För ett tag sedan läste jag om ett företag som fått ransomware, inget ovanligt i det i dessa tider. Men i detta fall sparade de sina backuper på vanliga Windowsservrar, som även de blev krypterade och oåtkomliga! Så där står du, med byxorna vid anklarna, och funderar på vart nödutgången är och om ditt pass är giltigt.
Hur hamnade du här?
Det är inget unikt med den här storyn, säkerhetskopiering är och har varit något av det mest osexiga i datacentret. Jag har själv duckat det under flera år som konsult för att hellre jobba med primärlagring och virtualisering! Men med tiden har värdet på datat ökat och fokus har flyttats från att se säkerhetskopiering som något nödvändigt ont, till en livräddare som ligger högt på agendan (eller revisionen om den inte låg på agendan…).
Men åter till hen som precis fått sitt liv krypterat till oigenkännlighet, vad kunde ha gjorts annorlunda?
En hel del givetvis, men jag skall koncentrera mig på en sak idag: Skydda ditt backupdata!
Ett exempel som ligger mig varmt om hjärtat är HPE StoreOnce och närmare bestämt Catalyst. Ett enkelt sätt att skydda sig från automatiska krypteringar. Men låt oss börja från början.
HPE StoreOnce
Har hängt med länge. (Någon som vet hur länge? Jag lovar en Sambuca till den som svarar rätt!) En deduplicerande appliance, alltså vanlig server med disk och mjukvara färdigpaketerad som en produkt. Det som skiljer just denna appliance mot andra är protokollet Catalyst.
Catalyst Store
En StoreOnce kan konfigureras som ett CIFS/NFS (lägg dina backupfiler i en delad katalog och de dedupliceras/komprimeras där), som VTL(ser ut som en bandrobot för ditt backupprogram) eller med Catalyst Stores. En av de många fördelarna med Catalyst Store är att den är proprietär och kräver en klient som pratar Catalyst för att nås. Så om ett malware i din Windowsmiljö löper amok och krypterar allt den når så ser den inte Catalyst Storen!
Dessutom är det ju ett protokoll som kan deduplicera och komprimera redan i klienten i t.ex. Veeam (source side), och därmed minimera bandbredden som krävs för att föra över backupen till StoreOnce.
Men det går ju även att replikera till andra Catalyst Stores utan att blåsa upp datat. Så om du har ROBO i Tyskland kan du replikera hem en off-site kopia där endast ändringarna skickas och med en storlek på någonstans 11-16:1. (HPE säger 20:1, men jag ser oftast runt 14:1 i virtuella blandmiljöer).
Nämnde jag att det går att sätta ett Catalyst Store Immutable?
Då kan inte ens en hacker som tagit över backupprogrammet, eller självaste StoreOnce, radera din backup! (Tyvärr stöds inte detta i Veeam än, vi hoppas på V12 😊)
But wait, there’s more!
StoreOnce VSA
VSA är en virtuell appliance, alltså en liten VM som har allt den fysiska versionen har. Du lägger den på din hypervisor, tilldelar disk och skapar ett Catalyst Store. Sedan c:a 150 år tillbaka i VMware ESXi, men från 4.2.3 kan den appliceras på en Hyper-V 2016 eller 2019 också.
För er som gäspar nu kan jag berätta att det betyder att du kan ta en billig server, fylla med billig disk, slaska in din Windows Server 2019 och Hyper-V (Eller gratisversionen av ESXi om du inte vill bryr dig om support och sånt tjafs), och sedan in med StoreOnce VSA. Presto: En färdig deplicerande backupappliance med Catalyst! Kanske som ditt off-site target eller arkiv, eller ROBO-backup, eller… Ja ni fattar.
Den licensieras med 4TB och sedan i steg om 1 eller mer. 4TB kostar c:a 25 000 SEK listpris, men med tanke på kanske 14:1 så betyder det ett target med nästan 60TB Catalyst Store för totalt runt 50 000 SEK med hårdvara och licenser. Som dessutom inte blir krypterat av ransomware…
Cloud Volumes Backup(CVB)
Kortfattat är det Catalyst Stores baserade på StoreOnce VSA som HPE placerar ut i datacenter över världen. Ingen i Sverige eller EU än, men det är på gång. Närmast är Irland idag.
För att ansluta skapar du en Linux VM och ger den en applikation och certifikat från ditt Cloud Volumes-konto. Den fungerar sedan som en proxy för CVB till din backupprogramvara, så det ser ut som att du ansluter mot ett StoreOnce Catalyst Store lokalt, men backupdata laddas upp till din CVB genom den.
Inte jättebilligt, runt 10 000 SEK per ”catalyst-TB” och månad. Men för lösningar som inte kan eller vill ha en lokal backup är det smidigt, och det är Catalyst-komprimerad data som skickas upp. Du kan använda den som off-site t.ex. och ha en extra kopia där, du vet den där sista 1:an i Veeams 3-2-1-1-0 https://community.veeam.com/blogs-and-podcasts-57/3-2-1-1-0-golden-backup-rule-569
StoreOnce Cloud Bank
Vill du bara ha en kopia av ditt Catalyst Store så finns det en inbyggd funktion i StoreOnce som heter Cloud Bank. Viss likhet med CVB, men till ett ”valfritt” objektlager typ Azure, AWS, Scality eller annat S3. Den licensieras per TB för runt 4 000 SEK, något som hamnar ovanpå själva lagringskostnaden.
Jag har inte hittat något bra användningsområde än, och det stöds inte av Veeam så du behöver t.ex. HPE Recovery Manager Central (som förvisso är gratis) för att sköta backup/replikering/återläsning. Om du ändå är intresserad finns en white paper här https://psnow.ext.hpe.com/doc/a00043317enw
Catalyst Copy
Kanske dags att förklara Catalyst Copy också…
När du kopierar mellan två Catalyst stores så använder du din backupprogramvara, te.x. Veeam, och skapar ett kopieringsjobb som det håller koll på. Så att du kan återställa från kopian bland annat. Men själv kopieringen sker från StoreOnce till StoreOnce, ingen data går genom backupservern, det är helt och hållet en transaktion mellan två Catalyst Stores och syns i StoreOnce som ”Replication traffic”
Som du förstår är det en rejäl verktygslåda du får i handen när du väljer HPE StoreOnce Catalyst, och det kan bli överväldigande med alla lösningsalternativ. Men visst blev det sexigt med backup!
Vad du än tycker om den saken så hoppas jag att jag gett dig en tankeställare, och att det därför inte är du som står där med byxorna nere och en växande panik. Så tänk efter före och hör av dig om du känner dig osäker. Jag har lång erfarenhet av StoreOnce, och i värsta fall en lista på länder utan utlämningsavtal.
Stay safe, backup!
Fredrik Ranelöv
