Richtlinienoptionen für das Backup an ein Objekt
Mit BlueXP Backup und Recovery können Sie Backup-Richtlinien mit einer Vielzahl von Einstellungen für Ihre lokalen ONTAP und Cloud Volumes ONTAP Systeme erstellen.
Diese Richtlinieneinstellungen sind nur für den Objekt-Storage relevant. Keine dieser Einstellungen wirkt sich auf Ihre Snapshot- oder Replikationsrichtlinien aus. Ähnliche Richtlinieneinstellungen für Snapshots und Replikationen werden in Zukunft hinzugefügt. |
Optionen für den Backup-Zeitplan
Mit BlueXP Backup und Recovery können Sie mehrere Backup-Richtlinien mit eindeutigen Zeitplänen für jede Arbeitsumgebung (Cluster) erstellen. Sie können Volumes mit unterschiedlichen Recovery-Punkten (RPO) unterschiedliche Backup-Richtlinien zuweisen.
Jede Sicherungsrichtlinie enthält einen Abschnitt für Labels & Retention, den Sie auf Ihre Sicherungsdateien anwenden können. Die auf das Volume angewendete Snapshot-Richtlinie muss eine der Richtlinien sein, die von BlueXP Backup- und Recovery- oder Backup-Dateien erkannt werden. Sie wird dann nicht erstellt.
Es gibt zwei Teile des Zeitplans: Das Etikett und der Aufbewahrungswert:
-
Die Bezeichnung definiert, wie oft eine Sicherungsdatei aus dem Volume erstellt (oder aktualisiert) wird. Sie können eine der folgenden Beschriftungstypen auswählen:
-
Sie können eine oder eine Kombination aus, stündlich, täglich, wöchentlich, monatlich, Und jährliche Zeitrahmen.
-
Sie können eine der vom System definierten Richtlinien auswählen, die Backup und Aufbewahrung für 3 Monate, 1 Jahr oder 7 Jahre bieten.
-
Wenn Sie im Cluster benutzerdefinierte Backup-Sicherungsrichtlinien mit ONTAP System Manager oder der ONTAP CLI erstellt haben, können Sie eine dieser Richtlinien auswählen.
-
-
Der Wert Retention definiert, wie viele Sicherungsdateien für jedes Etikett (Zeitrahmen) aufbewahrt werden. Sobald die maximale Anzahl von Backups in einer Kategorie oder Intervall erreicht wurde, werden ältere Backups entfernt, sodass Sie immer über die aktuellsten Backups verfügen. Dies spart auch Storage-Kosten, da veraltete Backups nicht mehr Speicherplatz in der Cloud belegen.
Beispiel: Erstellen Sie eine Backup Policy, die 7 wöchentlich und 12 monatlich Backups erstellt:
-
Jede Woche und jeden Monat wird eine Sicherungsdatei für das Volume erstellt
-
In der 8. Woche wird das erste wöchentliche Backup entfernt, und das neue wöchentliche Backup für die 8. Woche wird hinzugefügt (maximal 7 wöchentliche Backups bleiben erhalten)
-
Am 13. Monat wird das erste monatliche Backup entfernt, und das neue monatliche Backup für den 13. Monat wird hinzugefügt (maximal 12 monatliche Backups)
Beachten Sie, dass die jährlichen Backups nach der Übertragung in den Objektspeicher automatisch aus dem Quellsystem gelöscht werden. Dieses Standardverhalten kann geändert werden "Klicken Sie auf der Seite Erweiterte Einstellungen auf" Für die Arbeitsumgebung.
DataLock- und Ransomware-Schutzoptionen
BlueXP Backup und Recovery bietet Unterstützung für DataLock und Ransomware-Schutz für Ihre Volume-Backups. Mit diesen Funktionen sperren Sie Ihre Backup-Dateien und scannen sie, um mögliche Ransomware auf den Backup-Dateien zu erkennen. Dies ist eine optionale Einstellung, die Sie in Ihren Backup-Richtlinien definieren können, wenn Sie zusätzliche Sicherheit für Ihre Volume-Backups für ein Cluster wünschen.
Beide Funktionen schützen Ihre Backup-Dateien, sodass Sie bei einem Ransomware-Angriff auf Ihre Backups immer über eine gültige Backup-Datei verfügen, von der Sie Daten wiederherstellen können. Darüber hinaus hilft es bei der Einhaltung bestimmter gesetzlicher Vorgaben, bei denen Backups für einen bestimmten Zeitraum gesperrt und aufbewahrt werden müssen. Wenn die Option DataLock und Ransomware-Schutz aktiviert ist, sind für den Cloud-Bucket, der als Teil der Backup- und Recovery-Aktivierung von BlueXP bereitgestellt wird, Objektsperrung und Objektversionierung aktiviert.
Diese Funktion bietet keinen Schutz für Ihre Quell-Volumes, sondern nur für die Backups dieser Quell-Volumes. Verwenden Sie NetApp "Einblicke aus Dateninfrastrukturen und Cloud Secure" , oder einige der "Ransomware-Schutz durch ONTAP", um Ihre Quell-Volumes zu schützen.
|
Was ist DataLock
DataLock schützt Ihre Sicherungsdateien vor einer bestimmten Zeit, die auch unveränderlicher Speicher genannt wird. Diese Funktionalität nutzt Technologie des Objekt-Storage-Providers zur „Objektsperrung“. Der Zeitraum, in dem die Sicherungsdatei gesperrt (und aufbewahrt) ist, wird als Aufbewahrungszeitraum für DataLock bezeichnet. Er basiert auf dem von Ihnen definierten Zeitplan für die Backup-Richtlinie und der Aufbewahrungseinstellung sowie auf einem Puffer von maximal 31 Tagen. Jede DataLock-Aufbewahrungsrichtlinie, die weniger als 31 Tage beträgt, wird auf mindestens 31 Tage aufgerundet.
Beachten Sie, dass alte Backups nach Ablauf des Aufbewahrungszeitraums von DataLock gelöscht werden, nicht nach Ablauf der Aufbewahrungsfrist für Backups.
Sehen wir uns einige Beispiele an, wie das funktioniert:
-
Wenn Sie einen monatlichen Backup-Zeitplan mit 12 Retentions erstellen, wird jedes Backup für 12 Monate (plus einen maximalen 31-Tage-Puffer) gesperrt, bevor es gelöscht wird.
-
Wenn Sie eine Sicherungsrichtlinie erstellen, die 30 tägliche, 7 wöchentliche, 12 monatliche Backups erstellt, gibt es drei Aufbewahrungsfristen. Die „30 täglichen“ Backups würden für 44 Tage (30 Tage plus einen maximalen 31-Tage-Puffer) aufbewahrt, die „7 wöchentlichen“ Backups für 9 Wochen (7 Wochen plus einen maximalen 31-Tage-Puffer) aufbewahrt und die „12 monatlichen“ Backups für 12 Monate (plus einen maximalen 31-Tage-Puffer) aufbewahrt werden.
-
Wenn Sie einen stündlichen Backup-Zeitplan mit 24 Aufbewahrung erstellen, könnten Sie denken, dass Backups für 24 Stunden gesperrt sind. Da dies jedoch weniger als 30 Tage beträgt, wird jedes Backup gesperrt und 44 Tage lang aufbewahrt (30 Tage plus maximal 31 Tage Puffer).
Sie können in diesem letzten Fall sehen, dass, wenn jede Backup-Datei für 30 Tage gesperrt ist (plus einen maximalen 31-Tage-Puffer), Sie mit viel mehr Backup-Dateien enden, als in der Regel mit einer stündlichen/24 Retentions Policy beibehalten würde. Wenn BlueXP Backup und Recovery die 25. Backup-Datei erstellt, würde es normalerweise das älteste Backup löschen, um die maximalen Retentions bei 24 zu behalten (basierend auf der Richtlinie). Die DataLock-Aufbewahrungseinstellung überschreibt in diesem Fall die Richtlinienaufbewahrung von Ihrer Backup-Richtlinie. Dies könnte sich auf Ihre Storage-Kosten auswirken, da Backup-Dateien über einen längeren Zeitraum im Objektspeicher gespeichert werden.
Was ist Ransomware-Schutz
Ransomware-Schutz scannt Ihre Backup-Dateien, um einen Ransomware-Angriff auf einen Nachweis zu untersuchen. Die Erkennung von Ransomware-Angriffen erfolgt über einen Prüfsummenvergleich. Wenn potenzielle Ransomware-Angriffe in einer neuen Backup-Datei oder in einer vorherigen Backup-Datei erkannt werden, wird diese neuere Backup-Datei durch die neueste Backup-Datei ersetzt, die keine Anzeichen eines Ransomware-Angriffs zeigt. (Die Datei, die als Ransomware-Angriff gekennzeichnet ist, wird 1 Tag nach ihrer Ersetzung gelöscht.)
Ransomware-Scans finden an den folgenden Punkten des Backup- und Wiederherstellungsprozesses statt:
-
Wenn eine Sicherungsdatei erstellt wird.
Sie können Ransomware-Scans optional aktivieren oder deaktivieren.
Der Scan wird nicht auf der Sicherungsdatei durchgeführt, wenn er zum ersten Mal in den Cloud-Speicher geschrieben wird, sondern wenn die nächste Sicherungsdatei geschrieben wird. Wenn Sie beispielsweise einen wöchentlichen Backup-Zeitplan für Dienstag eingestellt haben, wird am Dienstag den 14. Ein Backup erstellt. Dann am Dienstag der 21. Eine weitere Sicherung erstellt wird. Der Ransomware-Scan wird derzeit auf der Backup-Datei vom 14. Juni durchgeführt.
-
Wenn Sie versuchen, Daten aus einer Sicherungsdatei wiederherzustellen
Sie können einen Scan ausführen, bevor Sie Daten aus einer Sicherungsdatei wiederherstellen, oder diesen Scan überspringen.
-
Manuell
Sie können jederzeit einen Ransomware-Sicherheitsscan bei Bedarf ausführen und den Zustand einer spezifischen Backup-Datei überprüfen. Die Folgen sind besonders dann hilfreich, wenn Ransomware-Probleme auf einem bestimmten Volume gehabt haben und man überprüfen möchte, dass die Backups für das Volume nicht beeinträchtigt sind.
DataLock- und Ransomware-Schutzoptionen
Jede Sicherungsrichtlinie enthält einen Abschnitt für DataLock und Ransomware-Schutz, den Sie auf Ihre Backup-Dateien anwenden können.
Scans nach Ransomware-Schutz sind standardmäßig aktiviert. Die Standardeinstellung für die Scanfrequenz beträgt 7 Tage. Der Scan wird nur auf der letzten Snapshot Kopie durchgeführt. Sie können Ransomware-Scans auf der letzten Snapshot Kopie mit der Option auf der Seite „Erweiterte Einstellungen“ aktivieren oder deaktivieren. Wenn Sie diese Option aktivieren, werden standardmäßig alle 7 Tage gescannt.
Sie können diesen Zeitplan auf Tage oder Wochen ändern oder deaktivieren, um Kosten zu sparen.
Für jede Backup-Richtlinie stehen folgende Einstellungen zur Verfügung:
-
Keine (Standard)
DataLock-Schutz und Ransomware-Schutz sind deaktiviert.
-
* Governance*
DataLock ist auf Governance-Modus eingestellt, bei dem Benutzer mit
s3:BypassGovernanceRetention
Berechtigung ("Siehe unten") Können Sicherungsdateien während der Aufbewahrungsfrist überschreiben oder löschen. Ransomware-Schutz ist aktiviert. -
* Compliance*
DataLock ist auf den Compliance-Modus eingestellt, in dem während der Aufbewahrungszeit keine Benutzer Sicherungsdateien überschreiben oder löschen können. Ransomware-Schutz ist aktiviert.
-
Keine (Standard)
DataLock-Schutz und Ransomware-Schutz sind deaktiviert.
-
Entsperrt
Backup-Dateien werden während der Aufbewahrungsfrist geschützt. Die Aufbewahrungsfrist kann erhöht oder verkürzt werden. Wurde normalerweise 24 Stunden für das Testen des Systems verwendet. Ransomware-Schutz ist aktiviert.
-
Gesperrt
Backup-Dateien werden während der Aufbewahrungsfrist geschützt. Der Aufbewahrungszeitraum kann erhöht werden, kann aber nicht verkürzt werden. Erfüllt vollständige Einhaltung gesetzlicher Vorschriften Ransomware-Schutz ist aktiviert.
-
Keine (Standard)
DataLock-Schutz und Ransomware-Schutz sind deaktiviert.
-
* Compliance*
DataLock ist auf den Compliance-Modus eingestellt, in dem während der Aufbewahrungszeit keine Benutzer Sicherungsdateien überschreiben oder löschen können. Ransomware-Schutz ist aktiviert.
Unterstützte Arbeitsumgebungen und Objekt-Storage-Anbieter
Bei Verwendung von Objekt-Storage bei den folgenden Public- und Private-Cloud-Providern können Sie die DataLock- und Ransomware-Sicherung auf ONTAP Volumes aus den folgenden Arbeitsumgebungen aktivieren. Weitere Cloud-Provider werden in zukünftigen Versionen hinzugefügt.
Quelle Arbeitsumgebung | Ziel der Backup-Datei ifdef::aws[] |
---|---|
Cloud Volumes ONTAP in AWS |
Amazon S3 endif::aws[] ifdef::Azure[] |
Cloud Volumes ONTAP in Azure |
Azure Blob endif::Azure[] ifdef::gcp[] endif::gcp[] |
Lokales ONTAP System |
Ifdef::aws[] Amazon S3 endif::aws[] ifdef::azurAzure[] Azure Blob endif::Azure[] ifdef::gcp[] endif::gcp[] NetApp StorageGRID |
Anforderungen
-
Für AWS:
-
Ihre Cluster müssen ONTAP 9.11.1 oder höher ausführen
-
Der Connector kann in der Cloud oder vor Ort bereitgestellt werden
-
Die folgenden S3-Berechtigungen müssen Teil der IAM-Rolle sein, die dem Connector Berechtigungen erteilt. Sie befinden sich im Abschnitt „BackupS3Policy“ für die Ressource „arn:aws:s3::netapp-Backup-*“:
AWS S3 Berechtigungen
-
s3:GetObjectVersionTagging
-
s3:GetBucketObjectLockConfiguration
-
s3:GetObjectVersionAkl
-
s3:PuttObjectTagging
-
s3:DeleteObject
-
s3:DeleteObjectTagging
-
s3:GetObjectRetention
-
s3:DeleteObjectVersionTagging
-
s3:PutObject
-
s3:GetObject
-
s3:PutBucketObjectLockConfiguration
-
s3:GetLifecycleKonfiguration
-
s3:GetBucketTagging
-
s3:DeleteObjectVersion
-
s3:ListBucketVersions
-
s3:ListBucket
-
s3:PutBucketTagging
-
s3:GetObjectTagging
-
s3:PutBucketVersionierung
-
s3:PuttObjectVersionTagging
-
s3:GetBucketVersionierung
-
s3:GetBucketAcl
-
s3:BypassGovernanceAufbewahrung
-
s3:PutObjectRetention
-
s3:GetBucketLocation
-
s3:GetObjectVersion
-
-
-
Für Azure:
-
Ihre Cluster müssen ONTAP 9.12.1 oder höher ausführen
-
Der Connector kann in der Cloud oder vor Ort bereitgestellt werden
-
-
Für StorageGRID:
-
Ihre Cluster müssen ONTAP 9.11.1 oder höher ausführen
-
Auf Ihren StorageGRID Systemen muss 11.6.0.3 oder höher ausgeführt werden
-
Der Connector muss auf Ihrem Gelände bereitgestellt werden (er kann auf einer Website mit oder ohne Internetzugang installiert werden).
-
Die folgenden S3-Berechtigungen müssen Teil der IAM-Rolle sein, die dem Connector Berechtigungen bereitstellt:
StorageGRID S3 Berechtigungen
-
s3:GetObjectVersionTagging
-
s3:GetBucketObjectLockConfiguration
-
s3:GetObjectVersionAkl
-
s3:PuttObjectTagging
-
s3:DeleteObject
-
s3:DeleteObjectTagging
-
s3:GetObjectRetention
-
s3:DeleteObjectVersionTagging
-
s3:PutObject
-
s3:GetObject
-
s3:PutBucketObjectLockConfiguration
-
s3:GetLifecycleKonfiguration
-
s3:GetBucketTagging
-
s3:DeleteObjectVersion
-
s3:ListBucketVersions
-
s3:ListBucket
-
s3:PutBucketTagging
-
s3:GetObjectTagging
-
s3:PutBucketVersionierung
-
s3:PuttObjectVersionTagging
-
s3:GetBucketVersionierung
-
s3:GetBucketAcl
-
s3:PutObjectRetention
-
s3:GetBucketLocation
-
s3:GetObjectVersion
-
-
Einschränkungen
-
Die Data Lock- und Ransomware-Schutzfunktion ist nicht verfügbar, wenn Sie in der Backup-Richtlinie Archivspeicher konfiguriert haben.
-
Die bei der Aktivierung von BlueXP ausgewählte DataLock Option für Backup und Recovery muss für alle Backup-Richtlinien für dieses Cluster verwendet werden.
-
Sie können nicht mehrere DataLock-Modi auf einem einzelnen Cluster verwenden.
-
Wenn Sie DataLock aktivieren, werden alle Volume-Backups gesperrt. Es können keine gesperrten und nicht gesperrten Volume-Backups für einen einzelnen Cluster kombiniert werden.
-
DataLock- und Ransomware-Schutz ist für neue Volume-Backups mit einer Backup-Richtlinie mit aktiviertem DataLock und Ransomware-Schutz anwendbar. Sie können diese Funktionen später über die Option Erweiterte Einstellungen aktivieren oder deaktivieren.
-
FlexGroup Volumes können DataLock- und Ransomware-Schutz nur verwenden, wenn ONTAP 9.13.1 oder höher verwendet wird.
Tipps zur Senkung von DataLock-Kosten
Sie können die Ransomware-Scan-Funktion aktivieren oder deaktivieren, während die DataLock-Funktion aktiv bleibt. Um zusätzliche Kosten zu vermeiden, können Sie geplante Ransomware-Scans deaktivieren. Auf diese Weise können Sie Ihre Sicherheitseinstellungen anpassen und Kosten durch den Cloud-Provider vermeiden.
Selbst wenn geplante Ransomware-Scans deaktiviert sind, können Sie bei Bedarf trotzdem On-Demand-Scans durchführen.
Sie können verschiedene Schutzstufen wählen:
-
DataLock ohne Ransomware-Scans: Bietet Schutz für Backup-Daten im Zielspeicher, die sich entweder im Governance- oder im Compliance-Modus befinden können.
-
Governance-Modus: Bietet Administratoren Flexibilität, geschützte Daten zu überschreiben oder zu löschen.
-
Compliance-Modus: Bietet vollständige Unlöschbarkeit bis zum Ablauf der Aufbewahrungsfrist. So lassen sich auch die strengsten Datensicherheitsanforderungen hochgradig regulierter Umgebungen erfüllen. Die Daten können während ihres Lebenszyklus nicht überschrieben oder geändert werden. Dies bietet den bestmöglichen Schutz für Ihre Backup-Kopien.
Microsoft Azure verwendet stattdessen einen Sperrmodus und einen Entsperrmodus.
-
-
DataLock mit Ransomware-Scans: Bietet eine zusätzliche Sicherheitsschicht für Ihre Daten. Diese Funktion hilft bei der Erkennung von Versuchen, Sicherungskopien zu ändern. Bei einem Versuch wird diskret eine neue Version der Daten erstellt. Die Scanfrequenz kann in 1, 2, 3, 4, 5 geändert werden. 6 oder 7 Tage. Werden Scans alle 7 Tage eingestellt, sinken die Kosten deutlich.
Weitere Tipps zur Senkung der DataLock-Kosten finden Sie unter https://community.netapp.com/t5/Tech-ONTAP-Blogs/Understanding-BlueXP-Backup-and-Recovery-DataLock-and-Ransomware-Feature-TCO/ba-p/453475
Darüber hinaus können Sie Schätzungen für die mit DataLock verbundenen Kosten erhalten, indem Sie die "BlueXP Rechner für Backup und Recovery für Gesamtbetriebskosten (TCO)".
Storage-Optionen für die Archivierung
Beim Einsatz von AWS, Azure oder Google Cloud Storage können Sie ältere Backup-Dateien nach einer bestimmten Anzahl von Tagen auf eine kostengünstigere Archiv-Storage-Klasse oder auf eine Zugriffs-Tier verschieben. Sie haben auch die Möglichkeit, die Backup-Dateien sofort in den Archiv-Storage zu senden, ohne dafür in standardmäßigen Cloud-Storage geschrieben zu werden. Geben Sie einfach 0 als "Archiv nach Tagen" ein, um Ihre Sicherungsdatei direkt an den Archivspeicher zu senden. Dies kann insbesondere für Benutzer nützlich sein, die selten auf Daten aus Cloud-Backups zugreifen müssen oder Benutzer, die eine Tape-Backup-Lösung ersetzen.
Auf Daten auf Archiv-Tiers kann bei Bedarf nicht sofort zugegriffen werden und die Abrufkosten sind höher. Daher müssen Sie berücksichtigen, wie häufig Daten aus Backup-Dateien wiederhergestellt werden müssen, bevor Sie sich für die Archivierung Ihrer Backup-Dateien entscheiden.
|
Jede Backup-Richtlinie enthält einen Abschnitt zur „ Archivierungsrichtlinie“, den Sie auf Ihre Backup-Dateien anwenden können.
-
In AWS beginnen Backups in der Klasse „ Standard Storage“ und wechseln nach 30 Tagen in die Storage-Klasse „ Standard-infrequent Access“.
Wenn Ihr Cluster ONTAP 9.10.1 oder höher verwendet, können Sie ältere Backups entweder auf S3 Glacier oder S3 Glacier Deep Archive Storage Tiering. "Weitere Informationen zu AWS Archiv-Storage".
-
Wenn Sie bei der Aktivierung von BlueXP Backup und Recovery in Ihrer ersten Backup-Richtlinie keinen Archiv-Tier auswählen, wird S3 Glacier Ihre einzige Archivierungsoption für zukünftige Richtlinien sein.
-
Wenn Sie in Ihrer ersten Backup-Richtlinie S3 Glacier auswählen, können Sie für zukünftige Backup-Richtlinien für diesen Cluster in die S3 Glacier Deep Archive-Ebene wechseln.
-
Wenn Sie in Ihrer ersten Backup-Richtlinie S3 Glacier Deep Archive auswählen, ist diese Tier die einzige Archiv-Tier, die für zukünftige Backup-Richtlinien für diesen Cluster verfügbar ist.
-
-
In Azure werden Backups im Zusammenhang mit der Cool Zugriffsebene durchgeführt.
Wenn Ihr Cluster ONTAP 9.10.1 oder höher verwendet, können Sie ältere Backups auf Azure Archive Storage Tiering. "Erfahren Sie mehr über Azure Archiv-Storage".
-
In GCP werden Backups der Klasse Standard Storage zugeordnet.
Wenn Ihr On-Premises-Cluster ONTAP 9.12.1 oder höher verwendet, haben Sie nach einer bestimmten Anzahl von Tagen die Möglichkeit, ältere Backups in der Backup- und Recovery-UI von BlueXP auf den Archiv Storage zu verschieben, um weitere Kosten zu optimieren. "Erfahren Sie mehr über Google Archivspeicher".
-
In StorageGRID sind Backups der Klasse Standard Storage zugeordnet.
Wenn Ihr On-Premises-Cluster ONTAP 9.12.1 oder höher verwendet und Ihr StorageGRID System mindestens 11.4 nutzt, können Sie ältere Backup-Dateien im Public-Cloud-Archiv-Storage archivieren.
+ ** bei AWS, können Sie Backups in AWS S3 Glacier oder S3 Glacier Deep Archive Storage Tiering. "Weitere Informationen zu AWS Archiv-Storage".
+ ** bei Azure, können Sie ältere Backups in Azure Archive Storage Tiering. "Erfahren Sie mehr über Azure Archiv-Storage".