Regelmäßige Datensicherung zählt zu den grundlegenden Aufgaben von IT-Abteilungen und sollte im Tagesgeschäft nicht allzu viel Zeit und Personal in Anspruch nehmen. Allerdings ist das Thema inzwischen recht komplex geworden, da Unternehmen im Zuge ihrer digitalen Transformation sehr umfangreiche Anwendungslandschaften aufgebaut haben, die sich über virtualisierte Infrastrukturen an verschiedenen Standorten bis hinein in die Cloud erstrecken. Dafür passende Sicherungswerkzeuge nebst geeigneten Server- und Storage-Systemen auszuwählen, einzurichten, zu pflegen und das Zusammenspiel perfekt zu orchestrieren, kann sehr aufwendig sein.

Abhilfe versprechen Backup-Appliances, die Unternehmen die Konzeption und den Aufbau einer Sicherungsinfrastruktur ersparen. Die Geräte lassen sich in der Regel leicht in bestehende IT-Umgebungen integrieren und sind schnell einsatzbereit. Durch die optimal aufeinander abgestimmte Hardware und Software arbeiten sie im Alltag sehr effizient, ohne andere Systeme innerhalb der Infrastruktur zu beeinträchtigen. Zudem erhalten sie alle Updates von einem einzigen Anbieter und stellen eine zentrale, einfach zu bedienende Oberfläche für die Steuerung aller Backup- und Recovery-Aktivitäten bereit. Dadurch entlasten sie die IT-Teams deutlich, was nicht nur für kleine Unternehmen mit wenig Personal äußerst wertvoll ist.

Schon die Frage, wie viel Speicherkapazität eine Appliance mitbringen soll, ist für Unternehmen oft nur schwer zu beantworten. Hier können die Hersteller und ihre Vertriebspartner mit Sizing-Tools und Erfahrungswerten unterstützen. Sie prüfen die zu sichernden Workloads, berücksichtigen die gewünschten Vorhaltezeiten und helfen bei der Prognose des künftigen Datenwachstums. Aus diesen Werten berechnen sie die anfallenden Datenmengen und sprechen eine Empfehlung aus. Dabei kalkulieren sie auch die Platzersparnis durch Deduplizierung und Komprimierung der Daten ein.

Wie stark diese beiden Faktoren das Volumen der Sicherung reduzieren, hängt von der Art der Daten ab: Bilder und Videos beispielsweise bieten nicht viel Potenzial – Datenbanken und File-Shares mit Office-Dokumenten dafür in der Regel aber umso mehr. Allerdings liefern die Deduplizierungsmechanismen der verschiedenen Hersteller höchst unterschiedliche Ergebnisse, die auch nicht immer mit den Werbeversprechen der Anbieter übereinstimmen müssen. Unternehmen sollten die Appliances daher evaluieren – sei es im Rahmen eines Proof of Concept mit ihren Daten in der eigenen IT-Umgebung oder bei den Herstellern und deren Vertriebspartnern. Diese betreiben zumeist Testumgebungen mit echten Systemen, Anwendungen und Daten, sodass sich die Appliances unter praxisnahen Bedingungen ausprobieren lassen.

Die Deduplizierung kann sowohl im Sicherungsprozess (inline) als auch danach auf der Appliance (post-process) erfolgen. Letzteres gilt als weniger effizient, da temporär viel Speicher für die noch nicht deduplizierten Daten benötigt wird. Die meisten Hersteller setzen daher auf Inline-Deduplizierung, bei der es zwei Varianten gibt: Die eine ist die Deduplizierung auf dem Quellsystem, die dort zwar Compute-Ressourcen beansprucht, aber durch das reduzierte Datenvolumen eine niedrige Netzwerklast verursacht und kleine Sicherungsfenster ermöglicht.

Die zweite Option ist die Deduplizierung auf dem Zielsystem, bei der mehr Daten übertragen werden, aber die Backup-Appliance die Arbeit übernimmt. Im besten Fall beherrschen Geräte beide Ansätze. Zudem arbeiten sie mit variablen Blocklängen, um das Datenvolumen möglichst effizient und stark zu reduzieren. Bei festen Längen würden kleine Blöcke sehr viele Vergleiche notwendig machen und die Systeme belasten, während nur wenige große Blöcke kaum Potenzial zu Datenreduktion bieten, weil bereits ein einziges abweichendes Bit dafür sorgt, dass der gesamte Block gespeichert werden muss.

Die Hersteller bieten ihre Systeme mit unterschiedlichen Speicherkapazitäten an, sodass Unternehmen zu ihrem aktuellen und künftigen Bedarf passende Modelle wählen können. Dennoch kommt vermutlich irgendwann der Punkt, an dem die verbauten Kapazitäten erschöpft sind – und dann hängt es von der Architektur der Appliance ab, wie der Speicher erweitert wird: durch horizontale Skalierung (Scale-out) oder durch vertikale Skalierung (Scale-up).

Bei Scale-out-Appliances lässt sich die Kapazität durch das Hinzufügen neuer Knoten erweitern. Auf diese Weise können Unternehmen im Prinzip unendlich skalieren und eine robuste Backupinfrastruktur aufbauen. Allerdings sollten sie darauf achten, dass die Deduplizierung global arbeitet, also über alle Knoten hinweg. Einige Angebote sind dazu nicht in der Lage und deduplizieren Daten nur auf den einzelnen Knoten, was Speicherplatz verschwendet.

Zudem können bei Scale-out die Netzwerkanforderungen schnell steigen, weil mehr Ports benötigt werden und mehr Traffic durch die Kommunikation zwischen den Knoten anfällt. Überdies wachsen durch die zusätzlichen Systeme der Platzbedarf, der Stromverbrauch sowie der Kühlbedarf im Rechenzentrum, und Unternehmen holen sich mit jedem Knoten ein voll ausgestattetes System mit CPU und RAM ins Haus, auch wenn sie unter Umständen lediglich mehr Speicherplatz benötigen.

Bei Scale-up-Appliances wächst die Kapazität hingegen durch die Hinzunahme von Erweiterungseinheiten – sogenannten Expansion Units oder Shelves. Natürlich ist eine sehr sorgfältige Kapazitätsplanung nötig, um mögliche Upgrade-Kosten so gering wie möglich zu halten. Allerdings verbauen die Hersteller in der Regel mehr Speicher in ihren Geräten, als ein Unternehmen zunächst benötigt, und schalten diesen bei Bedarf über Lizenzerweiterungen sukzessive frei. So können die Systeme eine Zeit lang mitwachsen, ohne dass Unternehmen überprovisionieren oder Erweiterungseinheiten erwerben müssen.

Letztlich lassen sich Scale-up-Appliances sehr passgenau auf die Anforderungen eines Unternehmens zuschneiden und sind in vielen Szenarien kosteneffizienter. Insbesondere in Unternehmen mit mehreren Standorten ist es häufig günstiger, die Standorte mit kleinen Backup-Appliances auszustatten, als alle Daten über teure WAN-Verbindungen an einen zentralen Cluster zu schicken.

Backup-Appliances sichern neben File-Servern und NAS-Systemen auch virtuelle und containerisierte Umgebungen. Dazu kommen üblicherweise Datenbankserver mit MS SQL, Oracle und SAP HANA sowie in einigen Fällen sogar SaaS-Dienste wie Microsoft 365 zum Einsatz. Es ist allerdings eine Philosophiefrage, ob die Daten aus solchen Cloudanwendungen tatsächlich lokal oder doch besser in der Cloud gesichert werden sollten, wo sie sich im Ernstfall oft schneller wiederherstellen lassen – zumal Unternehmen mit den Daten vor Ort, anders als zum Beispiel mit dem Snapshot einer VM, meist wenig anfangen können. Ein separater Service, der SaaS-Daten von Cloud zu Cloud sichert, kann deshalb eine sinnvolle Ergänzung zur Appliance sein.

Unabhängig davon, wofür sich Unternehmen entscheiden, sollten sie die Produkte genau prüfen, da einige Anbieter die Anzahl der Restores pro Tag begrenzen. Andere benötigen dauerhaft die Global Admin Rights für den Zugriff auf Microsoft 365, was aus Security-Sicht alles andere als optimal ist. Dieser weitreichenden Berechtigungen sollte es eigentlich nur einmalig bedürfen, um den Backupdienst beziehungsweise die Appliance mit Microsft 365 zu verknüpfen, und nicht für jeden einzelnen Sicherungsvorgang.

Überhaupt müssen Backup-Appliances bewährte Sicherheitsfunktionen wie Multifaktor-Authentifizierung, rollenbasierte Zugriffskontrollen und Verschlüsselung unterstützen, sollten aber auch einen sogenannten Retention Lock bieten. Diese ursprünglich aus der Archivierung stammende Funktion verhindert, dass Daten nach dem Ablegen verändert werden, also dass Cyberkriminelle die Backups verschlüsseln, löschen oder manipulieren. Darüber hinaus müssen die Appliances die Backups auf Widerherstellbarkeit prüfen, denn eine Sicherung, die im Ernstfall nicht funktioniert, ist wertlos. Doch Vorsicht: Die Appliances einiger Hersteller testen nur einen Teil der Sicherungen, sodass bei Restores durchaus unliebsame Überraschungen auftreten können.

Äußerst praktisch ist die Funktion vieler Geräte, die gesicherten VMs direkt auf der Appliance zu starten. Das erleichtert nicht nur Restore-Tests, sondern erlaubt es auch, VMs nach einem Systemausfall schnell wieder einsatzbereit zu machen und den Anwendungsbetrieb fortzusetzen. Sobald das ausgefallene System wieder läuft, lassen sich die VMs unterbrechungsfrei von der Appliance dorthin verschieben. Damit die Performance während des Notbetriebs nicht zu sehr einbricht und Sicherungen sowie Wiederherstellungen generell zügig ablaufen, sind Backup-Appliances mit leistungsstarker Hardware bestückt – also modernen Server-CPUs, ausreichend RAM und nicht nur Festplatten, sondern auch SSDs.

Ein weiteres nützliches Feature ist Cloudsupport, sprich die Anbindung an Public Clouds, um eine Kopie von Backups im Rahmen einer 3-2-1-Backup-Strategie außer Haus zu speichern, gesicherte VMs für ein Disaster Recovery in der Cloud zu starten oder ältere Backups für die Langzeitaufbewahrung auszulagern. Idealerweise sind Cloudunterstützung und andere Features wie Verschlüsselung oder Retention Lock bereits in der Standardlizenz enthalten und müssen nicht nachlizenziert werden. Allgemein erfolgt die Abrechnung der Appliances meist nach Speicherkapazität, pro Knoten oder in einigen Fällen auch nach den zu sichernden VMs. Letzteres kann schnell zu hohen Kosten führen, wenn Unternehmen ihre virtuellen Umgebungen aufgrund von Transformationsprojekten erweitern.

Das Wissen, wie sich die eigene Infrastruktur und die zu sichernden Datenmengen entwickeln, hilft, eine passende Backup-Appliance auszuwählen. Scale-up-Systeme sind meist einfacher und kostengünstiger und kommen dank freischaltbaren internen Kapazitäten beziehungsweise Erweiterungseinheiten auch mit starkem oder sprunghaftem Datenwachstum zurecht. Um sich mit der Bedienung vertraut zu machen und die Leistungsfähigkeit der Deduplizierung einschätzen zu können, sollten Unternehmen die Systeme unbedingt ausprobieren. Schließlich ist es ein enormer Kostenfaktor, wenn die Algorithmen die erhoffte Datenreduktion in der Praxis nicht erreichen. Unternehmen sollten jedoch nicht nur auf die Kosten schauen, sondern auch Features wie Retention Lock, Hosting von VMs und Cloudanbindung im Blick behalten, die helfen, Backup- und Restore-Anforderungen einfacher zu erfüllen.