InsightModern Data Protection – Was bedeutet das eigentlich?

Markus Stumpf — 23. Juli 2021

In diesem Artikel möchten wir die drei Säulen der IBM Modern Data Protection vorstellen und zeigen, wie unsere Kunden von der Modernisierung ihrer Data Protection Infrastruktur profitieren können.

IBM hat seine Data Protection Strategie auf neue Wege geführt: Modern Data Protection.

Durch drei Säulen dieses Konzepts bietet IBM eine breite Auswahl an Werkzeugen, die es ermöglichen, in komplexen Landschaften passende Data Protection-Ansätze zu finden.

Die drei Säulen der IBM Modern Data Protection

Agent Based

  • Agent based (Client to Server) bietet maximale Flexibilität bei unterstützten Applikationen und Betriebssystemen. Es können auch sehr alte Betriebssystemversionen oder Applikationen unterstützt werden, die, obwohl sie out of support sind und keinen Upgrade Pfad haben, dennoch kritisch für die Geschäftsprozesse sind. Beispiele für solche Applikationen sind: Steuerserver für Industrieanlagen, Telefonanlagen, Spezialanwendungen für Messgeräte etc.

 

  • Außerdem bietet eine Agent Based-Sicherung den Vorteil, dass das Backup-Team keinen administrativen Zugriff auf die zu sichernden Clients benötigt. Die Server- oder Applikationsverantwortlichen können die Clients installieren und administrieren. Es gibt hier eine klare Rollentrennung. Dies ist auch unter Security-Gesichtspunkten vorteilhaft: Es muss keine Administratoren geben, die Zugriff auf Produktions- und Backupdaten haben (Separation of duties).

Agentless

  • bietet hingegen den Vorteil, dass aus der Backup-Applikation die Sicherung gesteuert wird. Es gibt auf dem Client keine installierten und zu administrierende Clients. Neue Funktionalitäten stehen direkt für alle Backup Clients zur Verfügung. Auch ein Discovery neuer Backup Clients (z.B. VMs) ist möglich. Dies stellt sicher, dass sich alle relevanten Daten im Backup befinden.
  • Um dies zu gewährleisten, müssen aber administrative Rechte zu den Applikationen und je nach zu sichernder Applikation oder Betriebssystem gewisse Voraussetzungen (Remote Anmeldungen, Ports etc.) erfüllt sein. Auf der anderen Seite kann durch das ausgefeilte RBAC-Konzept in Spectrum Protect Plus-Zugang zu Data Protection und Data Reuse an Applikationsverantwortliche übergeben werden, ohne die Compliance der Backupdaten zu gefährden. Zum Beispiel könnte sich ein Entwickler hier regelmäßig eine neue Kopie seiner VM oder Applikation automatisiert erstellen lassen, um seine aktuelle Arbeit gegen die echten Daten zu testen

Self Protect

  • Unter Self Protect wird das S3 Gateway des Spectrum Protect Servers verstanden. Über den seit Version 8.1.10 verfügbaren Object Agent können S3Api-Operationen zum Schreiben und Lesen von Daten, die im Spectrum Protect Server gespeichert werden, genutzt werden. Somit können alle Applikationen, die einen Export von Daten über S3 implementiert haben, diese Daten auch an einen Spectrum Protect Server senden. Da die Daten in einem Container Pool oder auf Tape gesichert werden, können von den Objektdaten auch mehrere Datenkopien erzeugt werden. Somit ergeben sich einzigartige Möglichkeiten, Spectrum Protect als Datenspeicher zu nutzen.

Fazit

IBM bietet ein vielfältiges Portfolio, um verschiedene Bedürfnisse von Kunden zu adressieren und eine effiziente Data Protection-Strategie in komplexen Infrastrukturen zu etablieren. Zusätzlich kann der Einsatz neuer Funktionalitäten Einsparpotentiale bedeuten, indem Komplexität reduziert wird. Je nach Bedürfnis kann mittels angepasster Konzepte einen Security Gewinn erreicht werden: indem Berechtigungskonzepte nach dem Minimalprinzip überarbeitet werden. Dies ist ein effektiver Baustein in der Vorsorge vor Ransomware-Angriffen und Attacken durch interne Quellen.

 

Markus Stumpf ist Head of Data Protection Services der Empalis Consulting GmbH. Mit über 20 Jahren Erfahrung mit IBM Spectrum Protect insbesondere und generell im Bereich Backup-Lösungen, Infrastrukturen und Managed Services beantwortet er gern Ihre Fragen.