Salesforce.com, Google Apps, Office 365 – Cloudbasierte SaaS-Lösungen halten derzeit auf breiter Front Einzug in Unternehmen. Doch was bedeutet der Einsatz solcher Lösungen für Datenschutz und Datensicherheit und dabei insbesondere für die die Backup-Strategie des Unternehmens? Können SaaS-Daten so einfach per Backup gesichert werden? Und wer ist dafür verantwortlich? Das amerikanische Marktforschungsinstitut Enterprise Strategy Group (ESG) hat im Auftrag der Firma Asigra die Frage untersucht, nach welchen Kriterien Unternehmen eine Backup-Lösung auswählen sollten, die sowohl Cloud-basierte, als auch lokal im Unternehmen betriebene Anwendungen abdeckt und dazu ein Whitepaper erstellt, dessen wichtigsten Erkenntnisse im Folgenden kurz zusammengefasst werden.
Erkenntnis 1: Ein erfolgreicher Weg in die Cloud erfordert eine gute Partnerschaft
Eine der wichtigsten Entwicklungen auf dem Weg zu einer höheren IT-Produktivität ist laut Whitepaper eine bessere Zusammenarbeit – insbesondere zwischen den Verantwortlichen für die jeweiligen Unternehmensanwendungen (die die Anforderungen ihrer eigenen Anwendungen in Bezug auf Datenschutz und Disaster Recovery kennen) und den Datenschutzspezialisten (die die generellen Unternehmensvorgaben und Anforderungen in Bezug auf Datenschutz, Datensicherheit und Verfügbarkeit kennen).
Erkenntnis 2: Realitäten, Vorgaben und ein großes Problem
Wie die ESG im Whitepaper ausführt, führt die immer engere Zusammenarbeit zu einer immer intensiveren Diskussion zwischen traditionellen Backup-Administratoren und ihren Pendants auf Seiten der Datenbankadministratoren, Admins, File-/Storage Managern und neu, eben auch SaaS-Admins, in die die folgenden Themen einfließen sollten:
Drei Realitäten zur SaaS-Adaption, die Backup-Administratoren verstehen müssen
- Realität 1: Unternehmensdaten müssen geschützt werden, unabhängig davon, ob sie On-Site im Unternehmen, auf einem Laptop, oder in der Cloud liegen. Es handelt sich dabei um Daten, von denen der Unternehmenserfolg abhängt. Schutz und Sicherheit dieser Daten müssen deshalb auf jeden Fall garantiert werden.
- Realität 2: Fast keine traditionelle Legacy-Backup-Lösung ist in der Lage, ein Backup SaaS-basierter Daten zu erstellen. Diese für den traditionellen Rechenzentrumseinsatz konzipierten Lösungen waren spät überhaupt erst in der Lage, virtuelle Maschinen zu schützen. Dasselbe gilt nun auch für SaaS-Daten. Sie müssen sich also schnellstens darum kümmern und überprüfen, wie „modern“ ihre derzeitige Backup-Lösung ist.
- Realität 3: Der beste Ort, um Cloud-Daten zu schützen, ist eine andere Cloud, denn jegliche Art von Sekundärdaten wird verhältnismäßig nutzlos sein, es sei denn, diese werden in der Cloud wiederhergestellt. Darüber hinaus verfügen sowohl der SaaS-Anbieter als auch der Backup-as-a-Service (BaaS) Anbieter wahrscheinlich über eine viel bessere Bandbreite für Backups und Restores als Sie selbst.
SaaS-Admins sollten sich mit den folgenden drei Realitäten auseinandersetzen, wenn sie ihren Unternehmen dabei helfen, die volle Agilität moderner SaaS-Plattformen auszuschöpfen
- SaaS-Realität 1: Sie können fast sicher sein, dass Backup nicht im Angebot Ihrer SaaS-Lösung enthalten ist. SaaS-Anbieter konzentrieren sich praktisch nur um Verfügbarkeit und lassen alles andere außen vor. Alle im Einsatz befindlichen Schutzmechanismen sind ausschließlich dazu gedacht, sicherzustellen, dass der Provider seine SLA-Vorgaben erfüllt. Und diese Mechanismen schützen Sie eben nicht vor Administratorenfehlern oder falschen/gelöschten Daten, die ordentlich in das System eingegeben wurden. Einige der Anbieter berechnen dann sogar übertriebene Gebühren für eine gerade einmal rudimentäre Ad-hoc Recovery-Funktion (Die Preise für die One-Time Recovery von Salesforce.com beginnen beispielsweise bei 10.000 US-Dollar und werden ohne Service Level Agreement angeboten). Am besten, Sie rufen gleich einmal Ihren SaaS-Provider an und überprüfen diese Aussage.
- SaaS-Realität 2: Lesen Sie sich Realität 1 nochmals durch und stellen Sie sich dann vor, dass Salesforce.com, Google Apps und Office 365 alle in die „Sie müssen sich selbst schützen“-Kategorie fallen. Punkt!
- SaaS-Realität 3: Der Backup-Experte Ihrer IT-Abteilung arbeitet wahrscheinlich bereits mit seinen Kollegen zusammen, die für On-Premise-Datenbanken, Virtualisierungshosts und/oder Speicher-Plattformen verantwortlich sind. Auch diese Administratoren wünschen wie Sie ein gewisses Maß an Kontrolle und Einblick, wenn es darum geht, das Wiederherstellen der entsprechenden Plattform sicherzustellen. Und der Backup-Verantwortliche muss auf der anderen Seite garantieren, dass ALLE Unternehmensdaten gesichert sind. Arbeiten Sie also mit ihm zusammen.
Zusammenfassend führen die sechs genannten Realitäten laut ESG zu zwei Vorgaben und einem großen Problem.
- Erste Vorgabe: SaaS-Administrator und Backup-Administrator MÜSSEN zusammenarbeiten
- Zweite Vorgabe: Unternehmensdaten müssen geschützt werden, unabhängig davon, wo sie sich befinden – dies gilt auch für SaaS-Daten
- Das große Problem besteht darin, dass die meisten gängigen Datensicherungslösungen nicht in der Lage sind, SaaS-Daten zu sichern. Dies bedeutet, dass wenn Sie sich mit Ihrer IT-Umgebung über die traditionellen Rechenzentrumsserver hinaus in die Cloud ausdehnen, Ihnen Ihre Backup-Lösung höchstwahrscheinlich nicht wird folgen können.
Erkenntnis 3: Worauf sollten Sie also beim Thema Schutz von SaaS-Daten achten?
Mit dem oben genannten Problem im Hinterkopf formuliert die ESG im Whitepaper einige Fragen, die Unternehmen bei der Evaluierung von Datensicherungssoftware-Angeboten stellen sollten:
- Kann Ihre bestehende Backup-Lösung überhaupt SaaS-Daten sichern? Dies scheint eine einfache Ja-oder-Nein Frage zu sein. Die Antwort wird die Auswahlliste allerdings etwas zusammenschrumpfen lassen. Denn SaaS-Anbieter bieten nicht nur keine Backup oder Recovery Services, die meisten haben nicht einmal APIs veröffentlicht, die es Backup-Lösungen Dritter ermöglichen, auf die Daten zuzugreifen bzw. sie abzurufen. Nur sehr wenige der Anbieter von Backup-Software sind überhaupt in der Lage, auf diese Daten zuzugreifen. Der Rest, und vielleicht gehört ja auch Ihre Lösung dazu, kann einfach keine SaaS-Daten sichern.
- Wer ist für das Backup/Restore verantwortlich? Wie bereits erwähnt, muss es eine aktive Partnerschaft zwischen der Person geben, die den SaaS-Service verwaltet, und der Person, die die Datenschutzvorgaben des Unternehmens kennt. Das Verhältnis der Verantwortlichkeiten liegt vielleicht nicht bei 50:50, dennoch müssen beide Seiten involviert sein, um sicherzustellen, dass die Daten gesichert und in einer Art und Weise geschützt sind, das alle auf die Anwenderproduktivität bezogenen SLAs eingehalten werden und die Daten jederzeit wiederhergestellt werden können (aus denselben Gründen, aus denen auch On-Site-Backups erstellt werden).
- Wie lange sollten Sie die Daten aufbewahren? Diese Frage sollten der SaaS- und der Backup-Admin gemeinsam klären. Stellen Sie sicher, dass auch die SaaS-Backup-Lösung Daten über die Dauer typischer Rechenzentrumsaufbewahrungszeiten – diese können zwischen 90 Tagen und zehn Jahren liegen – archiviert.
- Welche Benutzeroberfläche wird eingesetzt, um die SaaS-Daten zu sichern? Eine gute Faustregel lautet: „Your pane(s) of glass will affect your pain(s) in protection”. Auf gut Deutsch: Warum noch eine Benutzeroberfläche für das Monitoring/Backup-Management hinzufügen? Nischen-IT-Plattformen benötigen manchmal Nischen-Schutzmechanismen. Eine umfassende Backup-Lösung, die auch Nischen (wie SaaS derzeit noch eine ist) abdecken kann, bietet dagegen deutliche operative und finanzielle Vorteile bei Anschaffung und Betrieb. Was nützt Sie eine traditionelle Backup-Lösung, wenn sie SaaS-Daten nicht sichern kann. Sie sollten sich also überlegen, ob Sie nicht eine umfassendere Datensicherheitsstrategie verfolgen, die auch alle Ihre modernen Anwendungen und Daten umfasst.
- Wo werden Ihre Daten gespeichert? In Zeiten geopolitischer Grenzen, Spähaktionen von Regierungen und Geheimdiensten, branchenspezifischen Vorgaben und Hackerangriffen ist das Wissen, wo Ihre Daten gerade „in der Cloud“ liegen, wichtiger denn je. Darüber hinaus sollten Sie dies auch selbst entscheiden können. Und falls auf Ihre Daten dann wirklich zugegriffen würde, je nachdem wo sie sich gerade befinden, wären die Daten dann lesbar?
- Sind Ihre Daten auch wirklich sicher? Datensicherheit gehört noch immer zu den häufigsten Vorbehalten beim Einsatz Cloud-basierter Anwendungen. Bei einer ESG-Umfrage unter IT-Verantwortlichen, die bereits Cloud Services im Einsatz haben, war verbesserte Datensicherheit allerdings der am häufigsten genannte Vorteil. Die Datensicherheit sollte also mit dem Einsatz von Cloud-Lösungen steigen. Wenn Sie nämlich von einem Rechenzentrumstool auf ein anderes umsteigen, gibt es viele weniger sichere Zugriffsmethoden. Wenn Sie aber auf eine Cloud-Plattform umsteigen, werden diese Schwachstellen erst einmal beseitigt. Professionelle Cloud Backup-Lösungen verfügen häufig über weitaus bessere Sicherheitsfunktionen wie zum Beispiel „at rest“-Verschlüsselung der On-Premise-Kopien der Rechenzentrumsdaten, „in flight“-Verschlüsselung bei der Übertragung via Internet und (natürlich) Verschlüsselung innerhalb des Cloud-Repositorys.
- Sind Ihre Daten da, wenn Sie sie benötigen? Da Sie ja nicht einfach in das Rechenzentrum des SaaS-Anbieters gehen können, um nachzuschauen, wie sieht es also mit dem Vertrauen auf die Zuverlässigkeit seines Systems aus? Können Sie darauf vertrauen, dass es den Anbieter auch in fünf Jahren noch geben wird? Die in dieser Checkliste genannten Punkte betrafen bisher alle Kollegen in Ihrem Unternehmen und Funktionen möglicher Produkte/Services, die Sie einsetzen. Am Ende des Tages müssen Sie aber einen „Partner“ wählen, der über die technische Expertise verfügt um zu verstehen, was notwendig ist, um das Wiederherstellen der Daten zu vereinfachen, die organisatorische Zusage, Ihnen bei jeglichen Schwierigkeiten, die auftreten, zu helfen und die Stärke, Ihnen zu versichern, dass Ihre Daten stets da sind, wenn Sie sie benötigen.
Bei der Auswahl gerade eines Cloud-basierten Backup-Service ist die Qualität des Partners (und seiner Lösung) entscheidend.
Asigra: Eine Option, die Sie berücksichtigen sollten
Asigra gehört seit mehr als zwanzig Jahren zu den „BaaS“-Pionieren, noch bevor der Begriff „Cloud“ überhaupt bekannt und das „as-a-Service“-Modell überhaupt verstanden wurde.
Das Unternehmen gehört zu den wenigen Anbietern, die SaaS-Daten sichern können – und bietet die erste „einheitliche“ Lösung für das Backup von SaaS-Plattformen wie Salesforce.com, Google Apps oder Office 365, On-Site-Backup, Backup virtueller Server und Endpoint Protection.
Die Frage der Datensicherheit und Verfügbarkeit wurde durch mehrere Überprüfungen der Lösung durch das ESG-Lab mit Schwerpunkt auf seine Sicherheitsfunktionen wie zum Beispiel die NIST FIPS 140-2 Zertifizierung bestätigt.
Das komplette Whitepaper „Getting to the Bigger Truth“ steht im englischen Original auf der PROGTECH-Webseite zur Verfügung.
BAYERN BACKUP = Asigra + Cloud Service Made in Germany
Die oben erwähnte Backup-as-a-Service Lösung bildet die Grundlage für den Cloud Backup-Service BAYERN BACKUP der Firma PROGTECH. Darüber hinaus „lebt“ das Unternehmen seit mehr als 20 Jahren die von der Enterprise Strategy Group als „entscheidend“ bezeichnete enge und vertrauensvolle Partnerschaft mit seinen Kunden. Auch die BAYERN BACKUP-Kunden wissen zu jeder Zeit, wo ihre Daten sind, erhalten bei Problemen umgehend Unterstützung und darüber hinaus einen Backup-Service, der optimal auf ihre unternehmensspezifischen Anforderungen ausgerichtet ist.
Weitere Informationen zu BAYERN BACKUP stehen im Lösungskatalog zur Verfügung.