Eltern kennen das: Man will nachts nach dem Kind schauen – und tritt im Dunkeln schmerzhaft auf einen der beliebten, aber leider scharfkantigen Legosteine. Da wünscht man sich, es gäbe eine Fernsteuerung, um verstreute Klötzchen auf Knopfdruck zu verräumen. 
HPE Alletra Storage MP, die neue Generation von HPEs Speicherlösungen, lässt sich nach dem Prinzip der flexibel einsetzbaren (wenn auch leider scharfkantigen) Legosteine erweitern. Ein besonderer Vorteil dabei: Performance- und Flash-Speicherkapazitäts-Bausteine skalieren unabhängig voneinander, wie wir kürzlich in einem Blog-Post erläutert haben. Der Beitrag konzentrierte sich auf die Speicherarchitektur, die eine solche dynamische Skalierung erst ermöglicht. Hier soll es nun um die Fragen des zentralen Managements und – nicht minder wichtig in Zeiten von Ransomware & Co. – um die Absicherung der Datenbestände gehen.
Speicherkapazität per Mausklick bereitstellen
Über die On-Demand-Plattform HPE GreenLake stehen unter dem Namen „HPE GreenLake for Block Storage as a Service“ Alletra-Speicherbausteine auf Abruf bereit: Mit der Data Services Cloud Console (DSCC) von HPE GreenLake können Anwenderunternehmen Speicherkapazität per Mausklick beziehen und erweitern, wie man dies von Public-Cloud-Umgebungen her kennt. Der einzige Unterschied: Bestellt ein Unternehmen Storage-Ressourcen für den Einsatz vor Ort, erfordert die erstmalige Lieferung der Hardware einige Werktage Vorlauf. Sind einmal Alletra-Systeme installiert, geht eine nachfolgende Skalierung einfacher und kurzfristiger von der Hand. Denn nun stehen Reservekapazitäten bereit, die der Kunde erst bezahlt, wenn er sie tatsächlich nutzt. Im Rahmen dieser Reserve ist eine nahtlose Skalierung auf Knopfdruck möglich – nach Cloud-Manier, aber eben mit Ressourcen vor Ort.
Verwaltungsaufwand sinkt dramatisch
Gegenüber traditioneller Storage-Administration senkt die hochgradige Automation der Verwaltungsabläufe per DSCC den Zeitaufwand laut HPE-Erkenntnissen um bis zu 99 Prozent. So kann sich das IT-Team eines Unternehmens auf das Management der Datenbestände konzentrieren, statt sich um die Verwaltung der Blockspeicher-LUNs kümmern zu müssen. Als Cloud-native Konsole ermöglicht die DSCC selbstverständlich den einfachen Zugriff von überall aus – ob IT-Abteilung oder Home-Office. Dashboards verschaffen jederzeit den schnellen Überblick über die Speicherlandschaft. Mittels Programmierschnittstellen (APIs) fügt sich dies zur durchgängig verwalteten Hybrid-Cloud-Umgebung. Die Administrationsinfrastruktur skaliert dabei automatisch zusammen mit der Speicherumgebung.
Eine Skalierung der Speicherlandschaft ist, wie im ersten Beitragsteil erwähnt, so einfach wie Legosteine zusammenzustecken. Denn da die Administrationsschnittstelle browsergestützt und intuitiv per Mausklick funktioniert, erfordert das Management keine ausgewiesenen Storage-Spezialisten mehr. Die IT-Abteilung kann dabei allerdings Richtlinien vorgeben, innerhalb derer zum Beispiel ein Standort oder eine Fachabteilung neue Speicherressourcen selbsttätig ordern kann. Und die IT kann festlegen, dass das Löschen von Datenbeständen nur im Vier-Augen-Prinzip erfolgen darf – ein wichtiger Mechanismus, um in Ransomware-Zeiten die Informationssicherheit zu wahren.
Cyberkriminelle auf Speicherebene abwehren
Hat sich ein Angreifer – ob durch Täuschung oder per Angriffswerkzeug – bis zu den Kronjuwelen eines Unternehmens vorgearbeitet, folgen meist drei Schritte: Erstens exfiltrieren die Angreifer Interna, um sie weiterzuverkaufen (im Fall klassischer Wirtschaftsspionage) oder um mit deren Veröffentlichung zu drohen (eine zunehmend beliebte Form der Erpressung); zweitens löschen sie gezielt Backup-Bestände, um dem Opfer die Wiederherstellung seiner Daten zu erschweren oder gar unmöglich zu machen; und drittens verschlüsseln sie – im Fall von Ransomware-Gruppen – automatisiert Datenbestände, um dann für die Entschlüsselung Lösegeld zu fordern.
Einfache Bedienung, effizienter Schutz
Neben einfacher Bedienung – Komplexität ist immer ein Sicherheitsrisiko! – und Vier-Augen-Prinzip bietet die DSCC noch zahlreiche weitere Funktionen, die das Management der Speicherbestände erleichtern und zugleich das Sicherheitsniveau erhöhen. Zunächst: Da die Verwaltung einer GreenLake-Umgebung per Cloud-Konsole erfolgt, ist für die Administration aus der Ferne kein VPN-Zugang mehr erforderlich. Eine Fernverwaltung von IT-Ressourcen via VPN ist heute in den Unternehmen gang und gäbe. Schon oft hat ein kompromittierter Rechner im Home-Office des Administrators einem Angreifer den VPN-Zugang in die Hände gespielt – und damit das Tor zum gesamten Unternehmensnetz geöffnet. Dieses Einfallstor bleibt mit GreenLake verschlossen.
Statt per VPN greift der Administrator aus der Ferne über eine verschlüsselte Browser-Verbindung auf die GreenLake-Umgebung zu, idealerweise in Kombination mit einer Mehr-Faktor-Authentifizierung (MFA). Der Zugriff ist hier nicht nur per Benutzername und Passwort geschützt, sondern zusätzlich mittels einer MFA-Software wie Google Authenticator oder der SSO-Authentifizierung (Single Sign-on) des Anwenderunternehmens. Dies erhöht die Hürde für Angreifer erheblich. Zugleich erfolgt nach dem sogenannten „Zero Trust“-Prinzip ein Abgleich mit dem bisherigen Benutzerverhalten, etwa mit bekannten IP-Adressen – damit liegt die Latte, die ein Angreifer überspringen müsste, praktisch unerreichbar hoch.
Darüber hinaus erlaubt es die Zerto-Software von HPE einem Security-Team, einen Ransomware-Angriff schon frühzeitig erkennen. Die KI-gestützte Softwarelösung alarmiert zuständige Stellen, sobald verdächtige Aktivitäten auf einen Ramsomware-Angriff hinweisen. Denn die Zerto-Lösung erkennt anomales Verschlüsselungsverhalten innerhalb von Sekunden, also schon während eines Angriffsversuchs.
Diese Funktionen unterstützen nicht nur die IT- und Sicherheitsteams im Unternehmen bei ihrer Arbeit. Zugleich erleichtern sie es, Security-Aufgaben an externe Fachleute wie zum Beispiel an einen MSSP (Managed Security Service Provider) auszulagern, falls das Unternehmen für diese Aufgaben keine eigenen Fachleute hat. Denn per Berechtigungsstruktur lässt sich genau festlegen, wer welche Rechte für welche Systeme erhält. Damit bekommt zum Beispiel ein MSSP nur Zugriff auf die Systeme an einem bestimmten Fertigungsstandort – auch dies natürlich, ohne einen VPN-Tunnel zu erfordern. So kann ein Unternehmen den Schutz seiner Datenbestände einfach und effizient nach außen geben.
Zusätzlich zum hohen Sicherheitsniveau ist auch für Compliance mit gesetzlichen Vorgaben wie zum Beispiel der DSGVO gesorgt. Hier ist es erstens wichtig zu wissen, dass beim Einsatz von HPE GreenLake zwar das Management der IT-Systeme in der Cloud liegt, die Daten aber eben beim Anwenderunternehmen vor Ort – im Rechenzentrum, am Netzwerkrand (Edge), bei einem Colocation-Provider etc. – verbleiben. Zweitens erfolgt die Verwaltung per GreenLake für deutsche Anwenderunternehmen von einem RZ in Frankfurt aus, somit physisch in Deutschland und innerhalb des europäischen Rechtsraums. Und drittens hat HPE die Bestätigung seitens der EU, der Schweiz und von UK, nachweislich konform mit allen einschlägigen Regularien zu arbeiten.
Einfach zu verwalten, leicht zu skalieren, hochgradig geschützt
Weitere Informationen finden Sie hier.
