Microsoft Azure Backup – sicheres Auslagern von Backupdaten
Andreas Groß, Teamleiter IT Infrastructure & Security
Zu einem guten Backup- und Restorekonzept gehört die Auslagerung von Sicherungen an mindestens einen zweiten Standort. Unsere Projekt-Erfahrungen zeigen, dass in vielen Unternehmen die Sicherungen zwar z.B. auf ein zweites System am Standort gespiegelt oder Wochen-/Monatsbänder im Tresor gelagert werden, eine Auslagerung an einen weiter entfernten Standort findet jedoch nicht statt.
Mit ‚Microsoft Azure Backup‘ besteht die Möglichkeit, OnPremise-Daten in der Microsoft-Cloud zu sichern. Die Daten werden dabei redundant auf die europäischen Rechenzentren verteilt. Durch die Einführung von Microsoft Azure Backup besteht in vielen Fällen keine Notwendigkeit mehr, die Daten innerhalb des Unternehmens auf Band zu sichern sowie regelmäßig an einem externen Standort zu lagern.
Die Sicherung eines DomänenControllers sollte dabei nicht per Snapshot, sondern traditionell mit dem in Windows Server 2012 R2 als Feature enthaltenem Programm „Windows Serversicherung“ gesichert werden. Die Sicherung erfolgt täglich zu einer festgelegten Zeit auf einer Verzeichnisfreigabe oder einen Datenträger.
Der Microsoft Azure Backup Server kann auf einem virtuellen Server mit Windows Server 2012 R2 als zentrale Backup-/Restorekomponente für alle Systeme in der Domäne installiert werden. Dieser Server muss zwingend Mitglied in der Domäne sein. Die Anbindung an Azure erfolgt mit einem Einbindungszertifikat, dass ihm Azure-Portal erzeugt werden muss. Es ist zu beachten, dass dieses Einbindungszertifikat nur 48 Stunden gültig ist. Ein neues Zertifikat kann problemlos über die Azure Admin Konsole neu erstellt werden, wenn sich die Inbetriebnahme des Servers verzögert.
Während der Einrichtung des Microsoft Azure Backup Servers wird eine 36-stellige Passphrase erzeugt. Diese Passphrase darf nicht verloren gehen und muss an einem sicheren Ort aufbewahrt werden. Ohne diese Passphrase besteht bei einer Neuinstallation des Microsoft Azure Backup Servers oder beim Zugriff auf die Daten über den MARS-Agenten (Microsoft Azure Recovery Service) keine Möglichkeit mehr die Daten zu sichern! Sowohl die Datenübertragung, als auch die Ablage in Microsoft Azure erfolgt verschlüsselt. Um diese Daten zu entschlüsseln, wird eine 16-stellige Phassphrase benötigt. Auch diese darf nicht verloren gehen! Bei Verlust dieser Schlüssel ist es nicht mehr möglich, auf die Daten zuzugreifen.
Die Sicherung der Daten mit dem Microsoft Azure Backup Server erfolgt mittels eines DPM (DataProtectorManager)-Agenten. Dieser DPM-Agent sollte remote über den Microsoft Azure Backup Server installiert werden, damit der Agent richtig eingebunden wird. Die Sicherung der im Backup-Job definierten Daten erfolgt im ersten Schritt auf ein separates Volumen am Microsoft Backup Server (Backup to Disk). Im weiteren Schritt werden die Sicherungsdaten verschlüsselt und nach Microsoft Azure repliziert (Backup to Cloud).
Bei Verwendung des Microsoft Azure Backup Server kann ein Restore der Daten vom lokalen Backup to Disk oder aus Azure Backup to Cloud erfolgen.
Bei einem Verlust des Betriebsstandortes durch u.a. Feuer, Wasserschäden oder bei einem Defekt des Microsoft Azure Backup Servers kann ein Restore der Daten auch über einen lokal installierten MARS-Agenten mit Zugriffsmöglichkeit auf Microsoft Azure erfolgen. Ein Restore ist hier nur aus Azure Backup to Cloud möglich.
FAZIT
Das Vorhalten einer kompletten Backup-Infrastruktur mit den zugehörigen Administrations- und Betriebskosten ist für mittelständische Unternehmen ein signifikanter Kostenfaktor. Der Einsatz von Microsoft Azure Backup senkt die Kosten und trägt gleichzeitig zur Erhöhung Betriebssicherheit bei.
Zum aktuellen Zeitpunkt ist es noch nicht möglich Backup und Restore aus der Cloud für OnPremise-Systeme zu steuern. Dies soll laut Microsoft zukünftig eingebaut werden.
Teil 3: Onlinezugangsgesetz (OZG) – Welche Vorteile bietet ein Onlineangebot für meine öffentliche Einrichtung?