Verfasst von Uwe W. Schäfer am 7. August 2025

Die Angriffe durch Ransomware Attacken, werden immer häufiger und durch die Angriffe von Staaten auch immer ausgefeilter und perfider. Umso wichtiger ist ein sicheres und geschütztes Backup nach dem Motto Zero-Trust (Traue niemandem).
Die DataDomain kennt zwei Modi für den Schutz der Daten auf dem Backup-Storage-System, "RetenionLock Governance" und "RetentionLock Compliance". Ersterer schützt die Daten auf der DataDomain vor einem versehentlichen Löschen durch die Backup Appliance und "normale" Benutzer, kann aber vom DataDomain Administrator relativ leicht deaktiviert werden. Den Modus könnte man demnach auch als den Tust-the-DataDomain-Administrator Modus bezeichnen. Der zweite Modus (RetentionLock Compliance) kann hingegen als Trust-Nobody oder "Zero Trust" Modus bezeichnet werden. Ist ein DataDomain Mtree mit diesem Modus versehen, kann NIEMAND Dateien vor ihrem Ablaufdatum von diesem Bereich entfernen.

 

Umstellung des DataDomain RetentionLock Modus 

Die DataDomain System bieten seit Jahren die Möglichkeit das Sicherungsziel für die Backup-Applikationen mit dem Einsatz des RetentionLock Modus Compliance "Bombensicher" zu machen. Aber meine Erfahrung aus den Diskussionen bei den NetWorker Workshops oder der Ist-Aufnahme bei meinen HealthChecks zeigen, dass dieser Modus bis dato so gut wie NIE verwendet wird.

Eine Umstellung des RetentionLock Modus eines bereits verwendeten Backup-Mtrees ist leider nicht möglich! Man kann folglich nur einen neuen Mtree anlegen diesen in den Compliance Modus versetzen und hierauf neue Sicherungsgeräte anlegen. Dieses Anlegen auf einem neuen Mtree, der zudem nicht dem Namen des NetWorker-Servers entspricht ist im Backup-Programm NetWorker aber gar nicht vorgesehen. Hier wird ein DataDomain Sicherungsdevice immer auf dem Mtree mit dem Namen des NetWorker-Servers angelegt.

Ein weiterer Wunsch des Backup-Administartors ist die bereits gesicherten Daten auf dem bestehenden Mtree zu behalten und lediglich die in den gesicherten Daten mit ihren aktuellen Aufbewahrungszeiten in den Compliance Modus zu überführen.

Aktivieren Sie die Zero-Trust Funktionalität der DataDomain!

Ich habe vor kurzem ein Ablaufverfahren entworfen in dem die Umstellung eines bestehenden Mtrees im RetentionLock Modus Governance in den Compliance Modus umgesetzt werden kann. Hierbei bleiben alle Attribute der bestehenden SaveSets erhalten und dass Ergebnis ist ein Mtree mit dem Namen des Backup-Servers im Compliance Mode. Dieses Verfahren wurde bereits erfolgreich bei einem großen Kunden mit 2 DataDomain 9910 Systemen durchgeführt. Die einzige Problematik hierbei ist:

• es Bedraf einer guten und genauen Planung des Vorgehens
• man benötigt eine "längere" Down-Time des oder der Backup-Server

Sollten auch Sie mit dem Gedanken spielen, ihre Backup-Umgebung sicherer zu gestalten dürfen Sie sich gerne bei "mir" melden.