Object First: Maßgeschneiderter Objektspeicher für Veeam

Zero Trust als Basis für optimierte Sicherheit

Object First integrierte eine Zero Trust Data Resilience Architecture (ZTDR) in seine Lösung, um ein hohes Sicherheitsniveau zu offerieren. Zero Trust erfordert, dass die Backup-Infrastruktur in mehrere Sicherheitsdomänen oder Ausfallsicherheitszonen unterteilt wird, zum Beispiel Backup-Software, primärer Backup-Speicher und sekundärer Backup-Speicher – jede mit ihrer eigenen reduzierten Angriffsfläche. In diesem Fall kann die Backup-Software immer noch eine Angriffsfläche haben, aber der Backup-Speicher hat eine minimale Angriffsfläche. Erreicht wird dies durch die Beschränkung der Kommunikation auf ein dem Industriestandard entsprechendes S3-Protokoll. Die ZTDR wird empfohlen, um die Zero-Trust-Prinzipien explizit auf die Backup- und Recovery-Infrastruktur auszuweiten.

Zusammen mit dieser Architektur sollten folgende Maßnahmen umgesetzt werden:

• Segmentierung: Trennung von Backup-Software und Backup-Speicher.
• Mehrere Datensicherheitsdomänen oder Ausfallsicherheitszonen, um mehrschichtige Sicherheit zu gewährleisten.
• Unveränderlichkeit des S3-nativen Objektspeichers.
• S3-eigene Sicherheit, Zugriff mit geringsten Rechten, IAM und MFA.
• S3-Kommunikationsprotokoll mit minimaler Angriffsfläche für Backup Storage.
• Null-Zugriff auf Root und Betriebssystem zum Schutz vor böswilligen oder gefährdeten Administratoren.
• Offenes Design und offene Architektur, die die Einführung und Bereitstellung in Unternehmen vereinfachen.

Die Veeam-Architektur und der Hardware-Formfaktor garantieren die Trennung zwischen dem Veeam Backup & Replication-Server (Backup-Software) und Ootbi (Backup-Speicher), wobei mehrere Ausfallsicherheitszonen die Durchsetzung des Zero-Trust-Modells gewährleisten.

Die Unveränderbarkeit der Backups wird über das S3-native Object Lock sichergestellt. Dabei lassen sich die Daten über das S3-Protokoll vom eigenen Standort aus in die Cloud kopieren. Ootbi unterstützt zudem Veeams Direct-to-Object-Funktion, die es ermöglicht, Backups direkt im Objektspeicher zu initiieren, was die Leistung und Effizienz verbessert

Einfache Bedienung und schnelle Implementierung

Der Hersteller eine schnelle Installation und simple Bedienung mit seiner Bedienungsoberfläche. Laut eigenen Angaben lässt sich die Lösung in weniger als 15 Minuten einrichten und Anwender benötigen keine Kentnisse in Linux. Ebenso ist kein zusätzliches Setup oder eine Anpassung des namespace notwendig, wenn auf dem Veeam-Layer skaliert wird.

Die Installation selbst erfordert 3 IPs, zwei physische und eine vIP für den S3-Endpunkt sowie einen Nutzernamen, ein Passwort und ein MFA-Setup. Werden zusätzliche Nodes benötigt, so kann der Admin diese innerhalb von zehn Minuten mit automatischem Scaling und Load Balancing hinzufügen. Dabei muss der Veeam-Namespace niht verändert werden und ein Backup Repository ist ebenso nocht erforderlich. Für einfacheres Management hat der Hersteller das Veeam Smart Object API integriert. 

Benachrichtigungen und Aktualisierungen sind von Object First-Servern aus abrufbar. So wird sichergestellt, dass der Linux-Kernel und der proprietären Objektspeichersoftware sicher und mit QA-geprüften Patches auf dem neuesten Stand sind und die Auswirkungen von Zero-Day-Schwachstellen und Exploits gemindert werden.

Modelle im Kurzüberblick

Das Produktportfolio besteht aus drei Modellen, wobei der Anbieter eine Konfiguration von vier Knoten in einem Cluster empfiehlt. Alle Systeme haben einen Formfaktor von zwei Höheneinheiten, zwei 10Gbase-T-Netzwerkschnittstellen und zwei SFP+ 10Gb/Port-Karten. 

Die Geräte bieten entweder 64, 128 oder 192 Tbyte Speicherkapazität, wobei im kleinsten System zehn 8-TByte-SAS-Platten zum Einsatz kommen, das nächstgrößere Modell verfügt über die gleiche Anzahl an 16-TByte-SAS-Drives, das größte über 24-TByte-Medien. Die Festplatten werden in einem RAID-6-Verbund konfiguriert. Das größte Modell stellt bis zu 768 TByte nutzbaren Speichers bereit. Jedes System integriert zwei dedizierte 240-GByte-SATA-SSDs in RAID 1(Spiegelung für Redundanz) für das Betriebssystem. Der Cache basiert auf 1,6 TByte-großer NVMe-Technologie.

Zu den bereits aufgeführten Funktionen kommt noch das Instant Recovery hinzu, dass vom Anbieter mit bis zu 80 VMsauf einem 4-Knoten-Cluster im Maßstab getestet wurde.

Die beiden Dual-Port-10Gb-NICs (wahlweise T-Base oder SFP+) parallelisieren eingehende Datenströme, die auf einem NVMe-Cache landen, das automatisch einen Lastausgleich für Objekte auf dem RAID-6-Array vornimmt. Dies liefert hohe Speicher-Ingest-Geschwindigkeiten, ohne für ein All-Flash-Gerät zu bezahlen, das linear skaliert, wenn Knoten hinzugefügt werden.

Das 64-TByte-Modell kostet etwa 36.500 Euro (UVP), das System mit 128 TByte Speicherkapazität schlägt mit rund 50.000 Euro zu Buche.

Ootbi stellt einen Objektspeicher dar, der explizit für die Aufnahme und Sicherung von Veeam-Daten entwickelt wurde, was bedeutet, dass keine zusätzlichen und unnötigen Features oder Funktionen eingesetzt werden müssen, die die Leistung beeinträchtigen. Das sind sicherlich gute Neuigkeiten für Veeam-Kunden, wer allerdungs eine diversere Backup-Umgebung betreibt, wird nicht alle Vorteile nutzern können. Denkbar ist auch ein Einsatz in einer IT-Infrastruktur, die über verschiedene, getrennte Backup-Umgebungen verfügt.