Der als Service bereitgestellte Storage beseitigt das zusätzliche Risiko, dass Administratoren diesem Zugriff nicht mehr an Anwender außerhalb des Cloud-Datacenters ausgesetzt sind. Stattdessen gilt die einzige Konfiguration für die Datenzugriffsebene durch Kunden. Jeder Mandant managt seine eigenen Volumes, und ein Mandant kann andere Cloud Volumes Service Instanzen nicht erreichen. Der Service wird durch Automatisierung gemanagt, wobei in einer sehr kleinen Liste vertrauenswürdiger Administratoren über die im Abschnitt behandelten Prozesse Zugriff auf die Systeme gewährt wird "„Service-Betrieb“."

Der Servicetyp CVS-Performance bietet regionenübergreifende Replizierung als Option zur Sicherung von Daten für eine andere Region bei Ausfall. In diesen Fällen kann ein Failover der Cloud Volumes Service in die nicht betroffene Region durchgeführt werden, um den Datenzugriff zu gewährleisten.

Updates helfen, gefährdete Systeme zu schützen. Jedes Update bietet Verbesserungen der Sicherheit und Fehlerbehebungen zur Minimierung von Angriffsflächen. Software-Updates werden aus zentralen Repositorys heruntergeladen und validiert, bevor die Updates überprüft werden, ob offizielle Bilder verwendet werden und dass die Upgrades nicht durch fehlerhafte Akteure beeinträchtigt werden.

Mit Cloud Volumes Service werden Updates von den Cloud-Provider-Teams durchgeführt, die Risiken für Administratoren abschaffen, indem Experten versiert in Konfiguration und Upgrades sind, die den Prozess automatisiert und vollständig getestet haben. Upgrades werden unterbrechungsfrei durchgeführt und Cloud Volumes Service behält die neuesten Updates bei, um optimale Ergebnisse zu erzielen.

Informationen über das Administrator-Team, das diese Service-Upgrades durchführt, finden Sie im Abschnitt "„Service-Betrieb“."

Sie müssen nicht nur Daten im Ruhezustand sichern, sondern auch bei laufender Übertragung zwischen der Cloud Volumes Service Instanz und einem Client oder Replizierungsziel sichern können. Cloud Volumes Service bietet Verschlüsselung von Daten auf der Übertragungsstrecke über NAS-Protokolle. Dabei kommen Verschlüsselungsmethoden wie SMB-Verschlüsselung mit Kerberos, das Signing/Sealing von Paketen und NFS Kerberos 5p für die End-to-End-Verschlüsselung von Datentransfers zum Einsatz.

Die Replizierung von Cloud Volumes Service Volumes verwendet TLS 1.2, die von AES-GCM-Verschlüsselungsmethoden profitiert.

Die unsicheres in-Flight-Protokolle wie Telnet, NDMP usw. sind standardmäßig deaktiviert. DNS ist jedoch nicht durch Cloud Volumes Service verschlüsselt (keine DNS-sec-Unterstützung) und sollte, wenn möglich, mit externer Netzwerkverschlüsselung verschlüsselt werden. Siehe Abschnitt "„Datenverschlüsselung während der Übertragung“" Finden Sie weitere Informationen über die Sicherung Ihrer aktiven Daten.

Informationen zur Verschlüsselung von NAS-Protokollen finden Sie im Abschnitt "„NAS-Protokolle“."

Cloud Volumes Service bietet native unveränderliche, schreibgeschützte Snapshot Kopien, die in einem anpassbaren Zeitplan erstellt werden, um schnelle zeitpunktgenaue Recovery beim Löschen von Daten zu ermöglichen oder wenn ein gesamtes Volume durch einen Ransomware-Angriff zu Opfer gebracht wurde. Snapshots können zu vorherigen guten Snapshot Kopien schnell wiederhergestellt werden und minimieren Datenverluste aufgrund der Aufbewahrungsdauer Ihrer Snapshot-Zeitpläne und RTO/RPO. Der Performance-Effekt mit der Snapshot Technologie ist zu vernachlässigen.

Da Snapshot Kopien in Cloud Volumes Service schreibgeschützt sind, können diese nicht durch Ransomware infiziert werden, wenn die Ransomware nicht in den Datensatz „unbemerkt“ und Snapshot-Kopien der von Ransomware infizierten Daten erstellt wurde. Deshalb ist es notwendig, auf der Basis von Datenanomalien auch Ransomware-Erkennung in Betracht zu ziehen. Cloud Volumes Service bietet derzeit keine native Erkennung, Sie können jedoch externe Überwachungssoftware verwenden.

Cloud Volumes Service bietet standardmäßige NAS-Client-Backup-Funktionen (z. B. Backups über NFS oder SMB).

Die Volume-Replizierung liefert eine exakte Kopie des Quell-Volumes für schnelles Failover im Falle eines Ausfalls, einschließlich Ransomware-Ereignissen.

CVS-Performance ermöglicht die sichere Replizierung von Volumes über Google Cloud Regionen hinweg zur Datensicherung und Archivierung von Anwendungsfällen. Dazu wird mit TLS1.2 AES 256 GCM-Verschlüsselung auf einem von NetApp gesteuerten Backend-Service-Netzwerk über spezifische Schnittstellen verwendet, die für die Replizierung im Google-Netzwerk verwendet werden. Ein primäres Volume (Quell-Volume) enthält die aktiven Produktionsdaten und repliziert auf ein sekundäres Volume (Ziel-Volume), um ein exaktes Replikat des primären Datensatzes zu erstellen.

Bei der anfänglichen Replizierung werden alle Blöcke übertragen, jedoch werden nur die geänderten Blöcke in einem primären Volume übertragen. Wird beispielsweise eine Datenbank mit 1 TB auf einem primären Volume auf das sekundäre Volume repliziert, so werden bei der ersten Replizierung 1 TB Speicherplatz übertragen. Wenn diese Datenbank einige hundert Zeilen (hypothetisch einige MB) hat, die zwischen der Initialisierung und dem nächsten Update wechseln, werden nur die Blöcke mit den geänderten Zeilen auf das sekundäre (wenige MB) repliziert. So wird sichergestellt, dass die Übertragungszeiten niedrig bleiben und die Replizierungskosten sinken.

Alle Berechtigungen für Dateien und Ordner werden auf das sekundäre Volume repliziert, aber die Zugriffsberechtigungen für die Freigabe (wie Exportrichtlinien und Regeln oder SMB-Freigaben und ACLs für die Freigabe) müssen separat gehandhabt werden. Bei einem Site-Failover sollte der Zielstandort dieselben Namensdienste und Active Directory-Domänenverbindungen nutzen, um eine konsistente Handhabung von Benutzer- und Gruppenidentitäten und -Berechtigungen zu ermöglichen. Sie können ein sekundäres Volume im Notfall als Failover-Ziel verwenden, indem Sie die Replizierungsbeziehung unterbrechen, die das sekundäre Volume in Lese- und Schreibvorgänge konvertiert.

Volume-Replikate sind schreibgeschützt, d. h. eine unveränderliche Kopie der Daten an einem externen Standort zur schnellen Recovery von Daten in Instanzen, in denen ein Virus infizierte Daten hat oder Ransomware den primären Datensatz verschlüsselt hat. Nur-Lese-Daten werden nicht verschlüsselt, aber, wenn das primäre Volume betroffen ist und Replikation auftritt, die infizierten Blöcke replizieren auch. Zur Wiederherstellung können Sie ältere, nicht betroffene Snapshot Kopien verwenden. Je nachdem, wie schnell ein Angriff erkannt wird, fallen jedoch unter Umständen die versprochenen RTO/RPO-Vorgaben aus.

Darüber hinaus können Sie mit dem Management der regionsübergreifenden Replizierung (CRR) in Google Cloud böswillige Administratoraktionen, wie z. B. Volume-Löschungen, Snapshot-Löschungen oder Änderungen bei Snapshot-Planungen, verhindern. Dazu werden benutzerdefinierte Rollen erstellt, die Volume-Administratoren trennen, die Quell-Volumes löschen, aber keine Spiegelungen unterbrechen und daher keine Ziel-Volumes von CRR-Administratoren löschen können, die keine Volume-Vorgänge ausführen können. Siehe "Überlegungen Zur Sicherheit" In der Cloud Volumes Service-Dokumentation finden Sie Berechtigungen, die von den einzelnen Administratorgruppen zulässig sind.

Cloud Volumes Service bietet zwar eine hohe Datenaufbewahrung, externe Ereignisse können jedoch zu Datenverlusten führen. Falls es zu Sicherheitsereignisse wie Viren oder Ransomware kommt, werden Backups und Restores so wichtig, dass der Datenzugriff rechtzeitig wiederaufgenommen werden kann. Ein Administrator kann ein Cloud Volumes Service Volume versehentlich löschen. Oder Benutzer möchten einfach noch viele Monate Backup-Versionen ihrer Daten aufbewahren und den zusätzlichen Speicherplatz für Snapshot-Kopien innerhalb des Volumes zu einer Kostenanforderung machen. Snapshot-Kopien sollten die bevorzugte Methode sein, Backup-Versionen für die letzten Wochen zu behalten, um verlorene Daten von ihnen wiederherzustellen, sie befinden sich jedoch im Volume und gehen verloren, wenn das Volume entfernt wird.

Aus allen diesen Gründen bietet NetApp Cloud Volumes Service Backup-Services über an "Cloud Volumes Service-Backup".

Cloud Volumes Service Backup erzeugt eine Kopie des Volumes auf Google Cloud Storage (GCS). Es sichert nur die tatsächlichen Daten, die innerhalb des Volume gespeichert sind, nicht den freien Speicherplatz. Es funktioniert wie immer inkrementell, d. h., es überträgt den Volume-Inhalt einmal und von dort auf wird nur geänderte Daten gesichert. Im Vergleich zu klassischen Backup-Konzepten mit mehreren vollständigen Backups spart das Unternehmen viel Storage und senkt dadurch die Kosten. Da der monatliche Preis von Backup-Speicherplatz im Vergleich zu einem Volume niedriger ist, ist es der ideale Ort, um Backup-Versionen länger zu halten.

Benutzer können ein Cloud Volumes Service Backup verwenden, um jede Backup-Version auf demselben oder einem anderen Volume innerhalb derselben Region wiederherzustellen. Wenn das Quell-Volume gelöscht wird, werden die Backup-Daten aufbewahrt und müssen unabhängig gemanagt werden (beispielsweise gelöscht).

Cloud Volumes Service Backup ist optional in Cloud Volumes Service integriert. Benutzer legen fest, welche Volumes gesichert werden sollen, indem Cloud Volumes Service Backup für einzelne Volumes aktiviert wird. Siehe "Cloud Volumes Service Backup-Dokumentation" Weitere Informationen zu Backups finden Sie im "Anzahl der maximal unterstützten Backup-Versionen", Planung, und "Preisgestaltung".

Alle Backup-Daten eines Projekts werden innerhalb eines GCS-Buckets gespeichert, der durch den Service gemanagt wird und für den Benutzer nicht sichtbar ist. Jedes Projekt verwendet einen anderen Bucket. Derzeit befinden sich die Buckets im gleichen Bereich wie die Cloud Volumes Service Volumes, es werden jedoch noch weitere Optionen erläutert. In der Dokumentation finden Sie den aktuellen Status.

Der Datentransport von einem Cloud Volumes Service-Bucket zu GCS nutzt Service-interne Google-Netzwerke mit HTTPS und TLS1.2. Die Daten werden im Ruhezustand mit von Google gemanagten Schlüsseln verschlüsselt.

Um Cloud Volumes Service-Backups zu managen (Backups erstellen, löschen und wiederherstellen), muss ein Benutzer über die verfügen "Rollen/netappCloudVolumes.admin" Rolle: