Softwarelösung für Revisionssicherheit

Filelock von Grau Data kann von Windows-Servern verwaltete Datenpartitionen mit einem WORM-Schutz (Write Once Read Many) versehen. Die Software ist in der Lage, komplette Partitionen, ausgewählte Verzeichnisse oder einzelne Dateien so zu speichern, dass sie sich nicht mehr verändern lassen.Für die revisionssichere Datenarchivierung sind am Markt zahlreiche Speziallösungen verfügbar, die meist aus einer Kombination von Speichersystemhardware mit einer herstellerspezifischen WORM-Software bestehen. Die WORM-Software sorgt dafür, dass sich auf die geschützten Dateien nur noch im Lesemodus zugreifen und ihr Inhalt nicht mehr verändern lässt. Sie stellt zudem sicher, dass niemand die Dateien umbenennen oder löschen kann. Neben Disk-Systemen können auch Bandbibliotheken, die mit WORM-fähigen Bandlaufwerken und Bändern bestückt sind, Daten revisionssicher speichern. Die Zugriffszeiten sind allerdings recht hoch, da die Library zuerst das richtige Band laden muss. Einen dritten Weg beschreitet Grau Data mit Filelock. Die Software kann Datenpartitionen von Windows-Servern mit einem WORM-Schutz versehen. Sie wandelt die NTFS-Dateiattribute so um, dass sich die Dateien nicht mehr verändern oder löschen lassen. Dabei hat der Administrator die Möglichkeit, eine Aufbewahrungsfrist (Retention Period) zu definieren. Nach Ablauf dieser Frist können Anwender die Dateien lediglich löschen, verändern lassen sich diese auch dann nicht mehr. Statt einer Aufbewahrungsfrist können Nutzer auch eine unbefristete Aufbewahrung wählen, wodurch sich die Dateien nie wieder vom System löschen lassen. Für den LANline-Test setzten wir einen virtuellen Windows-2008-R2-Server auf und installierten auf ihm die Filelock-Software 2.2.3, die nur 20 MByte groß ist. Das Setup war in weniger als einer Minute abgeschlossen. Der Anwender bedient Filelock über eine grafische Oberfläche, die im linken Fensterbalken alle auf dem Server vorhandenen Partitionen anzeigt. Der WORM-Schutz lässt sich nur auf Partitionen aktivieren, die mit NTFS formatiert sind. Als Festplatten können alle gängigen Hardwaretypen inklusive SSD (Solid State Drive) zum Einsatz kommen, die der Windows-Server lokal verwaltet. Für USB-Laufwerke steht die WORM-Funktion nicht zur Verfügung. Auch die auf einer Partition bereits vorhandenen Dateien lassen sich in das WORM-Format überführen. Anwendungen können Daten über das CIFS- oder das FTP-Protokoll direkt auf eine WORM-Partition schreiben. Mit dem so genannten "Enhanced Security Mode" (ESM) von Filelock lassen sich Partitionen so verschlüsseln, dass ihr Inhalt nicht mehr sichtbar ist, wenn die Filelock-Software auf einem Server entfernt wurde. Sie präsentieren sich in diesem Fall als FAT-File-System mit der Bezeichnung "Volume Lock". Zudem können Anwender bei aktiviertem ESM Daten auch dann nicht löschen, wenn der File-System-Filter von Filelock gestoppt wurde. ESM lässt sich allerdings nur mit der primären Partition einer "Windows Basic Disk" nutzen, dynamische Disks unterstützt dieses Feature nicht.   WORM-Setup in mehreren Schritten Damit die Lösung Dateien in den WORM-Modus umwandeln kann, muss der Administrator mehrere Konfigurationsschritte durchführen. Zunächst markiert er in der Filelock-Oberfläche den Laufwerksbuchstaben der gewünschten Partition und klickt mit der rechten Maustaste auf die "Configure"-Schaltfläche. Dadurch erscheint das Fenster mit den Eigenschaften der Partition, das einen zusätzlichen Reiter für Filelock enthält. Wenn der Administrator bei "Enable WORM Mode" einen Haken setzt, aktiviert Filelock den WORM-Schutz für diese Partition. Er legt in diesem Konfigurationsfenster zudem fest, ob die gesamte Partition per WORM zu schützen ist oder nur ausgewählte Verzeichnisse. Im ersten Fall setzt er den Haken bei "Root Level", im zweiten Fall bei "1st Directory Level", womit sich der WORM-Schutz für ausgewählte Verzeichnisse der obersten Ordnerebene aktivieren lässt. Der Enhanced Security Mode lässt sich ebenfalls in diesem Menüfenster einschalten. Diese Aktionen sind irreversibel, haben aber zunächst noch keine Auswirkungen auf die Dateien. Damit das System Dateien tatsächlich in den WORM-Modus umwandelt, muss der Administrator noch die Aufbewahrungsregeln für die auf der jeweiligen Partition beziehungsweise im jeweiligen Hauptverzeichnis gespeicherten Dateien festlegen. Sobald dies geschehen ist, versieht Filelock die Dateien mit dem WORM-Schutz. Die Aufbewahrungsregeln lassen sich sowohl im Root-Level-Modus als auch beim 1st-Directory-Level-Modus entweder auf der Verzeichnisebene oder für einzelne Dateien festlegen. Die so genannte "Directory Level Retention (DLR) Policy" gilt dabei immer für ein komplettes Verzeichnis und die darin enthaltenen Dateien und Unterverzeichnisse. Im Root-Level-Modus wirkt sich die DLR-Policy auf alle Verzeichnisse aus. Im 1st-Directory-Level-Modus kann der Administrator für jedes Verzeichnis der obersten Ebene eigene Aufbewahrungsregeln definieren und zum Beispiel einzelne Verzeichnisse auch im Schreibmodus belassen.   Verzeichnisse oder einzelne Dateien schützen Die "Single File Level Retention (SFR) Policy" hingegen legt die Aufbewahrungsregel für einzelne Dateien fest. SFR bietet zudem die Möglichkeit, dass eine Archivierungsanwendung den "WORM-Commit" über die Netapp-"Snaplock"-Schnittstelle durchführt, indem sie den "Last Access"-Zeitstempel der Datei auf das gewünschte Ablaufdatum setzt und die Datei auf "Read Only" umstellt. Wenn der Administrator dagegen die Funktion "Autocommit" aktiviert, wandelt die Filelock-Software die Dateien automatisch selbst in das WORM-Format um. Die Aufbewahrungsfrist lässt sich bei DLR und SFR jederzeit verlängern, eine Verkürzung ist nicht möglich. Die maximale Aufbewahrungsfrist beträgt formal knapp 10.000 Jahre, die minimale Frist lässt sich auf null Tage setzen. Wenn der WORM-Schutz zeitlich unbefristet greifen soll, wählt der Administrator als Aufbewahrungsregel die Option "Infinite". Über die Funktion "Autocommit Delay" ist es zudem möglich, neue Dateien erst mit Verzögerung in den WORM-Modus umzuwandeln. Es lassen sich Zeiten zwischen null und 100.000 Sekunden einstellen, was knapp 28 Stunden entspricht. Eine verzögerte Aktivierung des WORM-Schutzes kann zum Beispiel sinnvoll sein, wenn in einem Bearbeitungsprozess Rechnungen noch inhaltlich zu überprüfen sind, bevor der Bearbeiter sie revisionssicher ablegt.   Zuverlässiger WORM-Schutz Im LANline-Test haben wir auf dem Windows-2008-Test-Server zwei neue virtuelle Festplatten hinzugefügt und jede Basic Disk als primäre Partition mit NTFS formatiert. Für die erste Partition wählten wir den Root-Level-Modus und konfigurierten eine DLR-Policy mit einer Aufbewahrungsfrist von zwei Tagen. Das Autocommit Delay setzten wir auf null Sekunden, wodurch die WORM-Funktion sofort scharf geschaltet ist. Sobald wir die WORM-Eigenschaften konfiguriert hatten, ließen sich die auf der Partition gespeicherten Dateien zwei Tage lang nicht mehr verändern und auch nicht löschen. Ein Umbenennen sowie ein Ändern der Sicherheitsattribute waren ebenfalls nicht mehr möglich. Auch nachdem die Aufbewahrungsfrist von zwei Tagen abgelaufen war, konnten wir die Dateien und Verzeichnisse - wie vorgesehen - nicht mehr verändern oder umbenennen. Diese ließen sich erwartungsgemäß nur noch vom System löschen. Damit bietet Filelock einen umfassenden WORM-Schutz, der die Anforderungen an eine revisionssichere Speicherung erfüllt. Bei der zweiten Partition aktivierten wir die WORM-Funktion für die erste Verzeichnisebene (1st-Directory-Level-Modus). Dann richteten wir ein Verzeichnis mit einem Tag Aufbewahrungsfrist und DLR-Policy ein. Beim zweiten Verzeichnis wählten wir zwei Tage und SFR als Policy. Ein drittes Verzeichnis deklarierten wir als DLR und versahen es mit unbefristetem WORM-Schutz. Für zwei weitere Verzeichnisse auf der Partition konfigurierten wir keine Aufbewahrungsregeln. Bei den drei WORM-Verzeichnissen griff der Schutz wie vorgesehen. Auch nachdem die von uns konfigurierte Aufbewahrungsfrist abgelaufen war, ließen sich die Dateien nicht mehr verändern und nur noch vom System löschen. Das Verzeichnis mit unbefristetem WORM-Schutz ließ sich erwartungsgemäß nicht löschen. Spezielle Löschverfahren, mit denen sich Dateien unwiederbringlich von der Festplatte entfernen lassen, zählen nicht zum Funktionsumfang von Filelock. In den zwei nicht geschützten Ordnern konnten wir die Dateien wie gewohnt bearbeiten. Die gleichen Tests führten wir mit Partitionen durch, für die der Enhanced Security Mode aktiviert war. Die Verschlüsselung einer Partition mit 9,5 GByte Daten dauerte knapp 16 Minuten. Der ESM-Vorgang lässt sich nicht rückgängig machen. Auch mit ESM-Laufwerken griff der WORM-Schutz entsprechend den von uns konfigurierten Aufbewahrungsregeln. Um zu verhindern, dass jemand den WORM-Schutz durch Manipulation der Systemzeit aushebeln kann, überwacht Filelock die Systemuhr und verlängert automatisch die "Retention Period", sobald die Systemzeit verändert wird. Für den Test der ESM-Funktion deinstallierten wir Filelock und führten einen Reboot durch. Anschließend konnten wir auf den Partitionen ohne ESM-Schutz alle Dateien und Verzeichnisse löschen. Die ESM-Partitionen dagegen zeigten im Explorer keine Daten an, sondern enthielten nur eine Textdatei mit dem Namen "Volume Lock". Nachdem wir Filelock neu installiert hatten, konnten wir wieder auf alle Dateien der ESM-Partitionen zugreifen. Die Zusatzoption ESM bietet also bei Manipulationsversuchen eine deutlich höhere Sicherheit.   WORM-Replikation für hohe Verfügbarkeit Filelock unterstützt auch eine Replikation von einem Quell- auf ein Ziellaufwerk, um für die auf WORM-Partitionen gespeicherten Daten hohe Verfügbarkeitsanforderungen erfüllen zu können. Wenn die primäre WORM-Partition zum Beispiel aufgrund eines Platten- oder Server-Crashes oder größerer Katastrophen nicht mehr verfügbar ist, ist der Zugriff auf die gespeicherten Daten über die WORM-Replicas möglich. Die Replikation sollte der Administrator einrichten, bevor Daten auf das Quelllaufwerk geschrieben werden. Wenn bereits Daten vorhanden sind, ist es erforderlich, diese zunächst manuell auf die Replicas zu kopieren, bevor die automatische Synchronisation beginnen kann. Änderungen an den Quelldaten erkennt Filelock über das Windows USN Journal (Update Sequence Number) und synchronisiert umgehend das Ziellaufwerk. Im Test richteten wir auf dem Windows-Server zwei neue Partitionen mit der gleichen Größe ein und konfigurierten sie als WORM-Laufwerk. Dann öffneten wir bei der Quellpartition über die rechte Maustaste das Replikationsmenü und fügten die zweite Partition als Replikationsziel hinzu. Anschließend erstellten wir auf der Quellpartition ein neues Verzeichnis, konfigurierten die Aufbewahrungsfrist und kopierten Daten in dieses Verzeichnis. Die neuen Dateien wurden von Filelock innerhalb weniger Sekunden automatisch auf die Zielpartition übertragen. Nachdem die Replikation abgeschlossen war, entfernten wir die virtuelle Festplatte mit der Quell-Partition vom Windows-Server und konnten anschließend über die replizierte WORM-Partition nach wie vor auf alle Dateien korrekt zugreifen. Filelock umfasst auch das Kommandozeilen-Tool Filelock FSR, mit dem sich Replikationsaufgaben automatisieren lassen. Für das Backup von WORM-Dateien empfiehlt Grau Data ausschließlich eine Image-Vollsicherung, die sicherstellt, dass die WORM-Dateien im Backup exakt mit den primären Dateien übereinstimmen.   Fazit Mit Filelock lassen sich die Datenpartitionen von Windows-Servern zuverlässig in WORM-Laufwerke umwandeln. Für kleinere Unternehmen, die bestimmte Datenbereiche revisionssicher archivieren müssen, bietet die Software im Vergleich zu Hardwarelösungen wie etwa EMC Centera einen relativ günstigen Ansatz, der einfach zu implementieren ist. Durch die ESM-Verschlüsselungsfunktion bleiben die Dateien auch dann geschützt, wenn sie nicht mehr unter der Verwaltung eines Filelock-Servers stehen. Mit der WORM-to-WORM-Replikation lassen sich auch hohe Verfügbarkeitsanforderungen erfüllen. Der Einstiegspreis für Filelock liegt bei 3.500 Euro für ein WORM-Archiv mit 0,5 TByte Daten. Ein 4 TByte großes Archiv schlägt mit etwa 7.200 Euro zu Buche. Info: Grau Data Tel.: 07171/187-0 Web: www.graudata.com Der Autor auf LANline.de: chjlange