Die Sicherung von Cloud-Daten sollte in jedem modernen Unternehmen Priorität haben. Aber wenn Sie die Microsoft Azure Cloud nutzen, wie es 95 % der Fortune-500-Unternehmen tun, muss die Datensicherung ganz oben auf Ihrer To-do-Liste stehen. Hierfür gibt es mehrere Gründe:
Azure ist wahrscheinlich der Ort, an dem Sie einige Ihrer wichtigsten und sensibelsten Daten aufbewahren.
Auf Azure werden Ihre Daten aus Microsoft 365-Produktivitätsanwendungen sowie einige (oder alle) Ihrer Cloud-basierten Microsoft-Systeme gehostet.
Wenn Ihre Azure-Daten verloren gehen, wird Ihr Betrieb derart beeinträchtigt, dass Sie sich davon nicht so leicht erholen werden.
Aufgrund des für Azure geltenden Modells der geteilten Sicherheitsverantwortung liegen Backups in Ihrer Verantwortung.
Gründliche und sichere Backups von Azure-Komponenten, insbesondere von virtuellen Maschinen (VMs) auf Azure, können eine Herausforderung sein. Dieser Leitfaden zur Sicherung von Azure-VMs bietet Best Practices und Empfehlungen zur Nutzung von Backup-Lösungen von Drittanbietern, um optimale Ergebnisse zu erzielen. Sie erfahren, wie Sie Azure-Backups im Allgemeinen und Backups von Azure-VMs im Besonderen erstellen.
Die Vorteile von Drittanbieter-Backups für Azure-Instanzen
Best Practices für Azure-Backups
Die Sicherung von Azure-VMs ist Gegenstand einer wachsenden und sich ständig entwickelnden Reihe von Best Practices. Einige konzentrieren sich auf die Sicherheit, was sinnvoll ist, wenn man bedenkt, wie verlockend Daten-Backups für Angreifer sein können. Es ebenfalls empfohlen, ein Backup-Tool eines Drittanbieters zu nutzen.
Sicherheit
Früher bestanden Daten-Backups in etwa darin, die Daten auf einem Bandlaufwerk zu speichern und die Bänder in einem Bergwerk zu verstecken. Solange niemand einen Panzer mitbrachte, waren Ihre Daten ziemlich gut vor Kriminellen geschützt.
In der Cloud sieht die Sache anders aus, um es gelinde auszudrücken. Die Cloud ist im Vergleich zu herkömmlichen Speicherumgebungen extrem weitläufig. Möglicherweise verfügt Ihr Unternehmen über mehrere Accounts in verschiedenen geografischen Gebieten und Cloud-Plattformen. Dies hat zur Folge, dass Ihre Daten über eine große Angriffsfläche Risiken ausgesetzt sind, deren Abwehr mehr Ressourcen und Fachwissen erfordert. (Hinzu kommt, dass diese Ressourcen und das Fachwissen aufgrund des Modells der geteilten Verantwortung von Ihrer Seite kommen müssen, nicht vom Cloud-Anbieter.)
In der Cloud gesicherte Daten sind darüber hinaus dem Risiko von Datenpannen und der Exfiltration ausgesetzt. Wenn Sie sie nicht gut schützen, leisten Sie Sicherheitsverletzungen Vorschub. Es ist Best Practice, Azure-Backups mit dem gleichen Maß an Sicherheit zu schützen, das Sie auf Ihre anderen geschäftskritischen IT-Systeme anwenden.
Wie sieht das in der Praxis aus? Sicherheit in Bezug auf Azure-Backups ist ein Teilbereich des Schutzes von Cloud-Daten und ein Faktor, der bei der Sicherung von Cloud-Backups beachtet werden muss, ist das Management von Anmeldedaten. Gestohlene oder versehentlich preisgegebene Anmeldedaten sind eine der Hauptursachen für Ransomware-Angriffe. Die Aktivierung von MFA reduziert die Wahrscheinlichkeit, dass sich böswillige Akteure von unbekannten Geräten aus anmelden können. Die rollenbasierte Zugriffskontrolle (Role-Based Access Control, RBAC) ist ebenfalls hilfreich: Sie vereinfacht den Prozess der Zuweisung und des Entzugs von Zugriffsrechten, da der Zugriff auf unternehmensspezifischen Rollen basiert.
Darüber hinaus wird dringend empfohlen, Daten auf allen Speicherebenen auf Azure zu verschlüsseln. Am besten nutzen Sie das integrierte Azure Key Vault-Tool, um Ihre kryptografischen Schlüssel und andere Secrets zu schützen, die Sie möglicherweise als Gegenmaßnahmen bei einem Datenverstoß verwenden könnten.
Überwachung, Benachrichtigung und Berichterstattung
Die effektive Sicherung und Wiederherstellung setzt voraus, dass der Status von Backup-Jobs kontinuierlich kontrolliert wird. Außerdem müssen potenzielle Probleme (wie ausgelassene Arbeitsschritte, Ausfälle oder Cyber-Angriffe) erkannt werden. Es gehört daher zu den Best Practices, alle betroffenen Systeme kontinuierlich und gründlich zu überwachen. Auf die Überwachung müssen dann je nach Situation Warnmeldungen und Berichte folgen, um ein schnelles und angemessenes Handeln zu gewährleisten, wenn der Überwachungsprozess ein Problem feststellt.
Es gibt mehrere Möglichkeiten, Ihre Backup- und Wiederherstellungssysteme zu überwachen, und Sie können mehrere Methoden gleichzeitig nutzen. Es kann sinnvoll sein, Azure Monitor einzurichten, um den Überblick über die Systemnutzung und die Backup-Jobs zu behalten. Azure Monitor ist eine vielseitige Lösung, die Überwachungsdaten aus Cloud- und lokalen Umgebungen sammelt, analysiert und für Maßnahmen nutzt. Das Tool erfasst Daten, die für Backups und Wiederherstellungen relevant sind, und führt sie zusammen. Azure Monitor macht Sie sofort auf mögliche Probleme aufmerksam, die den Zustand Ihrer gesicherten VMs und Daten beeinträchtigen.
Durch die Überprüfung von Berichten und die Analyse der Überwachungsdaten ist es möglich, das Benutzerverhalten zu validieren und gleichzeitig anomale Aktivitäten zu erkennen, die auf eine Bedrohung oder einen aktiven Angriff hindeuten könnten. Einem Ransomware-Angriff könnte zum Beispiel vorausgehen, dass sich Benutzer von ungewöhnlichen Orten oder außerhalb der Geschäftszeiten anmelden. Wenn eine Überwachungslösung diese verdächtigen Signale schnell genug erkennt, kann sie den Angriff abwehren oder zumindest die Auswirkungen begrenzen.
Native Backups und Drittanbieter-Backups im Vergleich
Azure verfügt über eigene Backup-Funktionen, aber mitunter ist die Backup-Lösung eines Drittanbieters vorzuziehen. Die in Azure integrierte Datensicherung bietet zwar einige Vorteile (breite Abdeckung von Workloads, relative Benutzerfreundlichkeit und die Tatsache, dass alles von demselben Anbieter gehandhabt wird), kommt aber mit Einschränkungen.
Native Backup-Tools wie die von Azure können die Erstellung eines Baseline-Backups erschweren. Die Festlegung von Richtlinien für mehrere Accounts kann sehr komplex sein. Diesen Tools mangelt es in der Regel an zentraler Transparenz für Multi-Cloud-Architekturen, was zu Inkonsistenz bei der Definition und Durchsetzung von Richtlinien führen kann. Darüber hinaus können native Backup-Tools unwirtschaftlich sein, da sie neben anderen suboptimalen Kostenfaktoren zu wenig Speicheroptionen und ineffiziente Deduplizierungsfunktionen aufweisen.
Backup-Lösungen von Drittanbietern schließen viele dieser Lücken. Sie reduzieren im Allgemeinen die Gesamtbetriebskosten (TCO). Das liegt unter anderem daran, dass sie die einfachere, einheitliche Verwaltung mehrerer Azure-Accounts und -Regionen ermöglichen und einen Überblick über alle Backups über mehrere Cloud- und On-Premises-VMs hinweg bieten. Drittanbieterlösungen können die Gesamtbetriebskosten auch dadurch senken, dass sie die Backup-Daten vom ersten Tag an im Cold Storage speichern, was kostengünstiger ist. Im Gegensatz dazu müssen Sie bei Azure Backup 30 Tage lang Hot-Storage-Optionen nutzen, die doppelt so teuer sind.
Backup-Lösungen von Drittanbietern, wie Rubrik Security Cloud, bieten zudem Sicherheitsfunktionen wie Datenbedrohungsanalysen und unveränderliche Backups, die zum Schutz vor Ransomware beitragen. Die Rubrik-Lösung für Azure-Backups bietet deutliche Vorteile für Azure-Umgebungen, z. B. speziell für Azure SQL, Azure-VMs und Azure NetApp-Dateien entwickelte Backup-Funktionen.
Worauf Sie bei einer Azure-Backup-Lösung achten sollten
Azure-Backup-Lösungen sollten spezifische Funktionen für Azure-VMs und verwandte Microsoft-Workloads bieten und Ihnen ermöglichen, auf einer zentralen Verwaltungskonsole mehrere Cloud-Umgebungen und lokale Infrastrukturen abzudecken. Sie sollte Backups durch Unveränderlichkeit, rollenbasierte Zugriffskontrolle (RBAC), Multi-Faktor-Authentifizierung (MFA), Ransomware-Erkennung und Air Gaps schützen sowie eine schnelle Wiederherstellung ermöglichen und optimale RTOs und RPOs bieten. Die Möglichkeit, Cold Storage zu nutzen, ist ebenfalls wichtig, um die Gesamtbetriebskosten so niedrig wie möglich zu halten.
Unkomplizierte Verwaltung mit richtliniengesteuerter Automatisierung
Eine geeignete Lösung für Azure-Backups sollte das Backup-Management durch Automatisierung vereinfachen. Die Lösung sollte in der Lage sein, Prozesse wie z. B. das Tiering von Azure-VMs und die Verwaltung der Speichermedien zu automatisieren. Die automatische Erkennung von Azure-VMs ist ebenfalls von Vorteil, insbesondere wenn die Lösung einen richtliniengesteuerte Automatisierungsansatz unterstützt. Ein Beispiel wäre die automatische Kennzeichnung von Ressourcen in einer Ressourcengruppe.
Darüber hinaus ist die Möglichkeit, Service Level Agreements (SLAs) mit deklarativen Anweisungen zu erstellen, ein großes Plus. Wie das SLA-Domain-Konstrukt von Rubrik zeigt, bieten deklarative Aussagen Vorteile gegenüber dem herkömmlichen „imperativen“ Modus bei der Einhaltung von SLAs. Im Gegensatz zu einem imperativen Ansatz, der eine Reihe von Schritten vorgibt, die Administratoren befolgen müssen, um ein Backup-SLA einzuhalten (ein Prozess, der unweigerlich schwerfällig und ineffizient ist), gibt eine deklarative Aussage ein Ziel vor, z. B. eine RTO. Auf diese Weise lassen sich Backups nach dem Prinzip „einmal einrichten und dann sich selbst überlassen“ durchführen, wobei sichergestellt wird, dass SLAs eingehalten werden. Die Einhaltung von Vorschriften wird dadurch erheblich vereinfacht.
Schnelle Wiederherstellung für RTOs und RPOs von nahezu Null
Bei einem Verlust von Azure-Daten jeglicher Art ist die schnelle Wiederherstellung ein absolutes Muss. Ihre Azure-Backup-Lösung sollte es Ihnen ermöglichen, selektiv die am dringendsten benötigten Azure-VMs und andere Daten im großen Umfang wiederzuherstellen. Auf diese Weise werden kritische Daten für eine schnellstmögliche Wiederherstellung priorisiert, was die Rückkehr zum Normalbetrieb beschleunigt.
Konkret bedeutet dies, eine optimale Recovery Time Objective (RTO) zu erreichen, also die Zeit, die zwischen dem Beginn eines Ereignisses und der Wiederherstellung der betroffenen Azure-VMs und der zugehörigen Dateien vergeht. Darüber hinaus muss die Lösung eine möglichst geringe Recovery Point Objective (RPO) unterstützen. RPO ist der Zeitpunkt, zu dem Daten aufgrund eines Ausfalls verloren gehen, z. B. die jüngste Transaktion. Eine effektive Azure-Backup-Lösung bietet RTOs und RPOs, die nahezu bei Null liegen.
Anwendungsmobilität für die kosteneffiziente Langzeitaufbewahrung, Anwendungswiederherstellung oder Test- und Entwicklungsumgebungen
Wenn Ihr Ziel die langfristige Aufbewahrung und Möglichkeit zur Wiederherstellung von Anwendungen ist, lohnt es sich, mit einem Azure-Backup-Anbieter zu arbeiten, der Anwendungsmobilität bietet. Nehmen wir an, Sie möchten eine VM von Azure zu Amazon Web Services (AWS) verlagern oder eine Anwendung von der Entwicklungs- über die Test- in die Produktionsphase verschieben. Dieser Prozess kann die schnelle Replikation von Daten zwischen Cloud-Umgebungen erfordern. Ihr Anbieter sollte diesen Prozess unterstützen. Eine einfache, einheitliche Verwaltung über Clouds hinweg ist für Ihren Erfolg unerlässlich.
Datenbedrohungsanalysen
Haben es Angreifer auf Ihre gesicherten Azure-VMs abgesehen? Der richtige Azure-Backup-Anbieter hilft Ihnen, das herauszufinden – bevor es zu spät ist –, indem er Funktionen zur Datenbedrohungsanalyse bereitstellt. Datensicherheit erfordert ständige Wachsamkeit. Zum Beispiel sollte Ihre Backup-Lösung die gesicherten Daten kontinuierlich auf Bedrohungssignaturen überprüfen. Gut wäre auch, wenn die Lösung die Bedrohungssuche unterstützt, also selbst nach bestimmten Bedrohungen sucht und nicht wartet, bis diese sich in Form eines Angriffs manifestieren. Wenn die Lösung eine Bedrohung entdeckt, sollte sie Warnungen an Personen senden, die mit der Bedrohungsabwehr betraut sind.
Nativer Schutz von virtuellen Workloads und SaaS-Anwendungen auf Azure
Eine Drittanbieterlösung für Azure-Backups sollte idealerweise Software-as-a-Service-Anwendungen (SaaS) wie Microsoft 365 abdecken. Das bedeutet SaaS-Datensicherung im großen Maßstab, einschließlich der Sicherung von SaaS-Daten mit zugriffsgesteuerten, per logischem Air Gap isolierten Backups und schneller Wiederherstellung. Zentralisierte Backup- und Wiederherstellungsfunktionen über ein intuitives Dashboard spielen dabei eine wichtige Rolle.