrik-Architektur nutzt eine richtliniengesteuerte Engine, die die Datenverwaltung in allen Phasen des Lebenszyklus automatisiert. In allen drei Phasen wird für Sicherheit und Effizienz gesorgt.
Onboarding: Im Rahmen einer einzigen Sitzung erfolgt ein sicherer Handshake zwischen RSC und Google Workspace. RSC erzeugt zwei kundenspezifische technische Zeichenfolgen: die Authentifizierungs-ID (die Kennung des Dienstkontos) und den Client-Umfang. Der Administrator fügt diese beiden Zeichenfolgen in die Admin-Konsole von Google Workspace ein, damit Rubrik durch domainweite Delegation autorisiert wird. Somit ist es nicht nötig, einzelne Benutzeranmeldedaten zu speichern. Anstatt ein Passwort auszutauschen, wird Rubrik autorisiert – dieses Vorgehen ist ein grundlegendes Merkmal des Least-Privilege-Ansatzes.
Nach der Validierung stellt Rubrik ein kundenspezifisches Google-Projekt bereit, um die Infrastruktur abzutrennen und API-Drosselung zu vermeiden. Dieser Vorgang löst die Erstellung diverser notwendiger Ressourcen im Rubrik-GCP-Konto in der jeweiligen Region aus, darunter GKE, Google Key Management Services und Google Cloud Storage.
Ist die Infrastruktur dann einsatzbereit, ermittelt RSC automatisch Verzeichnisse und alle unterstützten Google Workspace-Objekte wie Gmail und Drive. Administratoren steht es frei, eine SLA für die Backup-Häufigkeit und Aufbewahrungsdauer zuzuweisen, die den gesamten Workspace abdeckt. Das Google Workspace-Verzeichnis wird automatisch vom System gescannt. Sobald ein neuer Benutzer zu einer bestimmten Google-Organisationseinheit hinzugefügt wird, erkennt Rubrik dies automatisch und beginnt mit der Sicherung der Daten dieses Benutzers. Kein Benutzer wird übersehen und Zero-Touch-Compliance ist gewährleistet.
Intelligente Backups: Mit Aktivierung der Richtlinie werden Backups automatisch gemäß RPO erstellt.
Zur Authentifizierung bei Google Workspace nutzt RSC kundenspezifische Secrets.
Zur Ausführung eines Backups setzt Rubrik Security Cloud innerhalb eines sicheren GKE-Clusters kurzlebige Pods auf. Diese zustandslosen Computing-Knoten übernehmen die kapazitätsintensive Datenübertragung.
Bezüglich E-Mail-Daten erfasst das System Nachrichten, Labels und Anhänge zuverlässig mittels Gmail-API. Bezüglich Dateien wird hingegen die Google Drive-API v3 genutzt, um Ordnerhierarchien nachzuvollziehen und Dateiversionen zusammen mit den zugehörigen Zugriffskontrolllisten zu erfassen.
Das System indexiert Metadaten, um die Detailsuche zu ermöglichen, mit der Administratoren bestimmte Dateien umgebungsweit suchen können.
Die gesicherten Daten werden für die Übertragung und im Speicher per Umschlagverschlüsselung chiffriert und dann in den isolierten Speicher geschrieben.
Nach Abschluss der Backup-Aufgaben skaliert der GKE-Cluster automatisch herunter, sofern keine weiteren Jobs auszuführen sind. Dieses dynamische Ressourcenmanagement sorgt dafür, dass die Computing-Infrastruktur nur während der Verarbeitungszeitfenster aktiv ist und unterstützt somit einen gestrafften Betrieb ohne unnötigen Aufwand.
Schnelle Wiederherstellung: Mit Rubrik erfolgt die Wiederherstellung zügig und präzise.
Kommt es zu Datenverlusten, wählt der Administrator in RSC den erforderlichen Wiederherstellungspunkt.
Zur Authentifizierung bei Google Workspace nutzt RSC kundenspezifische Secrets.
RSC sendet Anweisungen und Befehle an den GKE-Cluster, um Pods zu erzeugen.
In der Speicherumgebung werden alle wiederherstellbaren Objekte ermittelt, sodass die Auswahl eines Ordners zur Wiederherstellung alle darin enthaltenen Dateien zum Vorschein bringt. Und das ist der Grund: Rubrik indexiert Metadaten unabhängig von der Datennutzlast. Die Suche nach Dateien geht also schnell und Sie müssen nicht das gesamte Backup mounten, um den Inhalt zu ermitteln. Außerdem profitieren Sie von besseren RTOs.
GKE entschlüsselt und extrahiert die Daten aus von Rubrik gehosteten Backups. Dann nimmt Rubrik die Daten mithilfe der API für Drive bzw. Gmail wieder in die Produktivumgebung auf. Bei der Wiederherstellung werden die ursprünglichen Metadaten und Berechtigungseinstellungen beibehalten, sodass Benutzer ihre Daten nahtlos weiternutzen können.
Nach Abschluss der Wiederherstellungsaufgaben skaliert der GKE-Cluster automatisch herunter, sofern keine weiteren Jobs auszuführen sind.
Kontrolle über unternehmenskritische Google Workspace-Daten wiedererlangen
Daten sind das A und O unserer Arbeitswelt. Daher ist es riskant, ihren Schutz ausschließlich nativen Tools in den Arbeitsumgebungen zu überlassen. Hier setzt die leistungsstarke Plattform von Rubrik an und bietet effektiven Schutz für Google Workspace-Daten. Dank automatisiertem Lebenszyklus-Management mithilfe einer sicheren, auf Air Gaps basierenden und unveränderlichen Architektur sorgt Rubrik für ein zuverlässiges Framework für Datenresilienz.
Möchten Sie es selbst erleben? Lassen Sie sich den Rubrik-Schutz für Google Workspace vorführen und überzeugen Sie sich selbst von den Vorteilen.