Storage Services
Die ix.Cloud "Storage Services" bieten die Möglichkeit, Daten in den hochverfügbaren Rechenzentren der Inventx bereitzustellen oder ein lokales Rechenzentrum mit zusätzlichen Speicherkapazitäten zu erweitern.
| Service Name | Service Kurzbeschreibung |
|---|---|
| File Storage | Datenablage für Office Dokumente, Desktop Profile sowie WORM Archive. |
| Object Storage | Skalierbarer Objektspeicher für grosse Mengen an unstrukturierten Daten |
File Storage
Der File Storage Service bietet verwaltete Dateifreigaben, auf die über branchenübliche Protokolle (NFS oder CIFS/SMB) zugegriffen werden kann. Die Daten auf dem File Storage werden permanent zwischen den Inventx Rechenzentren in der Schweiz synchronisiert.
Bestellungen und sämtliche Änderungen beim File Storage Service sind mit einem "Generic Request" zu beauftragen.
Service Architektur
Service Umfang
| Leistungsmerkmale | |
|---|---|
| Redundanz und Replikation | ◼ |
| XTS-AES 256-Bit Verschlüsselung | ◼ |
| AutoGrow & AutoShrink | ◼ |
| Zugriffsprotokolle NFS / CIFS (SMB) | ◼ |
| Datensicherung | ◼ |
| Datenwiederherstellung | ◼ |
| Individualisierbares Tiering | ◼ |
| Antivirus-Schutz | ◻ |
| Ransomware-Schutz | ◻ |
| WORM (write-once-read-many) | ◻ |
Service Optionen
Der File Storage Service weist die nachfolgend erläuterten Optionen aus.
Redundanz und Replikation
Um eine möglichst hohe Verfügbarkeit der Daten zu erreichen, werden die primären Daten und die Sicherungen (Snapshots) permanent über zwei Rechenzentren synchron repliziert (Zonenredundanz). Und für den Katastrophen-Fall, wird zusätzlich eine Backupkopie in ein drittes Rechenzentrum erstellt.
XTS-AES 256-Bit Verschlüsselung
Die Daten auf dem File Storage werden mit XTS-AES 256-Bit verschlüsselt (Encryption@Rest). Dieser Verschlüsselungs-Algorithmus, ist eine der meist genutzten und zugleich sichersten Methode, um Daten auf einem Storage zu verschlüsseln.
AutoGrow & AutoShrink
Die Vergrösserung und Verkleinerung der Volumes erfolgt dynamisch und die Verrechnung findet auf Basis des täglich erhobenen Datenverbrauchs statt.
Vergrösserungen von mehr als 20% der Gesamtkapazität gemäss Consumption Report sind zwei Monate im Voraus anzumelden.
Zugriffsprotokolle NFS / CIFS (SMB)
Der Zugriff auf die Ordnerfreigabe beziehungsweise auf die Daten erfolgt über das NFS- oder CIFS-Protokoll.
Beim NFS-Protokoll wird der Zugriff anhand der Client IP-Adresse oder DNS-Name eingeschränkt und beim CIFS-Protokoll via Active Directory des Kunden freigegeben und verwaltet.
Ein Multiprotokoll-Zugriff (NFS und CIFS) auf eine Ordnerfreigabe wird nicht unterstützt.
Datensicherung
Die Sicherung der primären Daten wird via Snapshot Technologie in regelmässigen Abständen (stündlich und täglich) durchgeführt und über zwei Rechenzentren synchron repliziert. Der tägliche Snapshot wird zusätzlich in ein drittes Rechenzentrum kopiert.
Mit den folgenden vier Backup-Profilen kann die Sicherung der Daten bedürfnisgerecht eingerichtet werden.
- 40d Backup
- 200d Backup (Standard)
- 400d Backup
- No Backup
Beim Backup-Profile "No Backup" wird auf expliziten Wunsch keine Sicherung der primären Daten erstellt. Der Kunde verzichtet somit auf die Möglichkeit der Datenwiederherstellung.
Die Aufbewahrungsdauer bei den Backup-Profile ist gemäss unten stehenden Angaben eingerichtet. Sofern beim Backup die Option "40d Backup", "200d Backup" oder "400d Backup" gewählt wurden, erfolgt eine regelmässige Erstellung von unveränderbaren (immutable) SnapShots der Primärdaten. Daraus resultiert ein bedingter Schutz gegen Ransomware, da man auf vorherige Sicherungen zugreifen kann.
| Aufbewahrungsdauer "40d Backup" |
Standort | ||
|---|---|---|---|
| local (snapshot) | remote | ||
Intervall |
stündlich | 2 Tage | ⁃ |
| täglich | 20 Tage | 40 Tage (mit WORM 20 Tage) |
|
| Aufbewahrungsdauer "200d Backup" |
Standort | ||
|---|---|---|---|
| local (snapshot) | remote | ||
Intervall |
stündlich | 10 Tage | ⁃ |
| täglich | 40 Tage | 200 Tage (mit WORM 40 Tage) |
|
| Aufbewahrungsdauer "400d Backup" |
Standort | ||
|---|---|---|---|
| local (snapshot) | remote | ||
Intervall |
stündlich | 20 Tage | ⁃ |
| täglich | 80 Tage | 400 Tage (mit WORM 80 Tage) |
|
Datenwiederherstellung
Die Wiederherstellung der primären Daten erfolgt im Self-Service über die Funktion "Vorgägerversionen" im Windows Datei-Explorer. Eine Wiederherstellung von einem Remote-Backup muss via "Generic Request" beauftragt werden.
Wird beim Backup-Profile die Option "No Backup" gewählt (siehe Datensicherung), ist die Wiederherstellung von primären Daten nicht möglich.
Individualisierbares Tiering
Durch das individualisierbare Tiering ist es möglich, inaktive Daten auf einen kostengünstigeren Storage-Tier auszulagern. Im File Storage Service stehen folgende zwei Storage-Tiers zur Verfügung:
| Storage Tier | Durchsatz / Volume | IOPs / Volume |
|---|---|---|
| Performance | max. 200 MB/s | max. 5'000 |
| Capacity | max. 50 MB/s | max. 1'000 |
Die oben erwähnten KPI's "Durchsatz" und "IOPs" sind als Richtwerte zu betrachten und grundsätzlich von der Filegrösse und dem verwendeten Protokoll abhängig. Beim Performance-Tier sind Antwortzeiten von durchschnittlich <5ms zu erwarten (gemessen über 4 Stunden am Storage Controller).
Alle Daten verbleiben zuerst auf dem Performance-Tier und können dann mittels "Auto Tiering" regelbasiert und automatisch auf das Capacity-Tier ausgelagert werden. Folgende Profile stehen zur Auswahl:
- No Tiering (die Daten verbleiben im Performance-Tier)
- Auto Tiering (inaktive Daten werden nach 40 Tagen auf das Capacity-Tier verschoben)
Antivirus-Schutz
Die CIFS (SMB) Dateifreigaben können optional mit einem Antivirus Scanner überprüft werden. Bekannte Dateiendungen von Ransomware werden zusätzlich gesperrt.
Für die Option Antivirus-Schutz werden im Netzwerk des Kunden zwei VMs mit einer Antivirus-Software installiert. Je nach Last auf die Dateifreigaben kann es sein, dass mehr als zwei VMs notwendig sind.
Ransomware-Schutz
Als Option kann eine KI-basierte Anomalie-Erkennung und Pattern Recognition mit Notfall-SnapShot Erzeugung ausgewählt werden. Dank dieser Option kann eine frühzeitige Erkennung von Ransomware sichergestellt werden. Vgl. beiliegende Grafik zur 2-Layer Abwehr.
Im Funktionsumfang enthalten ist auch die Möglichkeit einer konfigurierbaren User-Sperrung, die Möglichkeit der differenziellen Wiederherstellung sowie weitere Analyse Optionen.
Zusätzlich lassen sich individuelle Patterns und Response Policies definieren. Die Konfiguration von Honeypots ist ebenfalls verfügbar.
Für die Option Ransomware-Schutz wird im Netzwerk des Kunden eine VM mit der entsprechenden Software installiert. Je nach Last auf die Dateifreigaben kann es sein, dass mehr als eine VM notwendig ist. Die Option zum Ransomware-Schutz wird in Zusammenarbeit mit dem ix.CRC für den Kunden umgesetzt. Technisch auch bei WORM Volumes möglich. Da die WORM Volumes meistens im Zusammenhang mit Archive-Applikationen verwendet werden, ist dort eine vertiefte Analyse der Aktionen und die Auswirkungen davon abzuklären. Auf Request kann dies zusammen mit dem Kunden umgesetzt werden.
Diese Option ist nur bei Non-WORM Volumes einsetzbar, da bei WORM die Daten bereits unveränderbar abgespeichert sind.
WORM (write-once-read-many)
Um das Löschen, Ändern und Umbenennen von Dateien zu verhindern, kann bei Bedarf die Option WORM gewählt werden.
Vor einem initialen Setup müssen die Abhängigkeiten und Anforderungen einer Archiv-Lösung geprüft werden.
Object Storage
Der Object Storage der ix.Cloud ist ein S3-kompatibler, skalierbarer und georedundanter Datenspeicher. Die Daten werden dabei in sogenannten Vaults gruppiert. So können Speicher-Objekte effizient abgerufen werden, ohne den physischen Speicherort eines Objektes zu kennen - komplexe Verzeichnisstrukturen entfallen. Beim Upload der Daten werden die Daten mittels dem Erasure Code Verfahren automatisch in einzelne Stücke zerlegt, mit redundanten Informationen erweitert und an physikalisch unterschiedlichen Orten im Speichersystem abgelegt. Damit können korrumpierte oder verloren gegangene Daten mit Hilfe der noch an anderer Stelle vorhandenen Informationen rekonstruieren werden.
Der Object Storage ist ideal, um grosse Mengen an unstrukturierten Daten zu speichern, wodurch er vielfältig einsetzbar ist: z.B. Ablage von Files, Medien, Webinhalte, Datenarchivierung, Backup und Restore.
Service Architektur
Service Umfang
| Leistungsmerkmal | |
|---|---|
| Initiales Setup | ◻ |
| Zugriff und Authentifizierung | ◼ |
| Verschlüsselung | ◼ |
| Storage Management | ◼ |
| Malware-Schutz | ◻ |
Service Optionen
Bestellungen und sämtliche Änderungen sind mit einem "Generic Request" zu beauftragen.
Zugriff und Authentifizierung
Die logische Trennung und Administrations-Integrität findet über einen individuellen Vault statt. Der Zugriff erfolgt nach initialer Aufschaltung via S3-API über HTTPS mittels User-Name (Access Key ID) und Passwort (Secret Access Key).
Verschlüsselung
Die Datenübertragung (Upload und Download) findet verschlüsselt mit TLS (ehemals SSL) statt. Auf dem Storage-System werden alle Daten mittels Secure-Slice-Algorithmus (256 Bit) abgelegt, wobei die Storage-Applikation die Datenverschlüsselung beim Speichervorgang umsetzt.
Storage Management
Das Storage Management des ix.Cloud Object Storage basiert auf AutoGrow resp. AutoShrink. Folglich wird keine explizite Storage-Grösse pro Kunde reserviert. Optional kann pro Kunde beim Initial Setup oder nachträglich via "Generic Request" jedoch eine maximale Storage-Grösse pro Vault konfiguriert werden, wobei das Capacity Management solcher Vaults der Kunde selbst verantwortet. Die Verrechnung findet jeweils monatlich auf Basis des täglich erhobenen Datenverbrauchs statt.