00:08
Okay, willkommen noch einmal. Hallo, mein Name ist Stefan Zimmermann. Ich bin eine beratende Außendienstlösung hier bei Everpure. Und heute möchte ich Ihnen kein Produkt sondern ein technischer Rundgang durch eine veröffentlichte gemeinsame Architektur, die haben wir gemeinsam mit Commvault Everpure und Commvault.
00:28
Wir werden Schicht für Schicht vorgehen, erklären Sie, was jeder einzelne tut und warum er existiert, und dann durchgehen, wie die Schichten funktionieren für eine echte Wiederherstellungssequenz. Ich möchte alle Fragen am Ende beantworten, aber wenn sie Ihnen in den Sinn kommen, fallen Sie bitte im Chat oder im Q&A-Fenster, und ich werde sie beantworten, wenn möglich, am Ende.
00:56
Jetzt eine kurze Übersicht für unsere gemeinsame Zeit. Ich möchte mit dem Business Case beginnen, oder? Warum dieses Problem wichtig ist und warum die meisten Unternehmen lösen den falschen Teil davon. Dann gehen wir die vierschichtige Architektur von innen heraus. Wir beginnen also mit der Produktion und dann die auf die isolierteste Schicht hinarbeiten.
01:16
Wir beenden den Wiederherstellungs-Workflow und wie die Layer dann tatsächlich interagieren, wenn was schief geht und dann Fragen und Antworten. Stellen Sie Ihre Fragen erneut in die Fragen und Antworten, in den Chat, und ich werde sie weiterführen, am Ende auf und beantworte sie. Machen Sie mit – gehen wir zum Thema über, oder?
01:38
Eines der ersten Dinge, die ich, Erwähnung finden Sie hier und wahrscheinlich ist einer der meisten wichtige Unterscheidungen in diesem Sitzung ist Backup ist keine Resilienz. Die Branche verwendet diese Begriffe nicht nur Synonyme, aber sie sind nicht dasselbe. Backup beantwortet eine Frage: Tun Sie es haben Sie eine Kopie dieser Daten? Aber Resilienz beantwortet eine andere Frage: Kann ich das zurückbringen, diese Daten
02:09
wenn es am wichtigsten ist, also bei einem Vorfall, richtig und mit der Geschwindigkeit, die das Unternehmen benötigt? Der Branchendurchschnitt für Ransomware Die Wiederherstellung dauert etwa einundzwanzig Tage. Das ist nicht so, oh, Pech, es dauert einfach nur diese Zeit, oder? Dies ist das Ergebnis von Architekturen, die die auf Backup- und Backup-Geschwindigkeit und
02:37
Backup-Fenster, aber nicht zur Wiederherstellung. Ein Backup, das drei Wochen für die Wiederherstellung benötigt, ist: aus betrieblicher Sicht gleichwertige überhaupt kein Backup zu haben. Was ich also von diesem Punkt an in den Fokus rücken möchte ist, dass die einzige Kennzahl, die wir uns wünschen, um die Wiederherstellungszeit und Wiederherstellungsgeschwindigkeit.
03:01
Wenn wir uns ansehen, wie Angriffe tatsächlich funktionieren, richtig? Die meisten Menschen stellen sich vor, dass Ransomware ist eine unmittelbare Explosion. Dateien werden plötzlich verschlüsselt. Die Lösegeldnotiz wird angezeigt. Aber so funktioniert es nicht.
03:17
Angreifer verbringen Wochen oder Monate in Ihrer Umgebung, oder? Sie bilden die Infrastruktur ab. Sie finden die Backup-Systeme. Sie verstehen, wie Ihre Überwachung und Alarmierung funktioniert und identifiziert alle Ihre Failover-Pfade. Und was sie tun, ist, dass sie anfangen, zu deaktivieren oder
03:35
diese zuerst zu beschädigen. Die Verschlüsselung ist dann nur die der letzte Schritt in all dies. Wenn sie die volle Kontrolle haben, klicken sie auf die Schaltfläche. Wenn die Lösegeldnotiz erscheint, wird die Angreifer ist schon lange in Ihrer Umgebung genug, um es wahrscheinlich besser zu verstehen als den meisten Ihres IT-Teams. Deshalb brauchen wir
03:58
eine Architektur, die benötigt wird – also brauchen wir eine Architektur, die Ihre Wiederherstellung schützen kann speziell und nicht nur die Daten. Und wenn wir eine Zahl darauf setzen, richtig, ist super teuer, wenn man das falsch macht. Die durchschnittlichen Kosten für ungeplante Ausfallzeiten betragen rund vierzehntausend Dollar pro Minute. Ja, das unterscheidet sich stark von der Branche, oder nach Branche und auch nach Größe Ihres
04:30
Unternehmen. Aber es ist wesentlich. Der Schlüsselpunkt ist, einundzwanzigtägiges Wiederherstellungsfenster. Das ist kein technisches Problem. Es ist im Grunde der Nutzen des Angreifers, oder? Dieses Fenster.
04:45
Da es so groß ist, ist das die Warum Erpressung überhaupt funktioniert. Wenn Sie Ihr Wiederherstellungsfenster verkürzen können und Ihren Zeitrahmen, den Sie auf Stunden benötigen, dann Der Angreifer verliert seine Verhandlungsposition gänzlich. Das ist ihr Geschäftsfall, richtig, für alles, was folgt. und Servern, die Sie ersetzen können, obwohl Sie die aktuellen Zeiten, in denen es schwieriger sein könnte,
05:11
als früher, richtig und teurer. Aber Ihre Daten sind immer noch die Das Herzstück von allem, oder? Sie können Ihre Daten nicht ersetzen. Wenn es weg ist, ist es weg. Nicht zu irgendwelchen Rechten, Kosten oder Beträgen von Geld können Sie Ihre Daten zurückerhalten.
05:29
Und Angreifer verstehen dies besser als die meisten Unternehmen. Hier kommen wir also zu unserem veröffentlichten gemeinsamen Architektur von Everpure und Commvault. Wir haben ein White Paper dazu, das auch später und in den Ressourcen erwähnt. Wir haben vier Schichten und jede von Diese Schichten haben einen bestimmten Job. Sie sind nicht redundant, oder?
05:52
Sie decken verschiedene Angriffe ab Oberflächen und verschiedenen Wiederherstellungsszenarien. Wir werden sie von Schicht zu Schicht durchgehen vier, was der Produktion am nächsten kommt. Das ist im Grunde die erste Verteidigungslinie. Und dann arbeiten wir weiter oder weiter nach die Welt, die am isoliertesten ist, und obwohl auch die härtesten eine für den Angreifer.
06:19
Es gibt drei Hauptprinzipien, die auf jeder Ebene laufen. Der erste ist null Vertrauen, oder? Keine Schicht vertraut standardmäßig einer anderen, und da sind keine impliziten Dauernetzwerkverbindungen zwischen ihnen. Zweitens brauchen wir Unveränderlichkeit und Unlöschlichkeit, Das bedeutet, dass wir keine Daten löschen oder ändern können, selbst nicht mit einem kompromittierten Admin-Konto.
06:47
Und drittens ist Parallelität. Und das ist eigentlich auf zwei Ebenen, oder? Erstens werden wir mehrere Prozesse parallel. Wir werden eine Validierung für Forensik und Wiederherstellung durchführen zur gleichen Zeit und nicht nacheinander. Und wir verwenden auch einen zugrunde liegenden Storage Architektur, die für massive
07:09
parallele I/O, was bedeutet, dass wir Wiederherstellungen mit voller Geschwindigkeit über alle Blade gleichzeitig. Und das ist nicht nur ein Designprinzip, oder? Das ist der Grund dafür, dass wir Zahlen, über die wir sprechen werden, sind möglich. Schicht vier, wir beginnen hier.
07:31
Das ist unsere Produktionsebene. Es ist nicht nur ein Rückfall, sondern die schnellster Wiederherstellungspfad für die Workloads, die absolut nicht warten können. Wir verwenden Commvault IntelliSnap, das die Anwendung, löst eine Hardware-Ebene aus Snapshot direkt auf den Flash-Arrays, und verwalten Sie das alles durch dasselbe
07:54
Commvault-Richtlinien-Framework, das Sie bereits für Ihre Backups verwenden. Wenn Sie eine Wiederherstellung durchführen, wird es direkt zurück in die Produktion. Aus dem Snapshot, der sich bereits auf Ihrem Produktions-Array, es gibt keinen Media Agent in den Datenpfad, oder? Es gibt keine separate Kopierphase.
08:14
Dadurch ist es möglich, eine RTO von Sekunden bis Minuten. Und der Grund, warum alle Dies funktioniert im sicheren Modus. Jeder einzelne Snapshot ist auf Array-Ebene geschützt. Auch wenn der Commvault-Server vollständig kompromittiert, selbst wenn der Angreifer die Admin-Anmeldedaten für Ihr Flash-Array, das Angreifer diese Wiederherstellungspunkte nicht löschen können,
08:39
und Sie können sie für Ihre Wiederherstellungen verwenden. Jeder Versuch, diesen Schutz zu manipulieren erfordert einen formellen Genehmigungsprozess für mehrere Parteien, und wir werden uns ansehen, wie das genau funktioniert. Diese Kombination aus IntelliSnap und sichere Modi, oder? Betrieblich ist das viel einfacher als es klingt.
09:03
Sie verwenden dieselben Commvault-Richtlinien, die Verwalten Sie Ihre herkömmlichen Backups, um auch IntelliSnap-Zeitpläne, Replikation und Aufbewahrung. Es gibt also kein separates Tool zum Lernen, oder? Es ist ein einfacher Prozess, von Ihrem Commvault aus. Und der sichere Modus ist nur ein Konfiguration auf dem Flash-Array.
09:24
Es ist kein separates Produkt und vor allem handelt es sich nicht um eine Add-on-Lizenz. Alles ist in Ihrer Reinheit lizenziert die Sie ohnehin auf dem Flash-Array haben. Das Aktivieren und Konfigurieren des sicheren Modus ist völlig Self-Service-Betrieb, oder? Sie benötigen keine Unterstützung für normale Wiederherstellungen oder das Hinzufügen von Schutz. Sie stellen gerade von Ihrem Snapshots völlig unabhängig.
09:48
Wenn Sie jedoch EverPure-Support benötigen, wenn es einen Versuch gibt, oder Schutzeinstellungen deaktivieren selbst, wenn der sichere Modus aktiviert ist. Und dieser Prozess wird als Multi-Party- Außerband-Genehmigungsprozess. Dieser erfordert den EverPure-Support plus mindestens zwei vorab festgelegte Safe-Mode-Genehmiger vom Kunden. Jedes dieser Daten wird mit einer persönlichen PIN verifiziert,
10:17
und diese Trennung ist dann eine Architektur, oder? Der Genehmigungsworkflow ist physisch außerhalb Ihrer Produktion. Und das selbst bei einem kompromittierten Administrator Account, Sie können keine Social Engineering- um diesen Prozess. Ein weiterer Aspekt ist eine betriebliche Anmerkung.
10:37
Sicherer Modus funktioniert wie eine Ratsche, oder? So wird es nur in einem Richtung, und das können Sie immer tun, Steigern Sie Ihren Schutz über Self-Service. Sie können mehr Snapshots erstellen, länger Retention, ein längerer Eradication Timer. Sie brauchen dafür keinen EverPure-Support.
11:00
Wenn Sie jedoch Ihre in jede Richtung zu schützen, damit Sie weniger Snapshots, kürzere Aufbewahrung oder eine kürzerer Eradikationszeitgeber oder deaktivieren Sie sogar die Zeitplan benötigen Sie diese vollständige Multi-Party-Out-of-Band-Genehmigungsprozess, der über die wir gesprochen haben. Das Gute ist, dass diese Ratsche auch Replikationseinstellungen.
11:24
Die Replikation zu steigern, wie z. B. die zunehmende Häufigkeit oder Aufbewahrung, Self-Service. Sie entscheiden nur, dass ich mehr Schutz haben möchte. Aber wenn Sie die Replikation oder die Häufigkeit oder die Retention zu verringern, Richtig, ebenso sup- erfordert EverPure Support und Ihre beiden Safe-Mode-Genehmiger.
11:47
Das Replikationsstück ist also im Grunde eine geschützte zusätzliche Fehlerdomäne, oder? Snapshots können auf einen zweiten Flash repliziert werden Array an einem anderen Ort und Sie können diese Replikation geräuschlos von jedem Angreifer deaktiviert werden. Was ich also im Grunde gesagt habe, bevor Angreifer funktionieren, oder? Wenn sie Ihre Fehlermöglichkeiten verstehen, kann Ihre Replikation nicht einfach deaktivieren, ohne
12:12
durch diesen Prozess, den sie kann nicht auf through.So gehen, sehr wichtig für das zur Arbeit, oder? Sie müssen den sicheren Modus im Voraus aktivieren weil es nur Snapshots schützt, die nach der Aktivierung vorwärts. So nachrüsten wie: „Oh, wir einen Angriff durchführen.
12:33
Lassen Sie uns den sicheren Modus direkt aktivieren, um Alles schützen“, funktioniert nicht, und das ist keine Option. Während wir also Schicht 4 wirklich für y- unsere Tier-1-Workloads, die brauchen wir in wenigen Minuten, oder? Wie sieht es mit dem Rest der Umgebung aus? Wir haben noch viele Dateiserver, sekundäre Datenbanken, Anwendungsebenen und das heißt,
12:57
Schicht 3. FlashBlade ist also unser idealer Commvault Backup-Repository, entweder über NFS oder noch besser, mit Objekt-Storage S3. Es gibt zwei spezifische Commvault-Optimierungen die auch hier einen großen Unterschied machen. Erstens haben wir den Storage-Beschleuniger. Commvault-Clients können direkt schreiben zu einem FlashBlade-Objekt-Storage.
13:20
Sie umgehen Medienagenten vollständig, Sie entfernen also wieder diesen Engpass von Ihrem Datenpfad. Das bedeutet natürlich, dass Sie eine gewisse Verarbeitung benötigen alle Clients einschalten. Aber wenn Sie viele Kunden haben, Jeder nimmt ein wenig von dieser Last. Und die zweite ist, wenn wir zu den Wiederherstellungen zurückkehren, wir haben Range Reads, die statt
13:44
Durch das Streamen vollständiger Backup-Dateien kann Commvault nur bestimmte Byte-Bereiche anfordern, für die es erforderlich ist eine Wiederherstellung. Wenn Sie dies kombinieren und in einem eine angemessene Einrichtung mit hundert-G-Netzwerken, Sie erhalten bis zu zweihundertsiebzig Terabyte pro Stunde aus dem FlashBlade S-Repository. Das ist natürlich die hohe Zahl, und Sie können sogar noch höher werden, wenn Sie vier
14:08
Hundert-G-Netzwerke, die in der Regel nicht der Fall für Backup-Anwendungsfälle. Und Sie können auch sehr niedrig anfangen, oder? Oder nicht sehr niedrig, sondern viel niedriger, wenn wie ein einzelnes Gehäuse und vielleicht nur vierzig G-Netzwerk. Dann wird Networking in der Regel wird Ihr Engpass sein.
14:29
Aber diese Geschwindigkeit wäre der Unterschied, oder zwischen einer dreiwöchigen oder einer dreistündigen Wiederherstellung. Ein paar Worte dazu, warum die Hardware wichtig ist hier, weil das oft übersehen wird. FlashBlade ist also keine umfunktionierte Festplatte mit nur ein wenig Flash-Bla-Flash-Cache auf eine Stufe ganz oben, oder? Es handelt sich um einen speziell entwickelten Scale-out-All-Flash und ist für parallele I/O
14:58
über jedes Blade und jeden Komponente im FlashBlade. Damit erhalten Sie genau die Wiederherstellung, und Backup-Geschwindigkeiten, und diese Skalierung linear, wobei Sie Kapazität auf FlashBlade. Es gibt keine rotierende Festplatte, suchen Sie Latenzzeit, keine Verzögerung bei der Bandrehydrierung. Und darüber hinaus erhalten Sie sogar Deduplizierung mit Flash-Geschwindigkeit.
15:26
Die DeepReduce-Technologie von EverPure ist auf FlashBlade E und auf FlashBlade S bietet eine intelligente Nachbearbeitung Ähnlichkeitsbasierte Deduplizierung zur Reduzierung die Kapazität, die Sie benötigen, um Ihre Backups zu speichern. Da es sich um einen Nachprozess handelt, Sie hat keine Auswirkungen auf die Schreibgeschwindigkeit. Sie kann jedoch die Lesegeschwindigkeit bei hohen Deduplizierte Daten-deduplizierte Datensätze.
15:56
Aber trotzdem bietet FlashBlades Scale-out-All-Flash Parallele Architektur bietet Ihnen so viel Geschwindigkeit, mit der sich dies ist wirklich auf ein Minimum reduziert. Und wenn Sie zweihundert Terabyte pro stündliche Liniengeschwindigkeiten, oder, dann sprechen wir über etwas. Aber vorher werden Sie sicherlich häufiger einen Netzwerkengpässe, bevor Sie die Performance-Engpass der FlashBlades.
16:23
Sie opfern also nicht Ihren RTO, aber Sie erhalten immer noch Storage-Effizienz. Wir haben auch eine reale Referenz für diese Geschwindigkeit. Wir haben AVNI, ein großes Contact Center und sie konnten fünfhundert Server in drei Stunden mithilfe unserer Architektur, und ihre vorherige Erwartung war drei Wochen, dafür.
16:49
Während die Schichten drei und vier Ihnen viele der Geschwindigkeit, Schicht zwei bietet Ihnen besonders eine und das ist Vertrauen. Bevor irgendetwas wieder in die Produktion geht, müssen Sie müssen wissen, dass es tatsächlich sauber ist, dass Sie führen die Malware zusammen mit den Daten. Wir verwenden die Clean Recovery Zone.
17:10
Dies ist eine isolierte Wiederherstellungsumgebung und Es ist vollständig logisch voneinander getrennt, Produktion und dem Tresor. Es gibt keinen gemeinsam genutzten Netzwerkpfad, oder auf gemeinsam genutzter Managementebene. In der gesamten Architektur, dem IRE, richtig, die isolierte Wiederherstellungsumgebung, die ich verwende, das Wort sehr, also werde ich Verwenden Sie die Abkürzung IRE.
17:34
Die IRE-Datenspeicher laufen also auf einem Flash-Array, oder? Und das ist offensichtlich sicher. Dann die Wiederherstellung CommServe all dies orchestrieren. Und diese CommServe-Wiederherstellung CommServe läuft in einer sicheren Managementzone. Es ist vorbereitet und immer bereit.
17:54
Es wird aus der Produktion luftgesaugt. Und hier ist unsere EverPure-Hardwaregeschichte im Grunde von Schicht 4 zu Schicht fortbesteht zwei, weil wir noch Flash haben Geschwindigkeitswiederherstellung innerhalb des IRE und nicht nur in der Produktion. Es kann Fälle geben, in denen Sie sich zu einem dedizierten lokalen IRE verpflichten, oder?
18:15
Hardware ist teuer. Sie brauchen den Platz und so viel.Wenn es das kommt, Commvault Clean Room Recovery ist dafür eine Alternative. Dies stellt eine On-Demand- Cloud-isolierte Mandanten, sodass Sie keine diese vorgefertigte Hardware.
18:33
Dies ist auch nützlich für die kontinuierliche Wiederherstellung Testen, richtig und für kleinere Umgebungen wo Sie einfach keine permanente IRE-Umgebung, sodass eine isolierte Wiederherstellungsumgebung, eine verdoppelte Umgebung und damit weiter. aber wenn Sie diese Produktion wirklich Schnelle Wiederherstellung skalieren, richtig, mit der Performance-Zahlen, über die wir gesprochen haben, dann Sie müssen auf jeden Fall lokal sein, oder?
18:59
Denn auch eine Wiederherstellung aus der Cloud wäre super, super teuer, wenn man nicht Wiederherstellung in die Cloud sowieso. Aber lassen Sie uns verstehen, was tatsächlich passiert, in dieser isolierten Wiederherstellungsumgebung. Dies dient drei Zwecken und diese drei Zwecke gleichzeitig. Erstens: Datenbereinigung und Datenvalidierung.
19:28
Sie verwenden Commvault Threat Scan, um saubere Wiederherstellungspunkte und bestätigt, dass Anwendungen können von dort aus sauber starten. Die Ergebnisse werden als „Clean Point“ bezeichnet. Zweitens können Sie forensischen Support erhalten. In der Regel funktioniert die Forensik in Ihre Produktionsumgebung, oder?
19:48
Sie untersuchen, und den Angriff zu verstehen. Wahrscheinlich gibt es sogar Regierungsvertreter kommen und, ja, Hardware nehmen, was auch immer. aber der IRE bietet ihnen eine sichere und isolierte Raum, in dem sie mit einer Kopie des Daten ohne Re-Ohne die Gefahr laufen, die Wiederherstellung neu zu infizieren. Und drittens haben Sie die IRE für Disaster Recovery.
20:16
Sie können den ersten kritischen Kern Services direkt ausführen, sie direkt in innerhalb des IRE während Ihrer Produktion ist immer noch ausgefallen oder wird gereinigt. Sie beginnen also bereits mit der Wiederherstellung während Sie noch reinigen. Der IRE ist aber nicht nur ein Bereitstellungsbereich, oder? Sie kann diese Live-Workloads mit die Macht, die Sie dem IRE gegeben haben, oder?
20:41
Mit dem Service, mit dem mit der Menge und der Geschwindigkeit des Storage. Auch hier kommt schneller Storage an dieser Stelle sehr praktisch. Wenn Ihre Produktion dann wirklich gereinigt wird, validiert und bereit, richtig, und Sie hoffen, haben das Sicherheitsloch, die Die böswilligen Angreifer kamen ins Spiel, oder? An diesem Punkt können Sie Ihr Bestes geben, kritische Server, die im IRE ausgeführt werden
21:11
zurück in die Produktion. Und noch einmal: Hier ist unsere Schicht 4 kommt ins Spiel. So sna- eine Snapshot-Geschwindigkeit, und Sie haben ein nahezu sofortiger Cutover statt eines längeren Massenwiederherstellungsvorgangs. Wie gesagt, richtig, bevor irgendetwas passiert Zurück, Sie möchten Commvault Threat Scan ausführen lassen
21:37
gegen Ihre Backups innerhalb der isolierte Wiederherstellungsumgebung. Es prüft auf bekannte Malware-Indikatoren über alle Backup-Generationen hinweg und markiert infizierte Kopien. Das funktioniert in allen Versionen, nicht nur die neueste. Und das ist ziemlich wichtig, oder?
21:55
Denn wenn Sie an Ihren Angreifer denken, eine Verweilzeit von möglicherweise drei Monaten, sodass Ihr die letzten neunzig Tage Backups könnten alle verunreinigt sein. Mit Threat Scan können Sie erkennen, welche Generation ist eigentlich ein sauberes Backup, denn infizierte Kopien sind gekennzeichnet, oder? So haben Sie die volle Transparenz darüber, was können Sie sicher wiederherstellen und was nicht.
22:20
Der Output ist wie gesagt ein sauberer Punkt und Das ist ein verifizierter, Malware-freier Wiederherstellungspunkt von dem Sie sicher wiederherstellen können. Dies generiert auch einen vollständigen Audit-Trail, sodass können Sie dies direkt an Aufsichtsbehörden weitergeben, als Nachweis für eine validierte kontrollierter Wiederherstellungsprozess. Bedrohungsscan und Clean Point sind Standard Commvault-Cloud-Funktionen, sodass es keine
22:43
Dafür ist eine spezielle Lizenzstufe erforderlich. Die Lizenzierung, die Überlegung, die Sie haben aber auf der IR-IRE-Seite. Wenn Sie also den Commvault-Reinraum nutzen möchten, Wiederherstellung für den Cloud-isolierten Mandanten, oder? Wenn Sie also von der letzten Folie erfordern die Commvault Cloud Cyber Recovery Lizenzierte Stufe. Die äußerste Schicht, Schicht eins.
23:10
Dies ist derjenige, der überlebt, oder selbst wenn alles andere kompromittiert ist. Das ist unser Tresor. Die Storage-Ebene hier ist ein FlashBlade, vielleicht FlashBlade S, wenn Sie dies wünschen, diese Geschwindigkeit, und das ist gut. Und wir verwenden S3 Object Lock. Wir setzen warme Unveränderlichkeit im Bucket durch und wir nutzen wieder den Schutz für den sicheren Modus.
23:36
Sobald die Daten in den Tresor geschrieben wurden, Sie kann nicht gelöscht, nicht überschrieben werden bis die Aufbewahrungsfrist abgelaufen ist und nicht durch einen Administrator, nicht durch Ransomware, nicht durch jeder mit Produktions- oder Admin-Anmeldedaten. Eine, auf der, auf der physischen Trennung. Im Grunde genommen ist also eine logische Trennung mit einer angemessenen Netzwerkkontrollen, alles so, dass
24:01
besiegt bereits Ransomware. Aber eine zweite physische Seite fügt eine Katastrophe hinzu Resilienz und für die meisten Compliance-Frameworks wie DORA oder NIS2, dies ist auch erforderlich, oder? Sie fordern physisch getrenntes Backup Kopien, zumindest für regulierte Entitäten. Wenn Sie also unter DORA oder NIS2 fallen, Regulierung müssen Sie über diesen zweiten Standort verfügen,
24:23
sowieso.Wie die Netzwerkisolierung und Zugriffskontrolle durchgesetzt werden, werden wir uns ansehen. Wir haben also Objektsperrung und sicheren Modus. Ich habe beide erwähnt, oder? Und diese beiden kommen zusammen und ständig verwirrt werden. Lassen Sie mich also präzise sein.
24:42
Objektsperrung auf FlashBlade wird durchgesetzt Unveränderbarkeit auf der S3-Protokollebene. Das ist also eine Vorm-Richtlinie im Bucket. Das geht auf zwei Arten. Einer davon ist der Governance-Modus. Dies ermöglicht es dann von der Admin-Seite aus, mit den richtigen Berechtigungen, um dies zu überschreiben
25:03
unter kontrollierten Bedingungen. Das ist nicht das, was Sie wollen, oder? Sie möchten den Compliance-Modus. Compliance Remote entfernt diese Option vollständig, damit niemand die Daten löschen kann, bevor die Aufbewahrung pro Zeitraum läuft ab, Zeitraum.
25:20
Der sichere Modus ist ein völlig anderer Mechanismus. Dies funktioniert unterhalb der Admin-Ebene auf der Array-Ebene, und das funktioniert sowohl auf FlashArray und auf FlashBlade. Auch wenn ein vollständig authentifiziertes Array Administrator, rechts, höchste Berechtigungen die Sie erhalten können, können sie den sicheren Modus nicht löschen geschützte Daten ohne die zeitverzögerte Mehrparteienprozess, der
25:41
EverPure-Support, oder? Und das ist keine Softwarerichtlinie, oder? Sie können es nicht einfach deaktivieren mit den richtigen Anmeldedaten. Sie wird unterhalb der Admin-Ebene durchgesetzt. Bei FlashArray haben wir bereits gesehen, das in Schicht vier, oder?
25:56
Es schützt Ihre Produktions-Snapshots. Und auf FlashBlade fügt es eine zweite Ebene hinzu Schutz auf der Objektsperre, z. die Backup-Daten in Ihrem Tresor. Das sind keine Alternativen, oder? Die Objektsperre ist Protokollebene und Der sichere Modus befindet sich auf Array-Ebene.
26:11
Sie möchten also beides, weil sie verschiedene Angriffsvektoren zu umgehen. Und natürlich ist nur der Tresor funktioniert, wenn es tatsächlich unerreichbar ist während eines Angriffs, oder? Kein Vertrauen ist also da nicht nur ein Marketingbegriff. Das bedeutet, dass Sie kein persistentes Netzwerk haben Verbindung von der Produktion zum Tresor
26:36
bei normalem Betrieb. Die Produktion initiiert nie eine Verbindung zum Tresor, oder? Der Vault bezieht Daten aus der Produktion. Wir brauchen diese Daten, oder? Wir möchten eine Kopie unserer aktuelle Produktionsdaten.
26:47
Aber Sie tun dies nach einem Zeitplan und verwalten das aus einer sicheren isolierten Managementzone. Und dieser Netzwerkpfad sollte nur zuerst in eine Richtung zu gehen, und Sie Zeitfenster. Wenn also eine Produktion wirklich beeinträchtigt ist, Der Angreifer hat keinen Weg in Richtung Tresor, richtig, da keine von der Produktionsseite aus existiert. Der Zugriff auf den Tresor selbst erfordert erneut, mehrere unabhängige Pro-Kontrollen, oder?
27:18
Sie brauchen MFA, also Multifaktor Authentifizierung für, für Authentifizierung. Sie haben die Multi-Person Autorisierung für kritische Operationen. Sie haben eine rollenbasierte Zugriffskontrolle RBAC. und natürlich sollten Sie eine PAM-Lösung haben, oder? Damit alle Ihre privilegierten Sitzungen und jeden Zugriff auf den Tresor
27:39
ist gesperrt und überprüfbar. und Sie können sich auch auf diese Schlösser beziehen. Natürlich jede Art von ungewöhnlichem Verhalten, oder? Wenn Sie ungewöhnliches Replikationsverhalten haben in Richtung Tresor, wie groß angelegte Löschungen oder Versuche von großen Löschvorgängen, unerwartet Replikationsvolumen ändert sich, etwa
28:00
das eine Warnung auslösen sollte, oder werden, bevor es wirklich zu einem Vorfall wird. Sehen wir uns nun an, was während einer Ransomware-Vorfall, da hier ein viele andere Anbieter zu vereinfachen. Schritt eins, richtig, was Sie müssen Sie isolieren. Sie müssen diesen Angriff isolieren und den Sprengradius so weit wie möglich.
28:28
Sie brauchen Ihre Produktion intakt für die Forensik, oder? Und diese kompromittierte Umgebung Beweise sind, sodass Sie nicht anfangen können, sofort damit beginnen, sie wiederherzustellen. Schritt zwei führt dann zwei aus parallel zu arbeiten. Ihr Sicherheitsteam untersucht die Produktion, oder?
28:48
Und Ihr IT-Betriebsteam ruft Backup-Daten ab in die isolierte Wiederherstellungsumgebung. Es scannt es. Sie identifiziert den sauberen Wiederherstellungspunkt und überprüft, ob Anwendungen korrekt gestartet werden. Und das Gute ist, dass diese beiden Arbeiten Streams blockieren sich nicht gegenseitig, oder? Sie laufen parallel.
29:06
Dadurch erhalten Sie eine Menge Wiederherstellung Geschwindigkeit, im Grunde für das Ganze Zeitfenster für die Wiederherstellung nach Workloads. Und Schritt 3 ist der Cutover. Sobald die forensische Technologie also abgezeichnet ist, stellen Sie sie wieder her. Die Produktion ist kostenlos, oder?
29:21
Sie haben Ihre Tier-1-Systeme, die Sie ausführen wahrscheinlich im IRE, und es gibt eine nahe sofortiges aktives DR-Richtungsumdrehen vom FlashArray, das im isolierten Wiederherstellungsumgebung, zurück zu Ihre Produktion FlashArray. Und für alle sekundären Workloads können sie von Ebene 3 aus wiederherstellen, oder auf rund hundert Terabyte pro Stunde.
29:49
Um hier sehr ehrlich zu sein, richtig, ein ernsthafter Ransomware-Vorfall dauert noch Stunden bis Tage um sich in einem guten Fall vollständig zu erholen, oder? Die Architektur verändert Ihr Vertrauen, ändert Ihre Priorisierung, ändert die Audit-Trail. Es wird die grundlegende Realität nicht verändern dass eine große Wiederherstellung Zeit in Anspruch nimmt.
30:12
Aber wenn Sie die Möglichkeit haben, Sekunden, Minuten, Stunden, oder, das reduziert Ihre gesamte Workload-Wiederherstellungszeit drastisch.Wir diese Architektur nicht Compliance, aber es war die auf Wiederherstellung ausgerichtet sind. Aber wenn Sie die Wiederherstellung richtig, richtig, Die gesamte Compliance folgt natürlich.
30:41
Wir haben DORA und NIS2 als den großen hier gelten, und sie fragen die dieselben grundlegenden Fragen. Können Sie es tatsächlich wiederherstellen und beweisen? Sie haben unveränderliche Kopien, eine isolierte Umgebung haben, getestete Wiederherstellungsprozesse.
30:58
Und das sind keine Überprüfungen, Kontrollkästchen, oder? Sie befinden sich in der Architektur. Und die Compliance-Nachweise sind dann im Grunde nur ein Nebenprodukt, das Richtige zu tun ohnehin betriebsbereit. Das gibt Ihnen das Vertrauen, richtig, dass Ihre Architektur und Prozesse sind
31:15
arbeiten und nicht nur Papier, aber in der realen Welt. Und ich möchte dies betonen, Testen Sie den Winkel in diesem Bereich, oder? Dies gilt nicht nur für den Auditor. Moderne Vorschriften erfordern regelmäßige Tests. DORA erfordert beispielsweise dies mindestens einmal jährlich.
31:33
Aber der wahre Wert besteht darin, dass regelmäßige Tests mit dem Sie nachts besser schlafen können, oder? Und das bedeutet, dass Sie im Allgemeinen besser sind vorbereitet, wenn ein echter Vorfall eintritt. gibt es hier zwei Testebenen. Eine ist also die automatisierte Wiederherstellung und Validierungstests. Sie können mit einer isolierten Wiederherstellungsumgebung können Sie diese automatisch testen und
31:59
laufend gegen den IRE ohne etwas in der Produktion zu berühren, oder? Und mit dem darunter liegenden All-Flash-Storage ein Test dauerte keine Tage, aber er dauerte nur dauert einige Stunden. So können Sie das sehr oft und sehr wiederholt tun. aber was Sie auch testen möchten, ist den gesamten Vorfallreaktionsprozess. Und das sind Menschen, Kommunikationsketten, Eskalationswege, Entscheidungsfindung unter
32:29
Druck, all dies Dinge, Worst-Case-Szenarien. Und Sie müssen trainieren, dies in regelmäßigen Abständen als Übung. nicht kontinuierlich, oder, weil das viel ist Mühe, viel Arbeitskraft. Es ist nicht automatisierbar, aber zumindest bewusst. Wenn Sie also häufiger testen, Lücken früher erkennen und wenn etwas Reales
32:54
Es passiert, dass Sie das nicht zum ersten Mal ein Playbook. Compliance bietet Ihnen also einen Rahmen für All dies, aber unsere Architektur gibt Ihnen Zuversicht, dass dieses Framework wirklich durch etwas Reales gestützt. Es gibt fünf Entscheidungen, die vor einem Vorfall und nicht während eines Vorfalls. Erstens, Ihr Tresor-Standort, oder?
33:22
Stellen Sie dies im selben Rechenzentrum mit nur logische Isolation, d. h. ausreichend, um Ransomware zu besiegen, oder müssen Sie n- oder benötigen Sie eine zweite physische Standort, oder? Sie können dies aufgrund der Compliance verlangen, und Sie brauchen es auf jeden Fall, oder, wenn Sie möchte vor Ausfällen auf Standortebene schützen. Sie sollten also wissen, was Sie brauchen, oder?
33:43
Dafür gibt es keine beste Antwort, aber Denken Sie darüber nach und entscheiden Sie was an Ihren Anforderungen steht. Zweitens: Testhäufigkeit. Da ein DORA-Minimum also jährlich ist, vierteljährlich ist wahrscheinlich eine praktische Betriebskadenz, die Ihnen viel mehr Prüfungsnachweise auf der einen Seite, aber als
34:07
dass auch das Vertrauen, dass alle Ihre Prozesse funktionieren und Sie sind vorbereitet. Das gilt für die großen Tests, oder? Einschließlich Prozesse, Kommunikationskennzahlen usw. aber Sie möchten Ihre eigentlichen Wiederherstellungstests, oder Wiederherstellungspläne, sodass die echten Daten wiederhergestellt werden, getestet, um automatisch ausgeführt zu werden und kontinuierlich, oder?
34:29
Sie haben also nicht viel Betriebskosten. Es muss nur ausgeführt und angezeigt werden: „Hey, Hier hat etwas nicht funktioniert“, die Sie dann kann direkt behoben werden, damit es funktioniert – wenn Sie später planen müssen. Drittens, das ist also nicht eine Prioritätenliste, oder? Aber drittens, Ihre Tier-1-Workload-Liste.
34:48
Wenn Sie also heute keine haben, ist das das erste, was Sie aufbauen müssen. Sie müssen verstehen, welche Systeme benötigen Ihren ZAP für unseren RTO. und diese brauchen diese Ebene, vier Behandlungen, oder? Und das sind Tier-1-Datenbanken, Zahlungssysteme, Systeme ab Werk, die für Produktion, diese Art von Sachen, alles, was und das hält Ihr Unternehmen am Laufen.
35:19
Viertens sollten Sie Ihren Commvault überprüfen Lizenz, insbesondere wenn Sie sich die die Wiederherstellung nach einem Reinraum, die erfordern die Cloud-Cyber- Lizenzierung auf Wiederherstellungsebene. Wenn Sie sich also darauf verlassen möchten, sollte das Upgrade der Lizenz berücksichtigen, wenn Sie haben es noch nicht. Und fünfter, sehr wichtiger, sicherer Modus.
35:43
Das kann ich nicht genug betonen, oder? Dies ist nur eine Konfiguration. Es ist kein separates Produkt. Nichts, was Sie kaufen müssen. Der sichere Modus muss im Voraus aktiviert werden.
35:54
Sie können es während eines aktiven Angriffs nicht aktivieren. Das ist – dann ist es wertlos. Wenn Sie EverPure-Kunde sind schon, jetzt aktivieren, oder? Sie können mit einem sehr geringen Schutz beginnen weil Sie den Schutz in, in Self-Service jederzeit.
36:11
Und nur wenn es aktiviert ist, erhalten Sie dieses Sicherheitsnetz, richtig, das Sie sich wünschen, wenn eines Unfalls oder Vorfalls. und wenn Sie noch kein EverPure-Kunde sind, Richtig, bitte wenden Sie sich an Ihren EverPure Partner oder Ihren EverPure-Vertreter und erhalten Sie Zugang zu unserem leistungsstarken, aber einfachen Technologie.Das bringt uns bis zum Ende des
36:39
Strukturierter Teil. Vielen Dank für Ihren Aufenthalt bei mir durch, durch diese Architektur. wenn es etwas gibt, das Sie das ist der Bogen, Wiederherstellungsgeschwindigkeiten, d. h., das Wichtigste, worüber wir sprechen möchten, oder? Dies ist eine architektonische Entscheidung, die Sie heute machen, und es ist kein Problem, dass Sie
37:04
kann gelöst werden, wenn Sie von Ransomware und diese Lösegeldnotiz erscheint. Das White Paper hinter all dem Architektur, richtig, ich habe sie direkt miteinander verknüpft auf der Folie, und ich glaube, Ariana wird es auch in die Ressourcen hier zu integrieren. es ist eine gemeinsame Kneipe – es ist eine veröffentlichte Gemeinschaft Referenz, richtig, von EverPure und Commvault, und es lohnt sich auf jeden Fall, möchten Sie das Thema noch einmal genauer betrachten.
37:29
Und ich habe gesehen, dass es einige Fragen gab, während der Sitzung auftauchen. Gehen wir sie durch. Okay. Kurze Frage zum Threat Scan. Prüft sie nur auf bekannte Malware oder fängt es auch Dinge wie
37:53
Zero-Day-Ransomware? Antworten wir live. Eine sehr, sehr gute Frage. und nein. Bedrohungsscan geht also über das Signaturscannen hinaus. Threat Scan selbst führt mehrere Erkennungs-Engines parallel. Sie haben also eine Sig-Natürlichkeit, Signature-basiertes Antivirus-Scanning, aber Sie
38:13
auch verhaltensheuristische Scans durchführen, Entropieerkennung, rechts und verschlüsselt Änderungen an den Dateien. Und ein sehr wichtiger Punkt ist die Übereinstimmung mit den YARA-Regeln. Es geht also nicht nur darum, Erkennen Sie diese Datei, oder? Aber es sieht auch so aus, als ob diese Datei aussehen wie Ransomware oder sieht das aus wie
38:33
Ransomware-Verhalten, selbst wenn ich es nicht tue diese Ransomware kennen oder noch nicht gesehen haben. aber der größere Punkt hier ist, dass Threat Scan ein völlig separater Scan-Engine von Ihrem aus Antivirus-Scans von Live-Endpunkten, oder? Sie ersetzt sie nicht. Es fügt also eine zweite unabhängige Ebene hinzu, die wird gegen Ihre Backup-Daten ausgeführt, und weil sie liest von, aus Ihren kalten Backup-Daten, richtig,
39:05
Sie haben einige Vorteile. Erstens wird die Malware nie in Systemspeicher, so und und und nie ausgeführt. Das bedeutet, dass der Scanner nicht wirklich das Risiko besteht, kompromittiert zu werden zum Zeitpunkt des Scannens. Und das Zweite ist, dass Sie testen oder scannen
39:26
Live-Daten, Sie, nicht auf Live-Daten, entschuldigen sich. Sie scannen die Backup-Daten, einen gründlicheren Scan durchführen, einen intensiveren Scan durchführen, als mit Ihrem Live-Antivirus, oder? weil es keine Auswirkungen auf Ihren Betrieb hat Workloads, und es ist Ihnen im Grunde egal, wie lange es dauert, eine Backup-Kopie zu scannen.
39:48
Also nicht, nicht wirklich wahr, oder? Aber es ist ein, es ist ein Unterschied für eine Live- System und und es muss eine Entscheidung getroffen werden in Millisekunden, weil Sie das nicht wollen, wie, blockiert durch, durch ein Antivirus für Sekunden während Sie Sekunden für einen Scan benötigen können, und eine Entscheidung in einer Backup-Kopie, d. h. einen Faktor von, sagen wir, einige, einige Hunderte, oder?
40:14
es dauert länger, aber es es dauert nicht wirklich lange. Und wo es uns leid tut, ist das eine sehr lange, lange Antwort. Gut, sehr gute Frage. Mir gefällt es. auch dort gibt es etwas, das im Szenario nach dem Vorfall.
40:32
wenn Ihr Forensikteam Ihre Produktion, richtig und es findet heraus, wie diese Indikatoren, von Kompromissen, das Ihr Live-Antivirus verpasst hat, oder? Das niemand gesehen hat, weil er wochenlang in Ihrer Umgebung waren, und niemand bemerkt es. Wir müssen über diesen Fall nachdenken, oder?
40:54
aber wenn sie etwas finden, dann später darauf können sie benutzerdefinierte YARA-Regeln schreiben, basierend auf auf diese Indikatoren. Und wenn Sie diese YARA-Regeln anwenden, importieren Sie sie in den Threat Scan-Plan integrieren und können Sie diese über Ihre ganze Backup-Kette, oder? Das wird Ihnen genau dabei helfen, dies zu erkennen an der dieser Indikator für Kompromisse
41:21
war noch nicht im Backup. Und es gibt noch mehr, oder? Ich meine, das Timing funktioniert zu Ihren Gunsten, weil die der Scan auf Ihrer Wiederherstellung ist in der Regel ein etwas später als in der Produktion. Es besteht also die Möglichkeit, dass Signaturen und und sowie Updates von AV-Anbietern sowieso.
41:43
aber es, ja, Vorbehalt, keine Erkennung ist einhundert Prozent, oder? Es gibt viele Dinge, die Ihnen helfen, und und diese Kombination wird all diese Dinge helfen Ihnen, um Ihr Scannen zu verbessern. Oh mein Gott, tut mir leid, das war eine lange Antwort. Okay, das beantwortet hoffentlich auch die Commvault verwendet Signature-basiertes Scannen, um
42:09
die Backups zu scannen. Ich hoffe, das ist es auch. Und dann, okay, ja, ich habe viel über RTO von Snapshots. und was ist mit RPO, oder? Wie oft können Sie realistisch Snapshots, ohne die Produktion zu beeinträchtigen? Auch eine sehr gute Frage.
42:35
so natürlich, richtig, RTO, ich meine, ich bin, Ich spreche davon, dass die Ressourcengeschwindigkeit am meisten wichtig, damit alle aber RPO ist ebenso wichtig. also das Wiederherstellungspunktziel, oder? Wie viele Daten können Sie also verlieren, Für einen Vorfall, oder? Und Snapshots sind hier wirklich cool weil sie so laufen können, wie alle wenigen
43:00
Minuten oder so, und Sie können sie orchestrieren mit Commvault IntelliSnap-Richtlinien, oder? Snapshots sind extrem platzsparend. Sie speichern die Änderung nur Blöcke und eine praktische Trittfrequenz für Ihr Ja. Es hängt ein wenig von der Veränderungsrate ab, wie lange Sie sie aufbewahren möchten, oder?
43:22
Aber in der Regel wäre dies vielleicht etwas wie 15 bis 60 Minuten für Ihre Tier-1-Workloads, und das ist realistisch und überschaubar. Hoffentlich beantwortet das auch diese Frage. dieses: Was passiert, wenn mein Haupt-CommServe beim Angriff ausgeräumt? Wie orchestriere ich den Wiederherstellungs-Workflow?
43:48
ja. Auch eine großartige Frage. Das ist hier, wo wir sind – das ist auch bei der Planung oft übersehen, oder? Sie würden Ihr DR CommServe verwenden. Ich habe das schon erwähnt. In Ihrer sicheren isolierten Managementzone Sie haben eine Disaster Recovery CommServe, oder?
44:08
Das ist völlig außerhalb der Produktion. Und Sie haben ein Konfigurations-Backup gespeichert, und im Tresor geschützt sind, damit Sie selbst im schlimmsten Fall sauber wiederherstellen Szenario, dass Ihre gesamte Produktion weg ist. wieder zurück zu dem, was ich wollte, um schon vorher zu betonen, Tests durchzuführen. Das ist also sehr wichtig, absichtlich, nicht nur Ihre Datenwiederherstellung, sondern nicht
44:34
„Kann ich diese VM wiederherstellen? Startet es einfach hoch? Startet die Anwendung?“ Das ist in Ordnung. Das muss auf jeden Fall getan werden. Aber Sie müssen die ganzes Wiederherstellungsszenario. Ja. Was passiert, wenn ich den Zugang zu meinem Gebäude verlor?
44:50
Was passiert, wenn ich Zugriff auf alle meine Passwörter? wenn ich nichts davon tun kann, richtig, Wie kann ich meine Wiederherstellungsumgebung von Kratzen, oder? und das ist der Punkt, an dem Stift und Papier kommen wieder ins Spiel. Sie müssen also Ihre Disaster Recovery Plan in aktueller Version ausgedruckt, oder?
45:15
Am wichtigsten sind Passwörter, IPs, was auch immer Anmeldedaten müssen irgendwo auf Papier sein sicher in, in, in einem sicheren, hoffentlich, richtig? In einem Tresor. In einem realen Tresor. aber das ist definitiv nichts, was Sie möchte das erste Mal testen, wenn Sie einen echten Vorfall, aber Sie müssen ihn vorher testen.
45:38
Schlagen Sie vor, Snaps im sicheren Modus zu replizieren? in ein FlashArray IRE FlashArray, um schnellste Wiederherstellung? Klar, gerne. Wenn Sie die schnellste Wiederherstellung erreichen möchten, IRE-Wiederherstellung, richtig, das ist der schnellste Weg. Sie replizieren die Snapshots bereits in Ihren IRE aufgenommen werden. Im IRE haben Sie die Möglichkeit, mit Bedrohungsscan, um erneut die
46:01
den richtigen Snapshot, die richtigen Backups, die der Zeitpunkt, der sauber ist, und dann können diese direkt starten, diese Tier-1 Workloads in Ihrem IRE aus dem Snapshot. Das ist der schnellste Weg. Offensichtlich, richtig, in Sekunden, oder? Sie können es einfach neu beginnen.
46:20
Aber wenn es kompromittiert ist, müssen Sie vorher etwas reinigen. Es gibt also ein wenig einen Vorbehalt zu haben, oder? Sie – Sie können die Daten zwar in Sekunden, Ihr gesamter Wiederherstellungsprozess bleibt Nehmen Sie sich wahrscheinlich ein paar Stunden Zeit für Ihre Stufe eins, Anwendungen, um sicherzustellen, dass dies eine saubere dass Sie es wahrscheinlich gereinigt haben, dass Sie was, was der Angriff war und diese
46:42
irgendetwas. Okay. Das waren also alle Fragen. Ich Wenn Sie mehr haben, geben Sie sie einfach ein. Ansonsten meine ich, für alle, die dieses Gespräch nach heute weiterführen, kostenlos, bitte kontaktieren Sie mich direkt.
47:00
Meine E-Mail-Adresse befindet sich auf der Folie. Ich freue mich im Allgemeinen, tiefer darüber sprechen, oder? Einzelgespräch können wir alle, wie z. B. Architekturfrage, Dimensionierung von Diskussionen. Aber nur ein Follow-up, wenn Sie, wenn Sie eine Folgefrage zu etwas, das ich hat es heute nicht in die Präsentation geschafft.
47:22
Nochmals vielen Dank für Ihre Zeit, und ich wünsche Ihnen alles Gute für den Rest Ihres Tages und Ihrer Woche.
