Dateisysteme unter Linux & Co.

Bei der Wahl des „richtigen“ Dateisystems unter Linux & Co. ist nicht immer trivial. Zum Betrieb eines kleinen LAMP oder LEMP Server tut es das Standard Linux Dateisystem ext4. Benötigt man zum Beispiel aber eine Plattform um Datenaustausch mit großen Datenmengen und vielen Dateien, die dann auch noch flexibel sein soll, ist die Planung des Dateisystems schon mal kniffelig. Das gleiche gilt beim Einsatz von Datenbanken, da auch hier die Wahl des Dateisystems einen großen Einfluss auf die Leistung haben kann. Aus diesem Grund möchte der Artikel ein paar Denkanstöße geben und Überlegungen aufzeigen die man anstellen sollte um das passende Dateisystem auszuwählen. Aber im Endeffekt muss das jeder für sich entsprechend seinen Anforderungen selbst entscheiden – mit etwas Unterstützung des Beitrags.

Wirft man einen Blick auf die aktuellen lokalen Dateisysteme, so sind es effektiv nur ein paar wenige die eine Rolle spielen. Als erstes ist hier ext4 zu nennen, gefolgt von XFS und den neuen Vertretern btrfs und ZFS. Nicht zu vergessen der Logical Volume Manager LVM2. Dieser ist zwar kein Dateisystem gehört aber trotzdem mit dazu. Grundsätzlich unterscheiden sich ext4 und XFS zu btrfs und ZFS darin, dass die beiden ersten keinen Volumen Mananger oder auch RAID direkt im Dateisystem implementiert haben und auch keine Prüfsummen zur Verfügung stellen. Wird bei ext4 oder XFS ein Volume Manager benötigt, kommt LVM2 zum Einsatz.

Schaut man sich die Distributionen RHEL/CentOS, SLES oder Ubuntu an zeigt deutliche Unterschiede. RHEL/CentOS setzen auf XFS mit der Option LVM, SLES auf btrfs für das root-Dateisystem und XFS für die Partitionen der Daten. Bei Ubuntu ist es ext4 mit optionalen LVM und ab 16.04 sogar ZFS, wobei XFS natürlich auch zur Verfügung steh. Diese Unterschiede zeigen sich auch in der Weiterentwicklung bzw. in dem Engagement von Redhat, SuSE und Canonical. Redhat treibt die Weiterentwicklung von XFS voran und hat sich passend zur Strategie Permabit einverleibt. Die Unterstützung von btrfs wird hingegen eingestellt und in RHEL 8 dürfte diese entsprechend den Ankündigungen nicht mehr vorhanden sein. SuSE hingegen treibt seinerseits die Entwicklung von btrfs massiv voran. Canonical sieht die Zukunft eher bei ZFS, btrfs ist hier ebenfalls kein großes Thema. Grundsätzlich unterstützen alle aber den supporteten Einsatz ext4 und XFS.

Das Dateisystem ext4 ist seit 2008 der Nachfolger von ext3 und wird direkt vom Kernel unterstützt. XFS ist ursprünglich von SGI aus dem Jahr 1994 und gilt als eines der stabilsten Dateisysteme überhaupt. Es wurde von Beginn an als 64-bit Dateisystem entwickelt und kam auf SGI eigener Hardware und eigenen IRIX zum Einsatz. Seit 2001 steht es für Linux zur Verfügung und wird entsprechend gepflegt und vor allem auch erweitert. In 2016 kam CoW mit dem Kernel 4.13 hinzu. ZFS ist aus dem Jahr 2006 und stand mit Solaris 10 für den Einsatz bereit. btrfs kam als Beta im Jahr 2007 und in 2014 als Stabil in den Linux Kernel. ZFS ist das Vorbild von btrfs und gehören beide durch den Aufkauf von Sun Microsystems zu Oracle. In der Entwicklung hängt btrfs noch deutlich hinter ZFS zurück. Produktiv lassen sich bei btrfs nur die RAID Level 0 und 1 bzw. diese in Kombination nutzen. RAID 5 und 6 sind noch nicht für den produktiven Einsatz geeignet. Diese Einschränkungen gibt es bei ZFS hingegen nicht. Hier stehen auch entsprechend höhere RAID Level zur Verfügung.

Das besondere an diesen beiden Dateisystemen sind u.a. die Prüfsummen die zum Beispiel auch vor BitRot Fehlern schützen und natürlich der integrierte Volume Manager und Snapshots. ZFS im Besonderen und btrfs in Teilen sind primär dafür gemacht direkt auf der Hardware und vor allem ohne RAID Controller betrieben zu werden. Damit ZFS seine Stärken voll ausspielen kann ist es wichtig, dass es die Platten direkt im Zugriff hat. Ein Einsatz in virtuellen Umgebungen ist nur bei entsprechenden Rahmenbedingungen sinnvoll. Wer derzeit im großen Stil große Datenmengen ablegen bzw. bereitstellen muss und den Einsatz von ZFS plant sollte dies eher mit FreeBSD statt Linux und direkt auf der Hardware in Betracht ziehen. Die Entwicklung unter Linux ist noch nicht auf dem Niveau von FreeBSD. Dies setzt aber auch entsprechendes KnowHow voraus. Ist dieses KnowHow nicht vorhanden ist eine fertige kommerzielle Lösung wohl doch die bessere Wahl. Ein Blick Richtung Quantum (Xcellis, DXi, …) oder auch iX Systems hilft eine Menge Ärger zu vermeiden. Dazu kommt noch, wie man große Datenmengen passend sichern kann. Die Ablage der Daten ist ja nur das halbe Problem.

Da die allermeisten Systeme in virtuellen Umgebungen betrieben werden dürften, bleibt unter bestimmten Bedingungen btrfs und vor allem ext4 und XFS als mögliche Kandidaten übrig. Hier stellt sich dann die Frage, wenn ext4 und oder XFS zum Einsatz kommen mit oder ohne LVM? Wie schon eingangs erwähnt ist ext4 für eher kleine virtuelle Instanzen eine gute Wahl. Beim Einsatz von Datenbanken ist die Nutzung von LVM oft nicht supportet. Der Einsatz von LVM bietet sich natürlich für die Ablage von Daten an, da sich Dank des LVM die Speicherkapazitäten sehr einfach im laufenden Betreib erweitern lassen. XFS mit LVM bieten sich u.a. auch für Repositories an. Wer ein stabiles und auch zuverlässiges Dateisystem sucht, ist bei XFS gut aufgehoben. In virtuellen Umgebungen sollte man noch bedenken, dass ja nach Backup-Lösung ein File-Level-Restore (FLR) nicht möglich ist, wenn LVM, btrfs oder ZFS genutzt wird. Daher ist dieses auch bei der Planung zu berücksichtigen. Auf der anderen Seite bietet die Möglichkeit auf Dateisystemebene Snapshots zu erstellen auch viele Vorteile. Hier kommt es wieder genau auf die Anforderungen an, wie man sich entscheiden sollte.

Bei einer kleinen WordPress Applikation ist ext4 ohne LVM eine gute Wahl. Benötigt man eine NextCloud oder einen Seafile Server so ist zumindest für die Datenablage XFS mit LVM in Betracht zu ziehen. Wer also Stabilität und Zuverlässigkeit sucht und eher etwas konservativer herangehen möchte, was auch wirklich Sinn macht, denn hier geht es um wichtige Daten, sollte Richtung XFS und optional LVM tendieren. Der Einsatz von btrfs ist bei entsprechenden Rahmenbedingungen auch möglich, jedoch sollte man daran denken, dass Redhat dieses Dateisystem in Zukunft nicht mehr unterstützen möchte. Stand jetzt scheidet ZFS unter Linux noch aus, wobei es großes Potential für die Zukunft hat.

Ein kleiner Exkurs am Ende des Beitrags will noch etwas die verteilten Dateisysteme beleuchten. Es soll aber auch nicht über die Leuchtkraft eins Teelichts hinausgehen und sich auch nur auf GlusterFS und Ceph beschränken. Gerade im Bereich HPC, also die Systeme die in den top500.org Listen auftauchen, nutzen andere Distribiuted Filesysteme, die aber auch für (fast) alle anderen Fälle mehr als nur uninteressant sein dürften.

Mit GlusterFS und Ceph lassen sich verteilte Dateisysteme auf Basis normaler x86_64 Server mit internen Platten aufbauen. Beide setzen auf lokale Dateisysteme auf und bieten dann auch, wie zum Beispiel ZFS, entsprechenden Prüfsummen an um sich vor Fehler wie sie durch BitRot entstehen zu schützen. Der primäre Unterschied ist, dass GlusterFS ein Dateisystem mit etwas Object Store Eigenschaften ist und Ceph ein Object Store mit Dateisystem und iSCSI Option darstellt. Ceph ist jünger und gilt als etwas weniger ausgereift gegenüber GlusterFS. Aber beide bieten GeoReplication an, was sie wiederum für weltweit verteilte Systeme interessant macht. Hinter beiden steht u.a. Redhat und beide bilden die Basis der kommerziellen Redhat Storage Server mit GlusterFS und Ceph. SuSE bietet ebenfalls einen Storage mit Ceph an. Da GlusterFS als auch Ceph OpenSource Systeme sind, kann man solche Storage Lösungen auch selbst aufbauen. Aber auch hier gilt, dass das KnowHow dafür vorhanden sein muss. Kommerzielle Systeme gibt es in diesem Bereich auch. Wirft man einen Blick in den Gartner so findet man hier EMC, IBM oder Scality. Redhat gehört zu den Visionären. Aber auch Quantum mit dem Produkt Lattus gehört mit zu den großen Herstellern von Object Storages.

Die Speicherung großer Mengen an unstrukturierten Daten stellt IT Abteilungen immer mehr vor Probleme. Der klassische Weg einen Fileserver zu nutzen, wenn dieser auch heute als virtuelle Instanz betrieben wird, ist bei stetig wachsenden Volumina keine Lösung die wirklich skaliert. Daher entscheiden sich immer mehr in Richtung Enterprise NAS Lösung die im Frontend Shares bereitstellen und im Backend Storage Lösungen sind die massiv mit Disk und oder Tape skalieren und gleichzeitig eine geeignete Sicherung darstellen.

 

Bei Fragen stehen wir wie gewohnt zur Verfügung.

Prozessor Bug – Spectre und Meltdown

Aus aktuellem Anlass haben wir diese (unvollständige) Information zur Sicherheitslücke in den Prozessoren zusammengestellt. Wir werden den Artikel mit entsprechenden Updates versehen, sowie diese zur Verfügung stehen.

[Stand 23. Januar 2o18]

Wichtig!!! Intel zieht Microcode Update zurück: Heise Artikel

Grundsätzliches zur Sicherheitslücke: SpectreMeltdown und Project Zero

Betroffene Prozessoren:

Intel® Core™ i3 processor (45nm and 32nm)
Intel® Core™ i5 processor (45nm and 32nm)
Intel® Core™ i7 processor (45nm and 32nm)
Intel® Core™ M processor family (45nm and 32nm)
2nd generation Intel® Core™ processors
3rd generation Intel® Core™ processors
4th generation Intel® Core™ processors
5th generation Intel® Core™ processors
6th generation Intel® Core™ processors
7th generation Intel® Core™ processors
8th generation Intel® Core™ processors
Intel® Core™ X-series Processor Family for Intel® X99 platforms
Intel® Core™ X-series Processor Family for Intel® X299 platforms
Intel® Xeon® processor 3400 series
Intel® Xeon® processor 3600 series
Intel® Xeon® processor 5500 series
Intel® Xeon® processor 5600 series
Intel® Xeon® processor 6500 series
Intel® Xeon® processor 7500 series
Intel® Xeon® Processor E3 Family
Intel® Xeon® Processor E3 v2 Family
Intel® Xeon® Processor E3 v3 Family
Intel® Xeon® Processor E3 v4 Family
Intel® Xeon® Processor E3 v5 Family
Intel® Xeon® Processor E3 v6 Family
Intel® Xeon® Processor E5 Family
Intel® Xeon® Processor E5 v2 Family
Intel® Xeon® Processor E5 v3 Family
Intel® Xeon® Processor E5 v4 Family
Intel® Xeon® Processor E7 Family
Intel® Xeon® Processor E7 v2 Family
Intel® Xeon® Processor E7 v3 Family
Intel® Xeon® Processor E7 v4 Family
Intel® Xeon® Processor Scalable Family
Intel® Xeon Phi™ Processor 3200, 5200, 7200 Series
Intel® Atom™ Processor C Series
Intel® Atom™ Processor E Series
Intel® Atom™ Processor A Series
Intel® Atom™ Processor x3 Series
Intel® Atom™ Processor Z Series
Intel® Celeron® Processor J Series
Intel® Celeron® Processor N Series
Intel® Pentium® Processor J Series
Intel® Pentium® Processor N Series

AMD

ARM

Wichtiger Hinweis des BSI – Es wird dringend zu Updates geraten.

RedHat und VMware stellen wie auch andere schon Updates bereit. Microsoft stellt vorab einen Patch für Windows 10 bereit. Hier ist aber darauf zu achten, dass dieser mit bestimmten Versionen von AV Software zu Problemen führt. Es gibt hier dazu entsprechend Hinweise. Trendmicro hat einen KB Artikel online gestellt. Ubuntu stellt folgende Information bereit und will am 9. Januar die Updates für seine Systeme veröffentlichen.

Aktuelle Informationen zu Fortinet Produkten sind hier zu finden. Stand jetzt wird das Risiko als eher gering eingeschätzt.

Für die Browser Chrome und Firefox stehen ebenfalls aktuelle Versionen bereit, die ganz normal über die Online-Updates bezogen werden können. Microsoft hat ebenfalls aktuelle Versionen von Edge und IE bereitgestellt. Der „große“ Patch bei Chrome soll am 23. Januar kommen. Die aktuellen Updates bzw. Patches mildern aber nur die Schwachstelle ab, sie ist damit nicht behoben. Aber ein Anfang und besser als ohne diesen ersten Schutz.
Das Update für Safari kommt noch, hier die Information von Apple zur Sicherheitslücke.

Da es so gut wie alle gängigen CPU Architekturen betrifft, sind auch alle Systeme unabhängig vom Betriebssystem die auf diesen Prozessoren basieren betroffen. Aktualisieren Sie so schnell wie möglich alle Systeme mit den von der Herstellern zu Verfügung gestellten Patches und Update. Denken Sie dabei auch an NAS Systeme, RaspberryPi’s & Co usw.

Offen ist auch noch die Frage in wie weit Netzwerkkomponenten verwundbar sind, die je nach Architektur auch betroffen sein müssen.

Die Patches der Systeme haben teilweise großen Einfluss auf der Leistung. Die Angeben die verschiedenen Veröffentlichungen schwanken sehr und sind auch stark unterschiedlich wie das System genutzt wird. Redhat hat dazu ein Dokument online gestellt, bei dem im Lab verschiedene Messungen durchgeführt wurden.

Ausblick auf 2018

Auch dieses Jahr darf der IT Ausblick auf das neue Jahr natürlich nicht fehlen. In der Hoffnung, dass der Blick in die Glaskugel wie sonst auch immer ungetrübt war, hier nun der Ausblick auf das vor uns liegende neue IT Jahr 2018.

Ein Jahr nach dem letzten Ausblick Artikel hier im Blog zeigt sich, dass sich der Trend fortsetzt, dass eigene Rechenzentrum oder zumindest Teile davon nicht mehr am eigenen lokalen Standort, sondern in einem externen Rechenzentrum zu betreiben. Insbesondere auch die verschiedenen Cloud Kombinationen, von der private über die hybrid bis hin zur public Cloud werden immer mehr Einzug in die Unternehmen halten. Getrieben wird dieser Trend auch von den neuen Anforderungen wie IoT, mobiles Arbeiten und der Vernetzung zwischen Office IT und Produktionsumgebungen. Damit befindet man sich schon direkt in einer der größten Herausforderungen in der kommenden Zeit. Dem Kampf gegen die zunehmende Komplexität der IT Infrastrukturen. Sehr viele der aktuell betriebenen IT Infrastrukturen habe einen Grad an Komplexität erreicht, den selbst viele IT Abteilungen nicht mehr in Gänze überblicken. Die Eigendynamik innerhalb der Infrastrukturen oder auch der jeweiligen Silos ist so hoch, dass selbst vermeintlich kleine Eingriffe oft große Folgen haben. Dies wird eine der primären Aufgaben im kommenden Jahr sein, wieder klare Strukturen zu entwickeln, sich auf das Wesentliche zu konzentrieren und so der Komplexität entgegen zu wirken. Einer der dadurch entstehenden Synergieeffekte ist die Erhöhung der Cyber Security, die sowieso jedes Jahr aufs Neue eine der Primäraufgaben ist. Je klarer die Strukturen sind, desto einfacher wird es Fehler zu finden oder Anomalien zu erkennen. Zu solchen klaren Strukturen tragen, so paradox es auch klingen mag, Technologien wie Hyper Converged Infrastructure, Software Defined Datacenter, Software Defined Storage, Software Defined Network und auch Network Function Virtualization bei. Dies in Kombination mit modernen Anwendungen wird vieles wesentlich einfacher machen und vor allem wieder einfache Strukturen ausbilden, die sich leichter überblicken und verstehen lassen. Die Anzahl der verschiedenen Hardwarekomponenten geht zurück, da vieles in Software abgebildet wird und somit gewinnt das Rechenzentrum wieder an klaren Strukturen, welche in den letzten Jahren immer mehr verloren gingen.

Das Thema Container respektive Docker wird auch in 2018 zu den Kernthemen gehören. Gerade die modernen Applikationen die “Cloud-Ready” sein müssen, passen hervorragend zu dieser Technologie. Themen wie ScaleOut Modelle, Container (Docker) und Hyper Converged finden immer mehr Wege in die Unternehmen. Dabei ist es aber sehr wichtig zu erkennen, dass Container und VM’s zwei grundsätzlich verschiedene Dinge sind, die aber trotzdem hervorragend miteinander harmonieren. Für viele ist eine Kombination aus beiden wohl das beste Paket für den Betrieb. Bei den meisten mittelständischen Unternehmen dürfte daher die Wahl darauf fallen, VM’s als Container Hosts zu verwenden. Zu den üblichen Kandidaten zählen hier Ubuntu und CentOS. Wer auf VMware virtualisiert, der sollte sich PhotonOS genauer ansehen. Auch lohnt ein Blick in Richtung RancherOS, die einen völlig anderen Ansatz gewählt haben. Die Integration von PhotonOS in das vCenter und die Storage- und Netzwerk-Layer des OS bringen gerade unter VMware einige Vorteile mit sich. All diejenigen, die sich noch nicht mit Container beschäftigt haben, sollten es sich für dieses Jahr auf die ToDo Liste schreiben. Der Einsatz von Container wird zunehmend eine immer größere Rolle spielen. Die Vorteile liegen hier sowohl bei den Entwicklern als auch bei den Anwendern. Daher ist die Wahrscheinlichkeit sehr hoch, dass diese Technologie in Zukunft sehr bestimmend sein wird. Die Installation von Docker unter Linux ist denkbar einfach, zudem bringen viele NAS Systeme entsprechende Eigenschaften mit, Container nativ zu betreiben. Diese breite Basis sorgt dann auf der anderen Seite dafür, dass immer mehr Anwendungen als Docker Container angeboten werden. Durch diese Dynamik wird sich der Trend hin zu dieser Technologie weiter beschleunigen. Microsoft ist auch einer der Akteure in Sachen Container. Zu den ersten Applikationen die es als Container Version gibt, gehört der IIS und der MSSQL Server. Container, Docker & Co. sind somit eines der Themen in diesem Jahr.

Das andere ganz große Thema ist Cyber Security im Jahr 2018. Wenn das vergangene Jahr eines gezeigt hat, ist es wie anfällig die IT Infrastrukturen sind. Aus den gewonnenen Erkenntnissen muss die Prävention zum Schutz der Infrastrukturen deutlich erhöht werden. Die Schlagwörter sind horizontale und vertikale Segmentierung der Netze, Kontrolle des Ost/West Traffics im Rechenzentrum durch Mikrosegmentierung und die Inhaltskontrolle der Datenströme mit InterSegment Firewalls und IPS. Wichtig ist auch die Einführung einer SIEM Lösung. Zum Thema Sicherheit gehört auch der Bereich Storage und hier im speziellen die Speicherung von unstrukturierten Daten und vor allem das Thema Backup ist dieses Jahr von existentieller Bedeutung. In letzter Konsequenz lassen sich nicht alle Cyber Angriffe verhindern, es besteht immer die ausreichend hohe Wahrscheinlichkeit, dass einer dieser Angriffe erfolgreich sein wird. Aber genau für diesen Fall benötigt man eine funktionierende Wiederherstellung, die dann wiederum ein entsprechendes Backup voraussetzt. Wichtig sind hier vor allem die Zeitfenster, die für einen Restore der Systeme und der Daten benötigt werden. Dazu kommt noch ausreichende Platzreserven im Storage, um die Daten aus dem Backup überhaupt wieder aufnehmen zu können. Die Themen Storage, Datenmengen, Datenstrukturen, Langzeitarchivierung, Vorhaltezeiten und das Backup selbst sind weit oben auf der Agenda in 2018. Gerade für mittelständische Unternehmen sind neue Storage- und Backup Konzepte in die Überlegungen für 2018 mit einzubeziehen. Die Volumina der Daten werden exponentiell schneller steigen als in den vergangenen Jahren. Daher braucht es einfach eine neue Sicht auf die Dinge und auch den Mut ein visionäres neuen Storage Konzept zu entwickeln und umzusetzen. Der Begriff der Vision ist hier ganz bewusst gewählt, weil man einfach sehen muss, dass die Datenmengen steigen und die Informationen darin Werte besitzen und sich damit ein Potential entfalten lässt, was es so für mittelständische Unternehmen noch nicht gegeben hat. Bis jetzt war BigData nur was für große Konzerne mit vielen Ressourcen. Da aber IoT und Industrie 4.0 immer weitere Kreise zieht, kommen vermehrt mittelständische Unternehmen zu immer wertvolleren Daten. Daher müssen in 2018 Überlegungen angestellt werden, die Wertschöpfungskette auch auf diese Daten hin auszudehnen.

Bei allen Themen die uns in 2018 erwarten gilt ganz besonders der mehr als 20 Jahre alte Apple Slogan: Think Different.

Dieses Denken ist wichtig, denn um auch in der Zukunft wettbewerbsfähig zu sein, braucht es eine IT die die kommenden und modernen Dinge nicht nur sieht, sondern auch versteht und sich als Teil der Wertschöpfungskette in einem Unternehmen sieht. Vor allem auch eine IT die die Vision hat, in welche Richtung es sich entwickeln muss damit alle erfolgreich sind. Dazu gehört aber auch die modernisierte 90’er Jahre IT endlich loszulassen und sich dem Neuen zu öffnen. Fasst man alles zusammen, was eine moderne IT sein soll, dann kann man dies mit drei Worten beschreiben: Simple, Stable, Safe.

Die Konzentration auf das Wesentliche mit klare Strukturen hilft der Komplexität entgegenzuwirken. Eine Vision haben und sich neuen Ideen nicht verschließen, hilft ebenfalls. In diesem Sinne – allen eine frohes neues Jahr!

Jahresrückblick 2017

Es ist schon wieder soweit, ein weiteres Jahr geht zu Ende und es wird somit unweigerlich Zeit für den Jahresrückblick auf 2017. Wie immer ein Blick auf Jahrestage und die mehr oder minder wichtigen Ereignisse des vergangenen Jahres.

Jetzt stellt sich wie immer zum Ende des Jahres die schwierige Frage, welches Thema aus 2017 ist es Wert in den Jahresrückblick zukommen? Dies ist immer das Schwierigste bei allen Beiträgen des Jahres hier im Blog. Das Jahr zieht so schnell vorüber, dass man gar nicht mehr weiß, was denn wirklich alles passiert ist und ganz zu schweigen davon, was in den Beitrag gehört. Daher beginnen wir erst einmal mit den Jahrestagen & Co.

Das Max-Plank-Institut wurde vor 100 Jahren gegründet und hieß damals noch Kaiser Wilhelm Institut mit nur einem Mitarbeiter – Albert Einstein, der seiner Zeit weit voraus war.

1977 erschien die erste BSD Version und ist trotz ihres stolzen Alters von 40 IT Jahren immer noch aktuell. BSD ist der Ursprung von vielen Betriebssystemen, unter andrem auch von macOS. Ebenfalls kam im Jahr 1977 der Apple II auf den Markt. Aber zu dieser Zeit hatte das Apple Betriebssystem noch rein gar nichts mit der heutigen BSD Basis zu tun, dies sollte noch zwei Jahrzehnte bis zum Wechsel dauern. Smit ist es schon 20 Jahren her, als im Jahr 1997 Steve Jobs durch den Kauf von NeXT nach Apple zurückkehrte und brachte so die BSD Basis mit zu Apple. Was Rückblickend betrachtet, den Erfolg von BSD auf dem Desktop einläutete, einem Erfolg der Linux immer verwehrt geblieben ist. Aber dies hat hausgemachte Gründe im Linux Lager selbst. Immerhin durch die Raspberry Pi’s und diverse Thin Clients ist Linux auch zu einer festen Größe jenseit des Serverbetriebs geworden.

Zehn Jahre später in 2007 kam das erste iPhone von Apple und veränderte die Welt. Mit dem iPhone begann auch der Aufstieg von Apple zu einem der wertvollsten Unternehmen der Welt. Die “Sonderausgabe” der zehn Jahre iPhone heißt daher auch iPhone X.

Im Jahr 1997 wurde der Netscape Communicator veröffentlicht. Dieser enthielt den Netscape Navigator 4.0, der damit auch schon 20 Jahre alt ist. Die dreigeteilte eMail Applikation mit Ordnern, Mails und Vorschau findet sich selbst heute noch in Outlook wieder. Aber 1997 war der Abwärtstrend von Netscape schon eingeläutet und Microsofts IE holte sich immer mehr Anteile bei den Anwendern zurück. Ein Jahr zuvor war Netscape auf dem Höhepunkt mit knapp 80% im Browsermarkt. Sieben Jahre später, in 2003 hatte der IE knapp 90% und war der eindeutige Sieger im Browserkrieg von damals. Heute führt Google’s Chrome mit knapp 60%, gefolgt vom IE mit knapp 20% und Firefox mit 11% als Spitzenreiter bei den Anwendern. Es sieht so aus, als ginge der Gesamtsieg im Browserkrieg letztendlich an Google’s Chrome, den es damals noch gar nicht gab. Der Netscape Erbe Mozilla greift aber wieder an oder ein und mit dem aktuellen Firefox Quantum (v57) die dieses Jahr erschienen ist, kann man sagen, Firefox is back.

Seit 25 Jahren gibt es SuSE Linux in Deutschland. Gegründet in Fürth von einem studentischen Gründerteam welches 1994 die erste CD und Disketten SuSE Linux 1.0 veröffentlichte. Schon damals war das Chamäleon auf dem Karton der Pappschachtel abgebildet, die dazu noch schwarz und nicht grün/weiß daherkam. Es folge der Umzug nach Nürnberg und es wurde eine Niederlassung in Oakland eröffnet. Novell kaufte in 2003 SuSE für 210 Millionen USD und es war zeitgleich der Start für die OpenSuSE Version. Seit 2011 gehört SuSE zur Attachement Group durch deren Übernahme von Novell. SuSE Linux ist auch noch nach 25 Jahren sehr erfolgreich und in Bereichen wie zum Beispiel SAP HANA unterwegs. Teile von HPE Software und Cloud Foundry basieren auf SLES. Zu den Meilensteinen gehören Dinge wie die Portierung von Linux auf AMD64-CPU’s in direkter Zusammenarbeit mit AMD oder die direkte Zusammenarbeit mit SGI zur Skalierbarkeit des Kernels für als 2048 CPU’s für den Bereich HPC.

Auch vor 25 Jahren kündigte IBM seine ersten ThinkPads an, die mittlerweile von Lenovo sind und nichts mehr mit Big Blue zu tun haben.

1982 (vor 35 Jahren) wurde Sun Microsystems gegründet und leider 2010 von Oracle, die selbst auch vor 40 Jahren gegründet worden sind, gekauft. Jetzt, sieben Jahre später ist der Dino aus der Pionierzeit des Internets so gut wie tot – hingerichtet von Oracle. Der Slogen von Sun, “We are the dot in .com” war zur Sun’s Hochzeiten nicht einfach so daher gesagt. In 2017 hat Orcale mehrere tausend Mitarbeiter der SPARC/Solaris Division entlassen. Im August warf John Fowler das Handtuch, der schon unter Sun für diesen Bereich verantwortlich war. Dies alles ist wohl sehr hausgemacht, noch vor vier Jahren stemmte sich Oracle-Chef Larry Ellison mit aller Kraft gegen die Cloud. Die Kehrtwende kam wohl etwas spät, denn Amazon, Microsoft und Google hatten sich da schon große Stücke des Kuchens gesichert. Vom HPC einmal abgesehen ist jetzt nur noch IBM mit den Systemen der zSeries eine Ausnahme des sonst in der Cloud oder bei WebScale Umgebungen so dominanten x86-64 Architektur. Besonders schade ist es um Solaris, denn die Open-Varianten werden kaum eine Chanche gegen die Linux’e haben. Dabei war Solaris in vielen Dingen immer seiner Zeit einiges voraus, zum Beispiel ZFS. Aber mit OpenZFS auf FreeBSD und auch schon bei Linux zu sehen, ist diese letzte Bastion auch dahin. Es wird wohl kein gutes Ende für Solaris geben.

Angriffe auf Computersysteme sind ja nicht neu, wie das nächste Jubiläum zeigt:

Vor 30 Jahren kam der NASA Hack des CCC an’s Licht der Öffentlichkeit.

Ebenfalls vor 30 Jahren veröffentlichte IBM die erste OS/2 Version. Ein 32bit Betriebssystem mit sehr viel Potential und welches die Welt hätte verändern können. Aber OS/2 war selbst im eigenen Haus belächelt worden, denn die Mainframe Abteilungen von IBM verkannten völlig das Potential der x86 Architektur, die heute die dominierende Plattform darstellt. Ob Google, Facebook, Amazon oder Microsoft, alle nutzen primär die x86’er Systeme. Die x86’er Dominanz bekommt aber ein paar, wenn auch ganz wenige leicht graue Flecken, denn Systeme auf ARM Basis quetschen sich in die Nischen. Intel tut es bestimmt mal ganz gut einen echten Mitbewerber im Serversegment zu bekommen, damit solche Schlampereien wie mit der ME (Management Engine) vom Markt bestraft werden. Dies ist de facto Stand jetzt nicht möglich und alle sind mehr oder weniger Intel ausgeliefert. Daher wird es mal ganz dringend Zeit für einen richtig starken Konkurrenten. Davon profitieren alle, mehr Leistung, bei weniger Stromverbrauch und gleichzeitig mehr Sicherheit in der IT.

Voyager 1 ist seit 40 Jahren unterwegs und das mit nur einer Rechenleistung von 0,73 MIPS bei einer Taktrate von 1,9 MHz und es funktioniert immer noch. Nur zum Vergleich ein Motorola 68k Prozessor aus dem Jahr 1979 hatte schon 1,0 MIPS. Ein RaspberryPi 3 hat mit seinem Prozessor auf ARMv8 (Cortex-A53) Basis schon 2441 MIPS und ein iPhone 6 bring es auf über 25.000 MIPS. Das aktuelle iPhone 8 oder X mit seinem A11 Bionic SoC der mit 4,3 Milliarden Transistoren gerade mal 500 Millionen weniger als AMD‘s Ryzen 7 aufweist, bietet mehr Leistung als ein intel Core i5 7567U. Der Fairness halber muss man sagen, dass der A11 diese Leistung gegenüber einem Notebook mit i5 nicht dauerhaft abrufen kann. Bedingt durch das kleine Gehäuse des Smartphones kann die Wärme nicht abgeführt werden. Trotzdem ist die Performance beeindruckend und Apple lässt damit die Marktbegleiter weit hinter sich. Es zeigt aber auch, dass die ARM Architektur sehr leistungsfähige Systeme hervorbringt. Sogar der top500.org Spitzenreiter bei den HPC ist ein Modell völlig ohne Intel.

Werfen nun wir ein Blick auf das vergangene Jahr. Das Jahr 2017 war auch bis jetzt das Jahr der teuersten Cyber Attacken. WannaCry und NotPetya haben Schäden in Milliardenhöhe verursacht. Trauriger Anführer der Liste dürften die Reederei Maersk und die Fedex Tochter TNT Express sein, mit jeweils ca. 300 Millionen USD Schaden. Da ist die Deutsche Bahn mit ein paar gestörten Anzeigetafeln noch sehr glimpflich weggekommen. Viel schlimmer ist aber der Ausfall beim Britischen Gesundheitswesen. Hier wurden nachweislich Menschenleben gefährdet. Wie teuer die Cyber Attacke in Form des Datendiebstahls bei Equifax wird, kann noch gar nicht abgeschätzt werden. Hacker haben über drei Monate hinweg persönliche Daten von 143 Millionen US Kunden abgegriffen. Dazu gehören nicht nur die Adressen, sondern auch die Sozialversicherungsnummer, Keditkarten usw. es geht hier um eine Größenordnung von ca. 40% der US Bevölkerung. Desweiteren hat Equifax bestätigt, dass auch auf Dokumente wegen Streitigkeiten von 182.000 Personen zugegriffen wurde. Der Hack wurde nur durch die Unfähigkeit von Equifax in Sachen Patchmanagement und Passwortsicherheit möglich, weil offensichtlich eine kritische Lücke im Apache Struts trotz Patch über Monate nicht geschlossen wurde. Offensichtlich kam auch kein IPS oder Firewallsysteme nach dem Stand der Technik zum Einsatz, denn in den normalen IPS Pattern von Fortigate wird dieser Angriff erkannt und auch unterbunden. Manchmal kann das Leben einfach sein, wenn man schon zu faul ist zu Patchen. Aber im Ernst, ein passendes Patchmanagement ist das aller wichtigsten Instrument um solche Angriffen im Vorfeld schon einen Riegel vorzuschieben. Leider ist die Sensibilität in Sachen Cyber Security noch nicht zu allen trotz der hohen Schäden vorgedrungen.

Amazon Web Services hat den Wechsel von Xen auf KVM als Hypervisor ihrer AWS Cloud bekanntgegeben. Als Grund wurde u.a. die bessere Performance genannt. Damit verliert Xen einer seiner größten Installationen. WD wechselt von Marvell Chipsets auf die die offene RISC-V Architektur bei seinen Produkten und verspricht sich mehr Performance und neue Funktionen.

Intel gönnt sich einen Skandal durch eklatante Fehler in dem Management Engine (ME). Zudem kam an’s Licht, dass es für die NSA einen Ausschalter der ME gibt, weil diese ein offensichtliches Sicherheitsrisiko darstellt. Der Hersteller System 76 hat angekündigt in Zukunft Systeme mit abgeschalteter ME auszuliefern. Im Grunde genommen ist es eine Frechheit, was sich da Intel geleistet hat, aber diese bleibt vorerst ohne Konsequenzen, da es keine wirklichen Alternativen gibt. Eine entsprechende Warnung hierzu gibt es auch vom BSI.

Nach dem US Behörden keine Produkte mehr von Kaspersky nutzen sollen, hat das britische Zentrum für Cybersicherheit (NCSC) dies nun auch herausgegeben. Britische Behörden sollen keine Produkte von Kaspersky mehr verwenden. Kaspersky mit seinem Sitz in Moskau hat die Vorwürfe mit den russischen Diensten zusammenzuarbeiten stets bestritten.

Java 9 ist erschienen, wie auch macOS High Sierra, RHEL 7.4, TrueNAS 11, vSphere 6.5 und gottseidank das Ende von Flash, um nur ein paar ganz wenige Dinge zu nennen.

Ich persönlich möchte mich bei allen Lesern des Blogs bedanken und hoffe, dass man aus den Beiträgen etwas mitnehmen konnte. Im Namen der salutec bedanken wir uns bei allen Partnern, Kunden und Distributoren für ein weiteres Jahr einer ganz besonders guten Zusammenarbeit. Aber wie immer sind es die Menschen, die etwas bewegen und vor allem zusammen auch etwas erreichen. Dafür allen ein herzliches Danke, ein paar ruhige und besinnliche Festtage, Gesundheit und ein glückliches neues Jahr.

 

In diesem Sinne, frohes Fest und guten Rutsch!

 

Mit dynamischen Routing gegen die Komplexität

Was sich auf den ersten Blick vielleicht nicht so anhört ist aber ein großer Beitrag im Kampf gegen die immer mehr um sich greifende Komplexität in den IT Umgebungen. Bei verteilten Standorten oder Routinginstanzen mit Backupverbindungen eine Lösung auf statischen Routen aufzubauen ist eine (fast) unlösbare Aufgabe. Daher ist der Einsatz von dynamischen Protokollen die einzige Option um hier gegenzusteuern.

Bei diesem Thema hört man desweilen das Argument, dass dynamischen Routing auf einer Firewall nichts zu suchen hat und es sicherheitstechnisch bedenklich sei. Dieses Argument gehört wohl doch eher zu den Mythen in der IT, wie zum Beispiel, dass man zum Versenden von Mails auch einen MX Record auf dem System zum Versenden benötigt. Das ganze Internet basiert auf dynamischen Routing. Genauer gesagt auf dem Protokoll BGP und es funktioniert mit an Sicherheit grenzender Wahrscheinlichkeit wohl zuverlässiger als wenn die Routen bei allen Routinginstanzen im Internet mit der Hand gepflegt werden müssten. Dass die ganz großen Betreiber von Datacentern nach alternativen zu BGP suchen, ist kein Geheimnis. Auch große Carrier denken über effizientere Systeme nach. Aber dies alles wird auf absehbare Zeit kein Unternehmen berühren, welches nicht im Bereich Telco, Carrier oder Google, Facebook AWS & Co. ist. Daher dürften also bei den anderen Unternehmen die aller meisten nie in die Verlegenheit kommen, die Grenzen aktueller Protokolle wie zum Beispiel BGP zu erreichen und das Protokoll dann eine Limitierung darstellt. Wie Zuverlässig die dynamischen Protokolle sind, zeigt nicht nur deren Einsatz im Internet selbst, sondern auch der Einsatz in den Unternehmen die schon seit Jahren auf dynamische Routing setzen. Auch unsere Erfahrung mit dynamischen Protokollen seit weit mehr als zehn Jahren zeigt das gleiche Bild; diese funktionieren stabil und zuverlässig.

Natürlich gab es in den ganzen Jahren der Nutzung auch einen Wandel bei den verwendeten Protokollen. Die Anfänge gehörten natürlich den Klassikern wie EIGRP. In reinen Cisco Umgebung wie wir sie damals nutzen, kam häufig das proprietäre Cisco Protokoll zum Einsatz. Als Router waren es die Modelle ab der 3600’er Serie. Wie der Name schon sagt ist das Enhanced Interior Gateway Routing Protokoll ein lokales Protokoll innerhalb einer Struktur. Die Kommunikation mit der Außenwelt erfolgt über ein Exterior Gateway Protokoll. Derzeit existiert quasi als einziges Protokoll für diesen Zweck nur noch BGP.

Als internes Protokoll nach EIGRP war über viele Jahre OSPF der erfolgreiche Nachfolger der EIGRP Lösung, da auch andere Hersteller zum Einsatz kamen die EIGRP nicht nutzen. Klassisch auch war die Aufteilung mit internen Systemen OSPF “zu sprechen” und bei extern Partnern BGP zu nutzen. Hier findet derzeit ein Wandel statt. OSPF ist immer mehr auf dem Rückzug und BGP nimmt dessen Platz ein. Die hat mehrere Gründe: Aus administrativer Sicht muss man sich nicht mehr mit mindestens zwei Protokollen beschäftigen und KnowHow aufbauen. Zudem wird durch das immer mehr Aufkommen von IPv6 auch OSPFv3 benötigt. Es bringt nicht nur die Erweiterung von IPv6, sondern auch noch ein Änderungen zu OSPFv2 mit sich. Auch mit OSPFv3 bleibt es bei zwei Protokollen auf den Routern die benötigt werden. Dies ist mit ein Grund warum OSPF zugunsten von BGP ausgetauscht wird. Mit BGP gibt es ebenfalls eine Unterscheidung zwischen externen und internen Routing, hier spricht man von iBGP und von eBGP. Dabei steht “i” für internal und “e” für external. BGP wird so zu sagen in Gruppen von autonomen Systemen organisiert, kurz AS. Das Routing innerhalb einer AS ist iBGP und das Routing mit einer externen AS eBGP. Nimmt man am internationalen Routing teil, so bekommt man eine eigene öffentliche AS, über die die eigenen öffentlichen IPv4 und IPv6 Adressen der Organisation zu erreichen sind. Dazu gehören aber noch ein paar mehr Rahmenbedingungen, auf die hier im Beitrag nicht weiter eingegangen werden soll, weil diese den Rahmen völlig sprengen würden. Es gibt neben den offiziellen AS auch private AS, die dann intern analog zu rfc-Adressen genutzt werden können. Dies ist aber auch nur für diejenigen ein Thema die am öffentlichen Routing teilnehmen, für alle anderen ist es ausreichend sich eine AS Struktur zu erarbeiten und diese dann entsprechend zu nutzen.

Warum braucht es aber dynamisches Routing im Unternehmen? Die Zeiten des klassischen Nord-Süd Traffics sind durch die zunehmende Anzahl an Servern (VM’s), Services, Microservices und vor allem Containern immer mehr vorbei. In den Datacentern findet zunehmend mehr Ost-West Traffic statt, der sich ab einer bestimmten Anzahl an Hosts nur noch sehr schwierig in Layer-2 Domains bewältigen lässt. Dazu kommt noch die Tatsache, dass in den Unternehmen auch zunehmend dezentrale Routing-Instanzen gibt und Niederlassungen mit in das Gesamtgebilde „Routing“ mit aufgenommen werden müssen.

Schon bei wenigen Niederlassungen mit einer 1:n Beziehung müssen bei allen Änderungen am Zentralstandort die Routen in den Niederlassungen gepflegt werden. Durch den Einsatz eines dynamischen Routing Protokolls entfällt diese Aufgabe und es gibt keine Fehler bei der Konfiguration der neuen Routen. Zudem lassen sich durch die Dynamik im Routing auf einfache Weise Zweitwege schaffen, die dann dynamisch bei Ausfall der primären Verbindung genutzt werden. Ist die primäre Verbindung wieder da, schwenk das Routing zurück, vor allem ohne, dass es einen Eingriff durch den Administrator gibt. Bei Rechenzentren ab einer bestimmten Größe und somit Anzahl der Hosts sind Layer-2 Domains in dem sich die Server befinden keine Option mehr. Hier beginnt das Routing schon auf dem jeweiligen Host, der mit seinem Top of Rack Switch Routen austauscht. Dieses komplett dynamische Gebilde sorgt dafür, dass die Wege im Ost-West Traffic kurz bleiben, es redundante Pfade jenseits von LAG und Spanning Tree gibt und gleichzeitig die gleiche Dynamik im Nord-Süd Traffic genutzt werden kann um auch hier mehrere (ebenfalls dynamisch) Pfade zum Rest der Welt nutzen können. Die Nutzung von dynamischen Routing beginnt schon sehr früh und bei kleinen Umgebungen. In größeren Umgebungen ist diese so zu sagen alternativlos.

Bei Fragen zum Thema stehen wir wie immer gerne zur Verfügung.

Ticketsystem Zammad

In eigener Sache: Ein Fazit der produktiven Nutzung von Zammad nach zehn Monaten zur Abwicklung von Supportanfragen und dem Ablösen von OTRS. Beide Ticketsysteme von uns in ihrer OpenSource Variante genutzt.

Nach vielen Jahren der Nutzung von OTRS als Ticketsystem bei der salutec wurde im Januar diesen Jahres Zammad (damals noch v1.0) eingeführt. Die Gründe waren in der Hauptsache die mangelnde Intuitivität der OTRS Oberfläche, die es allen bei uns ohne Erfahrung mit OTRS sehr schwer machten, damit die tägliche Arbeit zu verrichten. Daher wurde zwischen den Jahren nach einer anderen Lösung gesucht und die Wahl fiel sehr schnell auf Zammad. Das vielleicht interessante bei Zammad ist, dass es einer der OTRS Gründer und Entwickler ins Leben gerufen hat. Daher basiert Zammad auf einem großem KnowHow was Ticketsysteme angeht und da es neu ist, auch ohne die sonstigen Altlasten. Zammad ist aber eben auch eine sehr moderne Web Applikation die vollständig im Browser läuft und auf Linux mit Ruby und Postgres basiert. Als Reverse Proxy kommt bei uns Nginx statt Apache zum Einsatz. Hier zeigen sich ganz deutlich die Unterschiede zu OTRS, welches normal auf Perl, MySQL und Apache basiert. Keine Frage OTRS war und ist ein sehr gutes Ticketsystem mit einem mächtigen Funktionsumfang. Aber gerade das macht es für den Einsatz in Teams wo man im Grunde genommen nur die leicht erweiterten Basisfunktionen benötigt sehr kompliziert. Einfacher ausgedrückt könnte man sagen, OTRS beginnt erst da seine Stärken richtig ausspielen wo Zammad schon fast aufhört. Es ist zwar nicht ganz die Wahrheit, erklärt aber gut das Verhältnis der beiden zueinander. Aber Zammad darauf herunter zu brechen ein OTRS light zu sein ist aber auch grundsätzlich falsch. Zammad ist ein eigenständiges sehr modernes Ticketsystem für den universellen Einsatz. Dies zeigt nicht nur alleine die moderne Oberfläche von Zammad, die eine Konversation ähnlich einem Chat Verlauf darstellt, sondern auch die vielen kleinen “Helferlein” und vor allem die interaktive Browser App die einem die tägliche Arbeit mit dem System und somit den Kundenkontakt sehr unkompliziert gestaltet. Zu den kleinen Hilfen gehört zum Beispiel die Integration in Slack, so bekommt man auch direkt Informationen zu Tickets ohne sich in Zammad anmelden zu müssen. Wer Slack nutzt hat es sowieso offen und die Zammad Informationen lassen sich dort in einem entsprechenden Channel bündeln.

Mit unseren Anforderungen an ein Ticketsystem war der Wechsel von OTRS zu Zammad sehr einfach. Nicht nur für diejenigen, die OTRS schon über Jahre hinweg genutzt haben, sondern auch gerade für diejenigen ohne OTRS Erfahrung. Aus Sicht des Unternehmens hat sich Zammad als sehr selbsterklärend erwiesen, was nur ein Minimum an Mitarbeiterschulung bedeutete. Wenn man hier überhaupt von einer Schulung sprechen kann, es war eher ein kurzes zeigen durch einen Kollegen und die Frage war beantwortet.

Eines der besten Funktionen ist die Nutzung von Elasticsearch in Zammad zum Suchen nach Vorgängen oder die Historie des Kunden die automatisch zum aktiven Ticket angezeigt werden kann. Zudem ist der Ressourcenbedarf eher gering, vier CPU Kerne, acht GB RAM für 40 Agents inklusive Nutzung von Elasticsearch.

Unser Fazit nach zehn Monaten Zammad ist ausschließlich positiv. Dies gilt für die Benutzung und auch für die Administration und Wartung. Zammad ist ein super Werkzeug und dazu noch OpenSource und nein, dieser Artikel ist nicht von Zammad finanziert.

Noch ein paar Gedanken zum grundsätzlichen Einsatz von Ticketsystemen bzw. von Zammad im Allgemeinen. Ein solches System unterstützt ausnahmslos alle, die mit Kunden in Kontakt stehen. Es hilft Anfragen zu bündeln und in Teams zu bearbeiten. Durch die Historie des Kunden weiß man immer was in der Vergangenheit war und hat diese Informationen sofort zur Verfügung. Ob die Kommunikation ganz klassisch über eMail oder per Webformular, Chat auf der Shop- oder Webseite, per Twitter oder Facebook oder auch per Messenger Telegramm mit dem Kunden abläuft, die Zentrale ist immer Zammad. Gerade um den Überblick zu behalten ist ein solches Werkzeug besonders wichtig. Dabei ist es völlig unabhängig von der Branche, wer bei Ticketsystemen nur an den IT Support denkt, sieht das Potential solcher Systeme für das eigene Unternehmen nicht. Vom kleinen Handwerksbetrieb bis hin zum großen Unternehmen oder vom kleinen Webshop Betreiber über Einzelhandel bis hin zum Großhändler. Alle haben Kontakt zu ihren Kunden und brauchen somit eine moderne Lösung die sie in ihrer täglichen Arbeit unterstützen. Es ist auch einfach an der Zeit eMail auf der Seite des Agenten loszulassen und hier auf eine moderne Web Applikation zu setzen. Kundenanfragen werden schneller bearbeitet, die Übergabe zwischen den Mitgliedern im Team ist wesentlich einfacher, das System meldet nach vorher festgelegten Zeiten, nicht beantwortete Anfragen. So geht keine Kundenanfrage unter und alle im Team sind immer im Bilde über die Kommunikation mit dem Kunden in dem jeweiligen Vorgang.

Warum nicht die Hilfen der modernen IT nutzen um so das Potential zu entfesseln, welches ja vorhanden aber nicht genutzt wird? Ticketsysteme können jedem Unternehmen helfen, die mit Kunden aus welchen Gründen auch immer im Kontakt stehen. So gut wie alle stöhnen über die Flut an eMails die es jeden Tag zu bewältigen gilt, sind aber dann mutlos den Schritt zu einem neuen System zu wagen, was wirklich die tägliche Arbeit erleichtert.

Es muss ja nicht Zammad sein, es gibt viele Ticketsysteme, die einen guten Job machen, aber zur Bearbeitung von Kundenanfragen sind alle Systeme besser als die klassische Gruppen-eMail.

Patchmanagement ist essentiell gegen Cyber Angriffe

In der IT hält sich hartnäckig der Mythos, dass AV Software das wichtigste Element zum Schutz der IT Infrastruktur ist. Nein, dass ist genau nicht der Fall. Es ist ein Element zum Schutz einer IT Infrastruktur, aber in der Hierarchie der Schutzmaßnahmen irgendwo im Mittelfeld und das hat auch seinen Grund. Patchmanagement ist präventiv das Wichtigste!

Die großen Cyber Angriffe in der jüngsten Vergangenheit haben nur durch mangelndes Patchmanagement diese Schäden anrichten können. Dazu ist das Beispiel beliebig wählbar, ob die Reederei Maersk oder die FedEx Tochter TNT Express mit bis zu 300 Millionen USD Schaden, Reckitt Benckiser mit über 110 Millionen Euro oder der noch nicht zu beziffernde Schaden des Equifax Hacks mit der Entwendung von 143 Millionen Datensätzen von Bürgern der USA, Kanada und England. Alle diese Cyber Attacken haben einen gemeinsamen Nenner: Die zur Verfügung stehenden Patches wurden nicht installiert! Bei Equifax kam zudem noch ein schlecht geschützter Admin Zugang dazu.

Diese Tatsache ist nicht nur bei diesen Cyber Angriffen der Grund des massiven Ausmaßes oder der Garant des Erfolgs der Kriminellen, sondern auch fast aller anderen erfolgreichen Cyber Angriffe. Es werden immer die Schwachstellen in der Software genutzt um Schaden bei den Opfern anzurichten. Was einem vor allem zum Nachdenken bewegen sollte, ist auch die Tatsache, dass es in so gut wie allen Fällen schon Updates zum Schließen der Sicherheitslücke gegeben hat, welche einfach nicht installiert wurden. Wer jetzt, nach all dem Wissen, immer noch nicht die Einsicht hat, dass Patchmanagement ganz oben auf der Liste der Maßnahmen steht, der sollte auf jeden Fall seine Einstellung zum Betrieb einer IT Anlage dringend überdenken. Dies gilt auch vor allem für die vielen Webseitenbetreiber die, man muss hier schon sagen ignorant sind und sich einem Patchmanagement in weiten Teilen komplett verweigern. Auch hier sollten jedem klar sein, dass Joomla, Typo3, WordPress & Co. ständiger Pflege bedürfen.

Der Betrieb einer IT Infrastruktur verursacht Betriebskosten. Das ist einfach so, denn dies ist nichts anderes als eine Produktionsanlage oder ein Fahrzeug. Vor allem unter dem Gesichtspunkt von Industrie 4.0. Hier gehört sogar die IT Infrastruktur direkt und nicht nur indirekt zur Produktion. Es ist an der Zeit die IT als das zu sehen was sie wirklich ist: Ein unternehmenskritisches Element im Gesamtgefüge eines jeden Unternehmens. Dabei spielt es keine Rolle ob Enterprise, Mittelstand, Kleinunternehmen oder Einzelkämpfer. Alle sind primär von einer funktionierenden IT abhängig. Da helfen auch nicht so Aussagen, dass es auch ohne geht, denn nein, tut es nicht. Von diesem Gedanken sollte man sich sehr schnell lösen, denn es ist ein gefährlicher Trugschluss. Alle Industrie- und auch Schwellenländer sind hochgradig von IT abhängig. Diese Tatsache muss man akzeptieren, denn das ist die Welt in der wir alle leben. Durch diese Abhängigkeit ist die Wartung und Pflege der IT Infrastruktur sehr wichtig, weil die IT grundlegend die Basis unserer modernen Welt ist.

Wie die anderen Experten auch, empfehlen wir daher dringend ein geeignetes Patchmanagement zu etablieren und vor allen die Systeme zeitnah zu aktualisieren. Das zeitnahe Installieren von Updates ist alternativlos und wenn auch als lästige Arbeit angesehen, absolut notwendig. Dazu gehört auch das Ersetzen von Systemen für die es keine Updates bzw. Patches mehr gibt. Diese müssen ausgetauscht oder vom Netzwerk getrennt werden um nicht eine Gefahr für den ganzen Rest der Infrastruktur zu sein.

Ein weiterer Grund für ein Patchmanagement ist die Eindämmung eines Cyber Angriffs. Natürlich lässt sich nicht unter allem Umständen eine Infektion durch Schadcode verhindern, aber durch geeignete Maßnahmen seine Ausbreitung eindämmen . Es war ja schließlich nur eine Frage der Zeit, bis Ransomware und Wurm in Kombination auftreten um den Schaden für die Betroffenen zu maximieren. Hätten Maersk & Co. den schon von Microsoft im März bereitgestellten Patch installiert, wäre es mit großer Wahrscheinlichkeit nicht zu solchen massiven Schäden gekommen. Auch hätte durch eine geeignete Segmentierung und ein IPS zwischen den Segmenten den Schaden verringern können. Ein IPS Muster um den SMB1 Angriff zu erkennen steht zum Beispiel bei Fortinet schon ebenso frühzeitig zur Verfügung.

Das zeitnahe installieren von Updates und Patches ist eine der primären Präventivmaßnehmen in Sachen Cyber Security. An dieser Stelle noch mal der dringende Hinweis, die IT Systeme auf einem aktuellen Stand zu halten und auch die anderen Maßnahmen für einen sicheren Betrieb der IT nicht zu vernachlässigen. Die Sicherheit hängt von vielen Faktoren ab, daher muss das Gesamtkonzept stimmen. Zudem muss das Konzept immer wieder angepasst werden. Cyber Security ist kein statisches Gebilde, es ist ein dynamischer Prozess der nie endet – ausgenommen, Sie schalten ihre IT Infrastruktur ab.

NFV für den Mittelstand

Virtualisierung macht auch vor dem Netzwerk nicht Halt und immer mehr Komponenten aus dem Bereich der klassischen Hardware gibt es als virtuelle Systeme. Insbesondere durch vmwares NSX wandern mehr und mehr Netzwerkfunktionen in die virtuelle Welt. Dies haben auch die Hersteller von Netzwerkkomponenten erkannt und bieten ihrerseits immer mehr ihrer Produkte alternativ als VM an. Zudem ist die Verwendung von NFV ein sehr guter Ansatz um den Empfehlungen des BSI zur Segmentierung des Netzwerks und zum allgemeinen Schutz vor Cyber Attacken nachzukommen.

Die Komplexität von IT Infrastrukturen nimmt immer weiter zu und macht es für die Administratoren dadurch immer schwieriger den Überblick zu behalten. Dies hat sehr oft zur Folge, dass die potentielle Angriffsfläche für einen erfolgreiche Cyber Attacke viel größer ist, als diese sein müsste. Hier ist es notwendig die eigenen Konzepte neu zu überdenken, Systeme zu konsolidieren und gleichzeitig auch noch Kosten zu senken. Dieser Artikel richtet sich an den kleineren Mittelstand, die ebenso wie die größeren Unternehmen von den aktuelle und vor allem von den noch kommenden Cyber Attacken bedroht sind. Der Unterschied zwischen kleineren Mittelstand und den größeren Unternehmen besteht meist darin, dass ein deutlich geringeres IT Budget im Mittelstand zur Verfügung steht, als es eigentlich sein müsste um das auch dort benötigte Schutzniveau zu erreichen. Trotzdem steht die Forderung des BSI im Raum, das Netzwerk zu segmentieren und weitere Schutzmaßnahmen vor Cyber Angriffen zu ergreifen. Eine Orientierung am IT Grundschutz ist hier jedem zu empfehlen. Aber genau hier kann die Virtualisierung von Netzwerkfunktionen helfen um einen deutlich besseren Schutz zur Verfügung zu stellen. Natürlich haben virtuelle Netzwerkkomponenten einzeln betrachtet nicht die Leistung die durch spezielle Prozessoren in diesem Bereich erreicht werden und können sich mit den Leistungen diese Hardwaresysteme und ihren ASIC’s bzw. FPGA’s nicht messen. Die Frage ist aber, müssen sie dies auch in kleinen Umgebungen oder reicht die zur Verfügung stehende Leistung virtueller Netzwerkkomponenten nicht einfach aus? In sehr großen Umgebungen spielt Hardware mit ASIC Beschleunigung wiederum keine Rolle, denn hier liegt es an der schieren Masse der in Software abgebildeten Netzwerkfunktionen die zur Verfügung steht und damit ausreichend Leistung bereitstehen, die mit Hardware in der Gesamtbetrachtung von Flexibilität, Effektivität und Kosten nicht abzubilden ist. Ein Beispiel für NFV und den technischen Möglichkeiten ist Google’s Projekt Espresso.

Bei einer klassischen Client-Server Architektur bietet es sich an, dass Routing zwischen den Segmenten auf die virtuelle Infrastruktur auszulagern, insbesondere dann, wenn die Netzwerkkomponenten diese Funktion nicht erfüllen. Besonders in kleineren Umgebungen stehen Layer-3 Funktionalitäten häufig gar nicht erst zur Verfügung oder sie benötigen eine weitere kostenpflichtige Lizenz. Zudem bietet ein Core Switch mit einfacher Routing Funktion auch nicht den Schutz und die Kontrolle über die Daten zwischen den Segmenten und scheidet somit auch aus. Aber gerade diese Kontrolle ist nötig im sich gegen Schadcode wie WannaCry, NotPetya und vor allem ihren Nachfolgern zu schützen. Da die jüngsten Cyber Attacken so erfolgreich waren und beide eine Kombination aus Wurm und Ransomware eingesetzt haben, lernen natürlich die Kriminellen die hinter den Angriffen stehen, was sie in Zukunft noch besser ausnützen können. Es war eigentlich auch nur eine Frage der Zeit, diese beiden Angriffsvektoren zu kombinieren. Eine Komponente sorgt für die Verbreitung innerhalb einer Infrastruktur, so wie der Schadcode auf einem System aktiv wird und die andere Komponente richtet den Schaden an sich an. Jetzt ist es nur noch eine Frage der Zeit, bis die nächste Welle dieser hybriden Cyber Angriffen auf uns alle zukommt.

Gegen eine ungehinderte Verbreitung im eigenen Netzwerk hilft vor allem eine geeignete Segmentierung und was sehr wünschenswert ist, eine Inspektion der Daten zwischen den Segmenten um schon an dieser Stelle aktiv eingreifen zu können, wenn es zu Auffälligkeiten kommt. In kleineren Umgebungen braucht es in den aller meisten Fällen nur eine Kommunikation der Clients mit den Serversystemen. Daher bietet sich hier der Ansatz von NFV an, um mit den vorhandenen Systemen und nur durch die Erweiterung der virtuellen Umgebung einen deutlichen Mehrwert der Sicherheit erreichen zu können. Der erste Schritt für mehr IT Sicherheit ist das Segmentieren und dann auch die Segmente gegeneinander abzuschotten. Hier sind oft einfache Regeln schon ausreichend, die nur Netzwerkverkehr zwischen den Clients und den Servern zulassen und den Netzwerkverkehr zwischen den verschiedenen Client Segmenten unterbinden. Eine weitere Schutzschicht bildet die Hostfirewall auf den Clients, die dann dafür sorgt, dass Verbindungen zwischen den Clients innerhalb eines Segments unterbunden werden. Zum Schutz der virtuellen Server stellt vmware mit NSX ein sehr mächtiges Werkzeug zur Verfügung. Mit NSX stehen dann Schnittstellen bereit um weitere Sicherheitsebenen einzuführen. Diese reichen dann von normalen Firewall Regeln bis hin zur Integration von virtuellen Fortigate Systemen und Schutzsoftware, wie zum Beispiel einer Deep Security von Trendmicro.

So lassen sich durch das Einbringen von virtuellen Systemen für Netzwerk- und Sicherheitsfunktionen zusätzliche Sicherheitsebenen dem Cyber Security Konzept hinzufügen die gegenüber Hardware unter diesen Rahmenbedingungen ein besseres Kosten/Nutzen Verhältnis aufweisen. Der allerwichtigste Schritt ist aber die Segmentierung an sich. Wer aktuell dafür kein ausreichendes Budget zur Verfügung hat, um zum Beispiel neue Hardware oder auch kommerzielle virtuellen Systeme anzuschaffen, sollte einen Blick in die NFV Komponenten auf OpenSource Basis werfen. Diese bieten zwar keine Funktionen wie IPS, AppCtrl oder Flow-Based AV, wie sie durch eine virtuelle oder physikalische Fortigate zur Verfügung stehen, aber es lässt sich zumindest eine grundlegende Trennung der Segmente mit zumindest einer Stateful Firewall erreichen.

Das Ziel muss sein, dass Netzwerk zu segmentieren, wie es auch durch das BSI dringend empfohlen wird. Die Segmentierung bzw. Mikrosegmentierung ist derzeit alternativlos um vorbeugend gegen die aktuellen und kommenden Cyber Angriffe eine der Basismaßnahmen zu ergreifen. Dabei darf man es aber nicht belassen, denn zu einem umfassenden Security Konzept gehören auch mehrere Ebene die nur zusammen einen effektiven Schutz bieten. Vor allem müssen diese Security Layer auch immer wieder an die neuen Rahmenbedingungen angepasst werden. Security ist kein statischer Zustand, sondern ein stetiger Prozess.

Wenn Sie Fragen zum Thema haben, dann kontaktieren Sie unser Security Team per Mail.

Das richtige Storage

Die Wahl des richtigen Storage ist nicht gerade trivial. So viele Dinge sind bei der aktuellen Dynamik im Storage Markt nicht vorherzusagen. Die sich ständig wandelnden Rahmenbedingungen, die aktuellen und zukünftigen Anforderungen, das Bedenken der zukünftigen Applikationen und was sonst noch alles zu berücksichtigen ist, lässt noch nicht einmal über einen Zeitraum wie den kommenden zwei Jahren eine verlässliche Aussage zu. Daher ist eine passende Strategie in Sachen Storage sehr wichtig.

Das Thema Storage an sich ist seit wenigen Jahren nicht gerade trivial. Auf dem Markt gibt es sehr viele Hersteller, von den Dinos der Branche bis hin zu den auch manchmal reinen Software Startup’s, was es nicht gerade leicht macht die richtige Wahl zu treffen. Setzt man auf klassische Spindeln, Hybride Storages oder auf reinen Flash Hardware inklusive der Wahl von klassischen, neuen RAID und nonRAID Ansätzen? Latency ist zudem das neue IOPS und auch die Frage ob FC, FCoE, iSCSI, IB oder DAS. Das Ganze wird dann durch verschiedene Featuresets der Anbieter multipliziert und SDS potenziert alles noch mal – wenn man so will, ein multidimensionales Array der Entscheidung, was es als Beschreibung ganz gut zutrifft. Das ist jetzt der eine Teil bei der Frage, welches Storage nun das richtige ist, den es zu beantworten gilt. Der andere Teil sind die Anforderungen an sich, die ja auch nicht gerade statisch daherkommen und sich am Wandel der Applikationen und Speichermengen orientieren. Die hyperkonvergenten Systeme wie Nutanix, SvSAN, VSAN, vSAN und die Storage Server u.a. von SuSE, Redhat, Microsoft oder den OpenSource Varianten packen die nächsten Dimensionen zusätzlich oben drauf. Dann kommt noch hinzu, dass man vor der Frage steht, wohin denn der Weg mit der IT überhaupt führt? An dieser Stelle wäre jetzt eine funktionierende Glaskugel für den Blick in die Zukunft wirklich sehr hilfreich. Dann wüsste man, welche Anforderungen man in der Zukunft zu bewältigen hat und vor allem, welcher Storage oder Software Hersteller in der Zukunft noch am Markt ist. Gefühlt ist es wie bei Schrödingers Katze aus der Quantenphysik, alleine durch hinsehen ändern sich die Zustände aller Rahmenbedingungen, Optionen und sonstigen Variablen. Was also tun?

Man konzentriert sich auf das jetzt, hält die Skalierbarkeit im Auge und stellt sich etwas breiter auf. Zudem beachtet man ein paar wenige Dinge. Auf dieser Basis bekommt auch in den kommenden Jahren eine zuverlässige, stabile und leistungsfähige Storage Infrastruktur. Der Ansatz zwei unterschiedliche Strategien für Anwendungen und unstrukturierte Daten zu wählen bietet sich geradezu an. Dies hat auch den Vorteil, dass damit die Tür in Sachen Hyperconverged Infrastructure (HCI) und Software Defined Storage (SDS) weiter geöffnet wird und sich somit ganz neue Möglichkeiten bieten. Trennt man durch die unterschiedlichen Strategien die unstrukturierten Daten von den Applikationen bzw. den klassischen Servern, ändern sich automatisch die Anforderungen an die Speicher der HCI Systeme. Damit eine solche Trennung Sinn macht, muss man einen steigenden Platzbedarf bei einem Startvolumen ab 30+ TB an unstrukturierten Daten haben. Erst ab dann spielen Systeme wie Quantum Xcellis ihre Vorteile aus. Hat man aber diesen Bedarf, den die meisten haben werden, dann führt fast kein Weg an einer solchen Lösung vorbei. Eine Lösung auf Xcellis mit Disk und Tapes erfüllt mehrere Anforderungen für die dort abgelegten Daten auf einmal. Zu diesen Anforderungen gehören ein mögliches Wachstum bis in den hohen Petabyte Bereich, Versionsstände der Dateien, Archivierung und Backup auf Tape, was an mehreren Standorten abgelegt werden kann. Dazu kommt der Synergieeffekt die Kosten für den Betrieb durch das Archivieren der Langzeitdaten auf Tape sehr gering zu halten. Das Xcellis System stellt SMB/CIFS, NFS und S3 zur Verfügung und lässt sich sogar logisch Partitionieren, was zum Beispiel eine Trennung von Abteilungen auf System und nicht auf Ebene des Shares möglich macht. Durch die zur Verfügung stehende S3 Schnittstelle können Webanwendungen direkt mit der Xcellis verbunden werden. Mit dem System „Store Next“ von Quantum hat man eine solide Basis für seine unstrukturierten Daten, die zudem hervorragend skaliert und die Daten durch die Bereitstellung über mindestens zwei Datacenter hochverfügbar vorhält. Hat man diesen Schritt getan, so kann man sich jetzt ganz auf die Daten für die Anwendungen konzentrieren.

Bei den Anwendungsdaten ist die Wahl nicht ganz so einfach wie bei den unstrukturierten Daten. Es gilt als erstes eine grundlegende Entscheidung zu treffen: Wird ein synchroner Spiegel der Daten benötigt oder nicht. Ist dies der Fall und werden noch weitere Funktionen wie AutoTiering oder CDP benötigt, dann ist Datacore das Mittel der Wahl. Je nach Anforderung steht eine Implementierung als HCI Lösung, physikalische Storage Server und hier mit und ohne entsprechende Erweiterung der durch den Server zur Verfügung stehenden internen Platten. Wird kein synchroner Spiegel benötigt, was sehr genau geprüft werden sollte, dann kann man auf zum Beispiel Quantum QXS4 Systeme mit der Hybrid und Q-Tiering Technik zurückgreifen. Aber noch mal der Hinweis zur Verfügbarkeit der Daten, wenn nicht ein synchroner Spiegel mit CDP zum Einsatz kommt. Zwar sollten SAN’s immer mit redundanten Controllern und Netzteilen sowie entsprechenden RAID Arrays ausgestattet sein, können diese trotzdem ausfallen. Bei einem „Totalschaden“ sind die Daten weg und man muss auf das letzte Backup zurückgreifen. Üblicher Weise verliert man mindestens einen Arbeitstag plus Zeit für die Rücksicherung. Die Wahrscheinlichkeit, dass genau in dem Moment der Defekt auftritt, wenn man ein aktuelles Backup hat und zudem in der Zeit des Backups keine Daten verändert wurden ist sehr sehr unwahrscheinlich. Dieses Glück wird einem normal nicht zu Teil. Daher muss, wenn man schon auf einen synchronen Spiegel im Storage verzichtet, die Verfügbarkeit von den Anwendungen selbst kommen. So muss man zum Beispiel entsprechende Cluster Systeme von Datenbanken, Exchange und anderen Servern aufbauen. Das funktioniert nur bis zu einem gewissen Grad, da die Komplexität durch solche Lösungen nicht kleiner wird, zumal man die Affinität dann bei den Storages beachten muss. Es kommt sehr schnell der Punkt, dass eine Hochverfügbarkeit die aus dem Storage selbst kommt die effizientere und wesentlich einfachere Lösung ist.

Jetzt steht noch die Überlegung an, reine Flash Systeme oder doch aus Gründen der Wirtschaftlichkeit auf Hybrid Systeme mit AutoTiering zu setzen. Bei den meisten Szenarien ist der Ansatz eines Hybrid System mit Tiering die bessere Wahl. Damit kombiniert man geringe Latenz und hohe IO-Werte bei gleichzeitig großer Kapazität zu vernünftigen Kosten. Der Ansatz mit zwei Strategien für die unterschiedlichen Anforderungen zu arbeiten, macht es wieder einfacher die Wahl im Bereich des Storage zu treffen. Egal wie die Wahl im Bereich des Storage aussieht, kommt jetzt noch der aller wichtigste Punkte für die eigenen Daten: Das Backup!

 

Das Backup ist die Lebensversicherung jedes Unternehmens und es müssen qualitativ sehr hochwerte Komponenten zu Einsatz kommen. Vor allem müssen diese Speichersysteme viel Platz bei gleichzeitig hoher Leistung bieten. Der Grund dafür ist ganz einfach, die Datenmengen werden immer größer und das Backup muss trotzdem in einer zum Unternehmen passenden Zeit abgeschlossen sein. Da moderne Backups mit Kompression und Deduplizierung arbeiten, ist nicht nur ein linearer Zugriff auf das Repository gefragt, sondern, um in der Sprache des Storage zu bleiben, eine hohe Performance im Random Access. Das bedeutet aber auch, dass man im ersten Schritt ein Backup-to-Disk durchführt und entsprechende Revisionsstände im Repository vorhält. Dabei sind zusätzlich zu den üblichen Tagesbackups noch Wochen-, Monats- und auch Jahres-Backups völlig normal. Das stellt einen sicheren Betrieb des Backups vor völlig neue Herausforderungen. Es gibt so genannte Bit-Kipper auf den Speichermedien, bei denen sich Daten ohne Schreiboperationen ändern. Das CERN hat mit seinen Daten dazu eine Studie durchgeführt und ist dabei zum Ergebnis gekommen, dass in einem Terrabyte Daten sich zwischen ein bis vier defekte Dateien befinden. Das hat nun zur Folge, dass das eigene Backup auf das man sich alternativlos verlassen muss, möglicherwiese defekte Inhalte hat, wenn nicht die passenden Systeme dafür eingesetzt werden. Das CERN hat nun gegenüber anderen ganz andere Volumina bei seinen Daten, was aber nichts daran ändert, dass es je Terrabyte entsprechend defekte Dateien gibt. Bei einem Textdokument erscheint vielleicht ein solcher Fehler als „Tippfehler“, bei einem Backup sieht es aber ganz anders aus, wenn man sich darauf nicht mehr verlassen kann. Das CERN setzt, um solche Defekte zu vermeiden, die ganze Forschungsergebnisse vernichten können, auf ZFS zur Speicherung seiner Daten. Das ist eine sehr gute Wahl, denn ZFS bietet für Metadaten und die Daten an sich Prüfsummen, um genau diese Fehler zu erkennen und zu korrigieren. Zudem bietet es ein Software RAID, welches so ausgelegt ist, dass selbst bei einem Ausfall im Schreibprozess die Konsistenz der Daten bzw. des Volume nicht verloren geht. Die Erfahrungen und vor allem die Erkenntnisse des CERN sollte bzw. muss man sich nun zu Nutze machen, damit die eigenen Daten des Backups auch sicher und dies ganz besonders bei langfristiger Aufbewahrung gespeichert sind.

Mit diesem Wissen und der Anforderung an ein Backup ist es sehr wichtig Systeme auszuwählen, welche die entsprechenden Sicherheiten bieten, die diese Daten benötigen. Handelsübliche NAS Systeme sind qualitativ keine schlechten Systeme, jedoch basieren viele auf Linux mit den Subsystemen md, LVM und dem häufig Dateisystem ext4. Es gibt auch NAS Systeme die auf ZFS basieren. Diese eignen sich daher schon eher für eine langfristige Aufbewahrung. Jedoch haben diese NAS Systeme alle eins gemein, dass die Hersteller nur für einen gewissen Zeitraum Support für diese Systeme in Form von Firmware Updates bieten. Die SambaCry Attacke hat aber gezeigt, wie wichtig auch für diese Systeme entsprechende Updates sind. Daher muss insbesondere für das Backup und dessen Ansprüche ein entsprechend hochwertiges Storage gewählt werden. Die Kosten spielen natürlich bei allen Überlegungen eine Rolle und wenn das aktuelle Budget einen Wechsel zu einem professionellen Backup-Storage nicht zulässt, aber die vorhandenen NAS Systeme aus dem Support sind und sogar noch gegen die SambaCry Lücke anfällig, hilft ein Blick zu möglichen Alternative auf Basis von OpenSource. Damit lässt sich ein Repostory Server aufbauen, der wieder unter „Support“ ist und auch die entsprechenden Dateisysteme mitbringt. Als Hardware genügt hier ein einfacher Storage Server mit JBOD und je nach Leistung entsprechende SSD’s für den ARC. Damit steht das Backup wieder auf einer soliden Basis und man kann ganz in Ruhe an die Planung des zukünftigen Konzepts für das Backup gehen.

Die Beachtung der 3-2-1 Regel für das Backup ist davon unabhängig und grundsätzlich zu beachten. Die Regel ist denkbar einfach, 3 Kopien der Daten, 2 Medien (Disk und Tape) und 1 Datensatz offline für den Fall der Fälle. Gerade auf dem Hintergrund der Ransomware ist das Backup die letzte Instanz die man hat.