[go: up one dir, main page]

DE102021126869B4 - Berechtigungen für Backup-bezogene Operationen - Google Patents

Berechtigungen für Backup-bezogene Operationen

Info

Publication number
DE102021126869B4
DE102021126869B4 DE102021126869.9A DE102021126869A DE102021126869B4 DE 102021126869 B4 DE102021126869 B4 DE 102021126869B4 DE 102021126869 A DE102021126869 A DE 102021126869A DE 102021126869 B4 DE102021126869 B4 DE 102021126869B4
Authority
DE
Germany
Prior art keywords
backup
token
data
request
telemetry data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
DE102021126869.9A
Other languages
English (en)
Other versions
DE102021126869A1 (de
Inventor
Syama Sundararao Nadiminti
Annmary Justine Koomthanam
Keshetti Mahesh
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hewlett Packard Enterprise Development LP
Original Assignee
Hewlett Packard Enterprise Development LP
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hewlett Packard Enterprise Development LP filed Critical Hewlett Packard Enterprise Development LP
Publication of DE102021126869A1 publication Critical patent/DE102021126869A1/de
Application granted granted Critical
Publication of DE102021126869B4 publication Critical patent/DE102021126869B4/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/14Error detection or correction of the data by redundancy in operation
    • G06F11/1402Saving, restoring, recovering or retrying
    • G06F11/1446Point-in-time backing up or restoration of persistent data
    • G06F11/1458Management of the backup or restore process
    • G06F11/1461Backup scheduling policy
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0853Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • H04L63/1416Event detection, e.g. attack signature detection
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/14Error detection or correction of the data by redundancy in operation
    • G06F11/1402Saving, restoring, recovering or retrying
    • G06F11/1446Point-in-time backing up or restoration of persistent data
    • G06F11/1448Management of the data involved in backup or backup restore
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/14Error detection or correction of the data by redundancy in operation
    • G06F11/1402Saving, restoring, recovering or retrying
    • G06F11/1446Point-in-time backing up or restoration of persistent data
    • G06F11/1458Management of the backup or restore process
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/14Error detection or correction of the data by redundancy in operation
    • G06F11/1402Saving, restoring, recovering or retrying
    • G06F11/1446Point-in-time backing up or restoration of persistent data
    • G06F11/1458Management of the backup or restore process
    • G06F11/1464Management of the backup or restore process for networked environments
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/30Monitoring
    • G06F11/34Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment
    • G06F11/3438Recording or statistical evaluation of computer activity, e.g. of down time, of input/output operation ; Recording or statistical evaluation of user activity, e.g. usability assessment monitoring of user actions
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • G06F2009/45587Isolation or security of virtual machine instances
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • G06F21/33User authentication using certificates
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/56Computer malware detection or handling, e.g. anti-virus arrangements
    • G06F21/566Dynamic detection, i.e. detection performed at run-time, e.g. emulation, suspicious activities
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2201/00Indexing scheme relating to error detection, to error correction, and to monitoring
    • G06F2201/805Real-time
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45558Hypervisor-specific management and integration aspects
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/14Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
    • H04L63/1408Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/60Context-dependent security
    • H04W12/65Environment-dependent, e.g. using captured environmental data

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computing Systems (AREA)
  • Quality & Reliability (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Virology (AREA)
  • Environmental & Geological Engineering (AREA)
  • Storage Device Security (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

Ein System (100), das Folgendes umfasst:
einen Prozessor (102); und
ein nicht-transitorisches computerlesbares Speichermedium (602) mit Anweisungen (106, 108, 110, 112), die auf dem Prozessor (102) ausgeführt werden können, um:
eine Erlaubnisanfrage (212, 306) zu empfangen, um die Durchführung einer Operation in Bezug auf eine Sicherungskopie (208) zu ermöglichen, wobei die Sicherungskopie (208) ersten Gerätedaten (204) entspricht, die in einem ersten Gerät (202) gespeichert sind, und wobei die Sicherungskopie (208) auf einem zweiten Gerät (206) gespeichert werden soll;
als Reaktion auf die Erlaubnisanfrage (212, 306), Telemetriedaten (220, 222, 226) zu analysieren, die von dem ersten Gerät (202) innerhalb einer ersten Zeitspanne relativ zu einem Zeitpunkt des Empfangs der Erlaubnisanfrage (212, 306) empfangen wurden;
zu bestimmen, ob eine Sicherheit des ersten Gerätes auf der Grundlage der Analyse kompromittiert ist;
basierend auf die Feststellung, dass die Sicherheit des ersten Gerätes nicht kompromittiert ist, die Operation in Bezug auf die Sicherungskopie (208) durch Senden eines Tokens (216) vom System (100) an das erste Gerät zu ermöglichen, wobei das Token (216) einen Namen der ersten Gerätedaten (204) oder der Sicherungskopie (208) umfasst und das Token (216) die Operation in Bezug auf die Sicherungskopie (208) angibt, die erlaubt ist;
vom System (100) des zweiten Geräts (206) das Token (216) zu empfangen, das vom ersten Gerät (202) als Teil einer Leistungsanforderung von dem ersten Gerät (202) gesendet wurde, um die Operation in Bezug auf die Sicherungskopie (208) auszuführen, wobei das Token (216) von dem zweiten Gerät (206) Teil einer Authentifizierungsanforderung ist, die das System (100) auffordert, zu überprüfen, ob das Token (216) gültig ist, und die Authentifizierungsanforderung von dem zweiten Gerät (206) an das System (100) auf der Grundlage einer Feststellung, dass die Leistungsanforderung von dem ersten Gerät (202) mit dem Token (216) konsistent ist, an dem zweiten Gerät (206) gesendet wird;
das von dem zweiten Gerät (206) empfangene Token (216) im System (100) zu validieren; und
basierend auf die Validierung des Tokens (216), eine Antwort (314) vom System (100) zu senden, die anzeigt, dass das Token (216) authentisch ist, um die Durchführung der Operation in Bezug auf die Sicherungskopie (208) durch das zweite Gerät (206) zu ermöglichen.

Description

  • HINTERGRUND
  • In einem Computer gespeicherte Daten können aus verschiedenen Gründen unbrauchbar werden, z. B. durch Löschung oder Beschädigung der Daten. Um zu verhindern, dass die Daten aufgrund der Nichtverwendbarkeit gänzlich verloren gehen, kann eine Sicherungskopie der Daten verwendet werden, um die Daten in dem Computergerät wiederherzustellen. Die Sicherungskopie kann fern von der Datenverarbeitungsanlage gespeichert werden, z. B. auf einem Cloud-Speichergerät. US 2020 / 0 057 697 A1 beschreibt Verfahren zur Optimierung absturzsicherer Backup-Replikation. Der Artikel von KAUR Prabhjeet et al. mit dem Titel „Secure VM Backup and VulnerabilityRemoval in Infrastructure Clouds", der in den „Proceedings of the 2014 International Conference on Advances in Computing, Communications and Informatics (ICACCI) 2014“ veröffentlicht wurde, die vom 24. bis 27. September 2014 in Delhi, Indien, stattfand (ISBN 978-1-4799-3079-1. DOI: 10.1109/ICACCI.2014.6968311) beschreibt ein VM-SAVER-Framework mit einem flexiblen und skalierbaren Backup- und Wiederherstellungssystem für virtuelle Maschinen. US 2018/0285207 A1 beschreibt ein System zur Bereitstellung eines virtuellen netzwerkzugänglichen Ordners, der gesicherte Dateien für Benutzer direkt verfügbar macht, ohne die Dateien tatsächlich in den Ordner selbst zu migrieren. US 2018 / 0 373 877 A1 beschreibt ein System zur proaktiven Überwachung und Erkennung von Anomalien in Cloud-gehosteten Benutzerdaten, um eine mehrstufige Quarantäne des gesamten Benutzerdatenbereichs und nicht nur einzelner Dateien auszulösen. DE 10 2020 101 084 A1 beschreibt ein System zur Verbesserung der Sicherheit und Ausfallsicherheit in Multi-Node-Computing-Plattformen durch eine Kombination aus diverser Ausführung, Anomalieerkennung und dynamischen Umgebungsänderungen. Es ist eine Aufgabe der Erfindung ein System, ein Verfahren und ein nicht-transitorisches computerlesbares Medium zur sicheren Verwaltung von Sicherungsoperationen vorzuschlagen. Diese Aufgabe wird durch ein erfindungsgemäßes System nach Anspruch 1, ein erfindungsgemäßes Verfahren nach Anspruch 7 und ein erfindungsgemäßes, nicht-transitorisches, computerlesbares Medium nach Anspruch 15 gelöst.
  • KURZBESCHREIBUNG DER ZEICHNUNGEN
  • Die folgende detaillierte Beschreibung bezieht sich auf die Figuren, in denen:
    • 1 zeigt ein System, das die Durchführung von Backup-Vorgängen ermöglicht, gemäß einer Beispielimplementierung des vorliegenden Gegenstands;
    • 2 zeigt eine Netzwerkumgebung, in der ein System implementiert ist, das die Durchführung von Sicherungsvorgängen gemäß einer Beispielimplementierung des vorliegenden Gegenstands ermöglicht;
    • 3 zeigt eine Netzwerkumgebung, die die Überprüfung der Sicherheit eines ersten Geräts implementiert, um die Durchführung von Backup-bezogenen Operationen zu ermöglichen, gemäß einer Beispielimplementierung des vorliegenden Gegenstands;
    • 4 zeigt ein Verfahren zur Durchführung von Sicherungsvorgängen gemäß einer Beispielimplementierung des vorliegenden Gegenstands;
    • 5 veranschaulicht ein Verfahren zur Durchführung von Backup-bezogenen Operationen gemäß einer Beispielimplementierung des vorliegenden Gegenstands; und
    • 6 zeigt eine Computerumgebung, die ein nicht-transitorisches computerlesbares Medium implementiert, um die Durchführung von Backup-bezogenen Operationen zu ermöglichen, gemäß einer Beispielimplementierung des vorliegenden Gegenstands.
  • DETAILLIERTE BESCHREIBUNG
  • Auf einem Computergerät gespeicherte Daten können beispielsweise durch das Vorhandensein von Malware auf dem Computergerät unbrauchbar gemacht werden. Ransomware, eine Art von Malware, verschlüsselt beispielsweise Dateien auf dem Computergerät und hindert den Benutzer so an der Nutzung der Dateien. Ein Schlüssel zum Entschlüsseln der Dateien kann dem Benutzer gegen Zahlung eines Lösegelds zur Verfügung gestellt werden.
  • Eine Sicherungskopie der Daten kann zur Wiederherstellung der Daten verwendet werden, wenn die Daten unbrauchbar werden. In manchen Fällen kann jedoch auch die Sicherungskopie unbrauchbar werden. Dies kann z. B. der Fall sein, wenn sich die Schadsoftware während der Ausführung von Sicherungsvorgängen auf die Sicherungskopie ausbreitet und diese unbrauchbar macht, z. B. durch Veränderung oder Löschung der Sicherungskopie.
  • Der vorliegende Gegenstand bezieht sich auf Berechtigungen für Backup-bezogene Operationen. Mit den Implementierungen des vorliegenden Themas kann verhindert werden, dass Sicherungskopien aufgrund von Malware-Angriffen unbrauchbar werden.
  • Gemäß einer Beispielimplementierung kann eine Anforderung empfangen werden, um die Durchführung eines Vorgangs im Zusammenhang mit einer Sicherungskopie zu ermöglichen. Ein Vorgang, der sich auf eine Sicherungskopie bezieht, kann auch als sicherungsbezogener Vorgang bezeichnet werden und kann beispielsweise die Erstellung, Änderung oder Löschung der Sicherungskopie umfassen. Die Sicherungskopie kann ersten Gerätedaten entsprechen, die in einem ersten Gerät gespeichert sind. Außerdem kann die Sicherungskopie in einem zweiten Gerät gespeichert sein. In einem Beispiel können sich die ersten Gerätedaten auf eine virtuelle Maschine (VM) beziehen, die auf dem ersten Gerät gehostet wird, und die Sicherungskopie kann ein VM-Abbild sein, von dem die VM wiederhergestellt werden kann.
  • Als Reaktion auf den Empfang der Anfrage werden die vom ersten Gerät empfangenen Telemetriedaten analysiert. Die Telemetriedaten können Informationen über die auf dem ersten Gerät durchgeführten Operationen enthalten. Die Telemetriedaten können beispielsweise Informationen über durchgeführte Anmeldeversuche, die Anzahl der Dateiverschlüsselungen, die Anzahl der Dateilöschungen, die Auslastungsparameter der Hardwarekomponenten des ersten Geräts (bei den Hardwarekomponenten kann es sich beispielsweise um den Prozessor, den Arbeitsspeicher und den Speicher handeln) oder eine beliebige Kombination der vorgenannten Parameter enthalten. In einem Beispiel werden Telemetriedaten analysiert, die innerhalb eines bestimmten Zeitraums in Bezug auf den Zeitpunkt des Eingangs der Anforderung empfangen wurden. Beispielsweise werden Telemetriedaten, die innerhalb eines ersten Zeitraums vor dem Zeitpunkt des Empfangs der Anforderung empfangen wurden, Telemetriedaten, die innerhalb eines zweiten Zeitraums nach dem Zeitpunkt des Empfangs der Anforderung empfangen wurden, oder beide analysiert. In einem Beispiel kann die Analyse der Telemetriedaten von einem System durchgeführt werden, das die Telemetriedaten von dem ersten Gerät periodisch empfängt, um das Auftreten eines Fehlers in dem ersten Gerät zu identifizieren oder vorherzusagen.
  • Auf der Grundlage der Analyse wird festgestellt, ob die Sicherheit des ersten Geräts gefährdet ist. Die Sicherheit des ersten Geräts kann beispielsweise dann als gefährdet angesehen werden, wenn die Anzahl der Anmeldeversuche in einem bestimmten Zeitraum größer ist als die durchschnittliche Anzahl der Anmeldeversuche. Wenn festgestellt wird, dass die Sicherheit des ersten Geräts nicht gefährdet ist, kann der Backup-Vorgang durchgeführt werden. Um die Durchführung zu ermöglichen, kann in einem Beispiel ein Token, das die Erlaubnis erteilt, an das erste Gerät übertragen werden, das das Token an das zweite Gerät senden kann. Basierend auf dem Token kann das zweite Gerät den Sicherungsvorgang durchführen. Wenn festgestellt wird, dass die Sicherheit des ersten Geräts gefährdet ist, wird die Anforderung zur Durchführung des Sicherungsvorgangs abgelehnt.
  • Um festzustellen, ob die Sicherheit des ersten Geräts nicht beeinträchtigt wurde, kann in einem Beispiel neben der Analyse der Telemetriedaten auch eine auf einem sicheren Handshake basierende Überprüfung verwendet werden. Um die auf einem sicheren Handshake basierende Überprüfung durchzuführen, kann das System, das die Telemetriedaten analysiert, auch versuchen, einen sicheren Handshake mit dem ersten Gerät herzustellen. Als Reaktion auf den Aufbau des sicheren Handshakes kann das System feststellen, dass die Sicherheit des ersten Geräts nicht beeinträchtigt ist.
  • Der vorliegende Gegenstand kann den Verlust oder die Nichtverwendbarkeit einer Sicherungskopie aufgrund von Malware-Angriffen auf ein Computergerät verhindern, das übergeordnete Daten speichert, d. h. die Daten, denen die Sicherungskopie entspricht. Auf diese Weise können die Sicherungskopien gegen Malware-Angriffe auf die Computergeräte, die die übergeordneten Daten speichern, immun gemacht werden. Der vorliegende Gegenstand nutzt Telemetriedaten eines Computergeräts, das eine Anforderung für den Sicherungsvorgang sendet, um festzustellen, ob die Sicherheit des Computergeräts beeinträchtigt ist. So kann der vorliegende Gegenstand eine einfachere und effizientere Bestimmung der Sicherheit des Computergeräts ermöglichen. Darüber hinaus kann der vorliegende Gegenstand die Telemetriedaten, die bereits von dem Computergerät empfangen werden, zur Identifizierung und Vorhersage von Fehlern nutzen. Daher müssen von der Datenverarbeitungsanlage nur wenige oder gar keine zusätzlichen Daten für die Umsetzung des vorliegenden Gegenstands bereitgestellt werden.
  • Die folgende Beschreibung bezieht sich auf die beigefügten Zeichnungen. Wo immer möglich, werden in den Zeichnungen und in der folgenden Beschreibung dieselben Referenznummern verwendet, um auf gleiche oder ähnliche Teile zu verweisen. In der Beschreibung werden zwar mehrere Beispiele genannt, doch sind Änderungen, Anpassungen und andere Ausführungen möglich und sollen hier behandelt werden.
  • 1 zeigt ein System 100, das die Durchführung von Vorgängen im Zusammenhang mit Sicherungskopien gemäß einer Beispielimplementierung des vorliegenden Gegenstands ermöglicht. Das System 100 kann als Computergerät implementiert werden, wie z. B. ein Desktop-Computer, ein Laptop-Computer, ein Server oder dergleichen. Das System 100 umfasst einen Prozessor 102 und einen mit dem Prozessor 102 verbundenen Speicher 104.
  • Der Prozessor 102 kann als Mikroprozessor, Mikrocomputer, Mikrocontroller, digitaler Signalprozessor, zentrale Verarbeitungseinheit, Zustandsmaschine, logische Schaltung und/oder beliebiges Gerät implementiert werden, das Signale auf der Grundlage von Betriebsanweisungen manipulieren kann. Neben anderen Fähigkeiten kann der Prozessor 102 computerlesbare Anweisungen, die im Speicher 104 enthalten sind, abrufen und ausführen. Die computerlesbaren Anweisungen können die Anweisungen 10-1126 enthalten. Die Funktionen des Prozessors 102 können sowohl durch den Einsatz spezieller Hardware als auch durch Hardware, die maschinenlesbare Befehle ausführen kann, bereitgestellt werden.
  • Der Speicher 104 kann ein beliebiges nichttransitorisches computerlesbares Medium umfassen, einschließlich flüchtiger Speicher (z. B. RAM) und/oder nichtflüchtiger Speicher (z. B. EPROM, Flash-Speicher, Memristor usw.). Der Speicher 104 kann auch eine externe Speichereinheit sein, z. B. ein Flash-Laufwerk, ein Compact-Disk-Laufwerk, ein externes Festplattenlaufwerk oder ähnliches.
  • Neben dem Prozessor 102 und dem Speicher 104 kann das System 100 auch eine oder mehrere Schnittstellen und Systemdaten enthalten (in 1 nicht dargestellt). Die Schnittstelle(n) kann/können eine Vielzahl von anweisungsbasierten Schnittstellen und Hardwareschnittstellen umfassen, die die Interaktion mit einem Benutzer und mit anderen Kommunikations- und Rechengeräten, wie z. B. Netzwerkeinheiten, Webservern und externen Repositories, sowie Peripheriegeräten ermöglichen. Die Systemdaten können als Speicher für Daten dienen, die von den Anweisungen abgerufen, verarbeitet, empfangen oder erstellt werden können.
  • Im Betrieb sind die Anweisungen 106 ausführbar, um eine Anforderung zu empfangen, die die Durchführung eines Vorgangs in Bezug auf eine Sicherungskopie ermöglicht. Ein Vorgang, der sich auf eine Sicherungskopie bezieht, kann auch als sicherungsbezogener Vorgang bezeichnet werden und kann z. B. ein Vorgang zur Erstellung einer Sicherungskopie, ein Vorgang zur Änderung einer Sicherungskopie oder ein Vorgang zum Löschen einer Sicherungskopie sein. Die Anfrage kann auch als Genehmigungsanfrage bezeichnet werden. Die Sicherungskopie kann ersten Gerätedaten entsprechen, die in einem ersten Gerät gespeichert sind (in 1 nicht dargestellt). Die Sicherungskopie kann zum Beispiel eine exakte Kopie der Daten des ersten Geräts sein. Die Sicherungskopie kann in einem zweiten Gerät gespeichert sein (in 1 nicht dargestellt). In einem Beispiel können die Daten des ersten Geräts und die Sicherungskopie Daten enthalten, die dem ersten Gerät entsprechen. Ferner kann die Sicherungskopie ein Abbild sein, mit dem das erste Gerät in seinen Betriebszustand zurückversetzt werden kann. Beispielsweise können die Daten des ersten Geräts und die Sicherungskopie Daten enthalten, die einer virtuellen Maschine (VM) entsprechen, die auf dem ersten Gerät gehostet wird. Die der VM entsprechenden Daten können beispielsweise Dateien, Ordner, Anwendungen und das Betriebssystem (OS) der VM umfassen. Dementsprechend kann die Sicherungskopie ein VM-Image sein, aus dem die VM instanziiert werden kann. Die Erlaubnisanfrage kann von der ersten Vorrichtung an das System 100 gesendet werden.
  • Als Reaktion auf die Anforderung werden die vom ersten Gerät empfangenen Telemetriedaten analysiert. In einem Beispiel können die Telemetriedaten die auf dem ersten Gerät durchgeführten Operationen, die Auslastungsinformationen der Hardwarekomponenten des ersten Geräts, die Anzahl der gelesenen Daten des ersten Geräts, die Anzahl der geschriebenen Daten des ersten Geräts, die Anzahl der fehlgeschlagenen Versuche, eine sicherungsbezogene Operation durchzuführen, eine Sicherungsrichtlinie oder eine Kombination davon anzeigen. Die Daten können zum Beispiel die Daten des ersten Geräts enthalten. Bei den auf dem ersten Gerät durchgeführten Operationen kann es sich beispielsweise um eine Anzahl von Anmeldeversuchen, eine Anzahl von Dateiverschlüsselungen, eine Anzahl von Dateiänderungen, eine Anzahl von Dateilöschungen oder eine Kombination davon handeln. Die Informationen über die Auslastung der Hardwarekomponenten können beispielsweise die Auslastung eines Prozessors des ersten Geräts, die Auslastung eines Speichers des ersten Geräts, die Eingabe-/Ausgabeoperationen pro Sekunde (IOPS) eines Speichers des ersten Geräts oder eine Kombination davon umfassen. Der Lesezähler der Daten und der Schreibzähler der Daten gibt an, wie oft die Daten gelesen bzw. geschrieben wurden. Die Anzahl der fehlgeschlagenen Versuche, einen sicherungsbezogenen Vorgang durchzuführen, hilft bei der Verfolgung zuvor identifizierter Sicherungsprobleme. Ein Versuch, einen sicherheitsrelevanten Vorgang durchzuführen, kann beispielsweise fehlgeschlagen sein, wenn die Sicherheit des ersten Geräts beeinträchtigt wurde, wie später noch erläutert wird. Eine Sicherungsrichtlinie des ersten Geräts kann eine Häufigkeit der Sicherungserstellung (d. h., wie oft eine Sicherungskopie erstellt werden soll), eine Sicherungsaufbewahrungsdauer (d. h., wie lange eine Sicherungskopie aufbewahrt werden soll) und ein Sicherungsziel (d. h., wo eine Sicherungskopie gespeichert werden soll) angeben. In einem Beispiel können die Telemetriedaten anstelle der Sicherungsrichtlinie eine Kennung der Sicherungsrichtlinie enthalten. Außerdem kann das System 100 die Sicherungsrichtlinie und die Kennung gespeichert haben. Dementsprechend kann das System 100 beim Empfang der Kennung als Teil der Telemetriedaten die Sicherungsrichtlinie abrufen und analysieren.
  • In einem Beispiel kann das System 100 Telemetriedaten analysieren, die innerhalb eines ersten Zeitraums (auch als „erster Zeitraum“ bezeichnet) empfangen werden. Der erste Zeitraum kann relativ zu einem Zeitpunkt definiert werden, zu dem die Anfrage empfangen wird. So kann das System 100 beispielsweise Telemetriedaten analysieren, die innerhalb eines ersten Zeitraums vor dem Eingang der Anfrage empfangen wurden. Anstelle oder zusätzlich zur Analyse der Telemetriedaten, die in der ersten Zeitspanne vor dem Empfang der Anforderung empfangen wurden, kann das System 100 Telemetriedaten analysieren, die in einer zweiten Zeitspanne nach dem Empfang der Anforderung empfangen wurden. Die Analyse der Telemetriedaten kann durchgeführt werden, wenn die Anweisungen 108 ausgeführt werden.
  • Anhand der Analyse wird festgestellt, ob die Sicherheit des ersten Geräts beeinträchtigt ist. Die Sicherheit des ersten Geräts kann z. B. durch einen Malware-Angriff beeinträchtigt sein. Die Bestimmung der Sicherheit des ersten Geräts wird bei der Ausführung der Anweisungen 110 durchgeführt. Wenn festgestellt wird, dass die Sicherheit des ersten Geräts nicht beeinträchtigt ist, wird eine Erlaubnis für die Durchführung des Sicherungsvorgangs erteilt. Um die Erlaubnis zu erteilen, kann das System 100 ein Token, das die Erlaubnis anzeigt, an das erste Gerät übertragen. Die Erlaubnis kann erteilt werden, wenn die Anweisungen 112 ausgeführt werden.
  • 2 zeigt eine Netzwerkumgebung 200, in der das System 100 implementiert ist, um die Durchführung von Backup-Vorgängen zu ermöglichen, gemäß einer Beispielimplementierung des vorliegenden Gegenstands. Die Netzwerkumgebung 200 umfasst ein erstes Gerät 202. In einem Beispiel kann das erste Gerät 202 ein Server-Computer sein. In einem anderen Beispiel kann das erste Gerät 202 ein hyperkonvergentes Infrastrukturgerät sein, in dem Rechen-, Speicher- und Netzwerkfunktionen integriert sind. Das erste Gerät 202 kann in einem Rechenzentrum oder an einem entfernten Standort, z. B. auf einer Bohrinsel, bereitgestellt werden. Auf dem ersten Gerät 202 können erste Gerätedaten 204 gespeichert sein. Die ersten Gerätedaten 204 können Dateien, Ordner oder Ähnliches enthalten. In einem Beispiel können die ersten Gerätedaten 204 Daten sein, die einer VM (in 2 nicht dargestellt) entsprechen, die auf dem ersten Gerät 202 gehostet wird. In einem anderen Beispiel können die ersten Gerätedaten 204 Daten sein, die dem ersten Gerät 202 entsprechen.
  • Die Netzwerkumgebung 200 umfasst auch ein zweites Gerät 206, das Sicherungskopien der in anderen Geräten gespeicherten übergeordneten Daten speichern soll. So kann das zweite Gerät 206 beispielsweise eine Sicherungskopie 208 speichern, die den Daten des ersten Geräts 204 entspricht. Die Sicherungskopie 208 kann eine Kopie, eine Replik, ein Abbild oder Ähnliches der ersten Gerätedaten 204 enthalten. In einem Beispiel kann die Sicherungskopie 208 ein Abbild der VM sein, die in der ersten Vorrichtung 202 gehostet wird und von der die VM wiederhergestellt werden kann, oder sie kann ein Abbild sein, von dem die erste Vorrichtung 202 wiederhergestellt werden kann. Das zweite Gerät 206 kann einen (in 2 nicht dargestellten) Speicher, z. B. eine Festplatte oder eine Solid-State-Disk (SSD), zum Speichern der Sicherungskopien enthalten. In einem Beispiel kann das erste Gerät 202 ein Randgerät und das zweite Gerät 206 ein dem Randgerät entsprechendes Kerngerät sein. Ein Kerngerät, das mit einem Randgerät korrespondiert, kann sich auf ein Gerät beziehen, das Daten vom Randgerät zur weiteren Verarbeitung empfangen kann, das das Randgerät anweisen kann, eine Rechenaufgabe auszuführen, oder beides. Das Kerngerät kann im Vergleich zum Randgerät über mehr Speicherkapazität verfügen und daher Sicherungskopien des Randgeräts speichern.
  • Die ersten Gerätedaten 204 können im ersten Gerät 202 aus der Sicherungskopie 208 wiederhergestellt werden, wenn die ersten Gerätedaten 204 unbrauchbar werden. Die Nichtverwendbarkeit der ersten Gerätedaten 204 kann beispielsweise auf eine Beschädigung eines Speichers (in 2 nicht dargestellt) des ersten Geräts 202, ein versehentliches Löschen oder Ähnliches zurückzuführen sein. Die Nichtverwendbarkeit kann auch auf eine Beeinträchtigung der Sicherheit der ersten Vorrichtung 202 zurückzuführen sein. Zum Beispiel kann das erste Gerät 202 von einer Ransomware infiziert werden, die eine Verschlüsselung der Daten auf dem ersten Gerät 202 verursacht. In einigen Fällen kann sich die Sicherheitsbeeinträchtigung des ersten Geräts 202 auch auf die Sicherungskopie 208 auswirken. Zum Beispiel kann die Ransomware, die das erste Gerät 202 infiziert hat, die Löschung der Sicherungskopie 208 verursachen. Die Ransomware kann auch eine Änderung der Sicherungskopie 208 bewirken, z. B. durch Löschen von Teilen der Sicherungskopie 208, Verschlüsselung der Sicherungskopie 208 oder Änderung der Metadaten der Sicherungskopie 208, so dass die Daten des ersten Geräts 204 nicht aus der Sicherungskopie 208 wiederhergestellt werden können. Die Ransomware kann auch die Erstellung einer verschlüsselten Sicherungskopie auf dem zweiten Gerät 206 veranlassen, indem sie das zweite Gerät 206 anweist, die verschlüsselte Sicherungskopie zu speichern. Der Schlüssel für die Verschlüsselung kann den Urhebern der Ransomware bekannt sein, nicht aber einem Benutzer des ersten Geräts 202. Daher macht die Verschlüsselung die Sicherungskopie unbrauchbar. Die Ransomware kann auch dazu führen, dass eine neue Sicherungskopie erstellt wird, die eine unbeschädigte Sicherungskopie, wie die Sicherungskopie 208, ersetzt (und somit löscht).
  • Um das Löschen, Ändern oder Ersetzen der Sicherungskopie 208 aufgrund einer Beeinträchtigung der Sicherheit des ersten Geräts 202 zu verhindern, enthält das erste Gerät 202 beispielsweise eine Backup-Handling-Engine 209. In einem Beispiel kann die Backup-Handling-Engine 209 von einem Prozessor des ersten Geräts 202 implementiert werden, indem ein Satz von Anweisungen ausgeführt wird (in 2 nicht dargestellt). Die Backup-Handhabungs-Engine 209 empfängt eine Anforderung zur Durchführung einer Backup-bezogenen Operation. Die Backup-Handhabungs-Engine 209 kann die Anforderung bezüglich des Backup-bezogenen Vorgangs beispielsweise von einem Benutzer der ersten Vorrichtung 202 oder einer Speicherverwaltungsvorrichtung 210 erhalten, die die Speicherung von Sicherungskopien verwaltet, die den Daten in der ersten Vorrichtung 202 entsprechen. Im letzteren Fall kann die Speicherverwaltungsvorrichtung 21 die Anforderung beispielsweise auf der Grundlage einer Sicherungsrichtlinie oder einer Anweisung eines Speicheradministrators senden. Im Falle eines Malware-Angriffs auf das erste Gerät 202 kann die Anforderung an die Backup-Handling-Engine 209 beispielsweise von der Malware gesendet werden.
  • In einem Beispiel kann die Anfrage einen auszuführenden Sicherungsvorgang angeben. In der Anfrage kann auch der Name der Gerätedaten oder der Sicherungskopie angegeben werden, die dem sicherungsbezogenen Vorgang entspricht. So kann die Anforderung beispielsweise angeben, dass eine neue Sicherungskopie der ersten Gerätedaten 204 erstellt oder die Sicherungskopie 208 gelöscht werden soll. Nach dem Empfang der Anforderung sendet die Backup-Handling-Engine 209 eine Genehmigungsanforderung an das System 100, um die Durchführung des sicherungsbezogenen Vorgangs zu ermöglichen. In einem Beispiel kann die Erlaubnisanfrage 212 den auszuführenden sicherungsbezogenen Vorgang spezifizieren und den Namen der Gerätedaten oder der Sicherungskopie angeben, d.h. die ersten Gerätedaten 204 bzw. die Sicherungskopie 208 oder beide entsprechend dem sicherungsbezogenen Vorgang. Durch das Senden einer Erlaubnisanfrage an das System 100 als Antwort auf jede empfangene Anfrage kann die Backup-Handling-Engine 209 die Ausführung einer bösartigen Anfrage verhindern, die von einer Malware erzeugt wird. In einem anderen Beispiel kann die Erlaubnisanfrage 212 von dem zweiten Gerät 206 gesendet werden. Das zweite Gerät 206 kann die Genehmigungsanfrage 212 als Reaktion auf den Empfang einer Anfrage zur Durchführung eines sicherheitsbezogenen Vorgangs von der Backup-Handling-Engine 209 senden. Die Genehmigungsanfrage 212 kann als der ersten Vorrichtung 202 entsprechend bezeichnet werden, da die erste Vorrichtung 202 die übergeordneten Daten der Sicherungskopie speichert, der die Genehmigungsanfrage 212 entspricht.
  • Nach dem Empfang der Erlaubnisanfrage 212 kann das System 100 feststellen, ob die Sicherheit des ersten Geräts 202 (das Gerät, das der Erlaubnisanfrage entspricht 212) gefährdet ist. Die Feststellung, ob die Sicherheit des ersten Geräts 202 gefährdet ist, kann auch als Verifizierung der Sicherheit des ersten Geräts 202 bezeichnet werden.
  • Das System 100 umfasst eine Backup-Schutz-Engine 213, die Erlaubnisanforderungen, wie die Erlaubnisanforderung 212, von Computergeräten, wie dem ersten Gerät 202, empfängt und die Erlaubnisanforderungen in eine Warteschlange stellt. Darüber hinaus veranlasst die Backup-Schutz-Engine 213 eine Analyse-Engine 214, die Sicherheit eines Geräts zu überprüfen, das jeder in der Warteschlange stehenden Berechtigungsanforderung entspricht. In einem Beispiel können die Backup-Schutz-Engine 213 und die Analyse-Engine 214 jeweils durch den Prozessor 102 implementiert werden, indem ein Satz von Anweisungen ausgeführt wird (in 2 nicht dargestellt).
  • Um die Sicherheit des ersten Geräts 202 zu überprüfen, kann die Analyse-Engine 214 die vom ersten Gerät 202 gesendeten Telemetriedaten verwenden. Die in den Telemetriedaten enthaltenen Informationen können verwendet werden, um zu überprüfen, ob das erste Gerät 202 einem Malware-Angriff ausgesetzt ist. Beispielsweise kann die Anzahl der Anmeldeversuche, die Teil der Telemetriedaten sein kann, die Anzahl der erfolgreichen und erfolglosen Anmeldeversuche beim ersten Gerät 202 in einem bestimmten Zeitraum anzeigen. Eine hohe Anzahl erfolgloser Anmeldeversuche innerhalb eines kurzen Zeitraums kann auf einen unbefugten Versuch hinweisen, in das erste Gerät 202 einzudringen. Eine hohe Anzahl von Dateiverschlüsselungen innerhalb eines kurzen Zeitraums kann auf Ransomware-Aktivitäten auf dem ersten Gerät 202 hinweisen. Ebenso können eine große Anzahl von Dateiveränderungen oder - löschungen, eine hohe Auslastung der Hardwarekomponenten, eine große Anzahl von Lese- oder Schreibvorgängen von Daten oder eine große Anzahl von fehlgeschlagenen Versuchen, einen sicherungsbezogenen Vorgang durchzuführen, auf Ransomware-Aktivitäten hinweisen. Darüber hinaus kann eine neue Sicherungsrichtlinie, die Teil der Telemetriedaten sein kann, die eine reduzierte Sicherungsaufbewahrungszeit oder eine erhöhte Häufigkeit der Sicherungserstellung anzeigt, ebenfalls auf Ransomware-Aktivitäten hinweisen. Dementsprechend kann die Analyse-Engine 214 basierend auf der Analyse der Telemetriedaten die Sicherheit des ersten Geräts 202 überprüfen.
  • In einem Beispiel umfasst die Analyse der Telemetriedaten den Vergleich eines tatsächlichen Parameterwerts, der als Teil der Telemetriedaten empfangen wird, mit einem erwarteten Parameterwert. Der erwartete Parameterwert kann ein vordefinierter Bereich oder Wert sein, den ein entsprechender Teil der Telemetriedaten erfüllen sollte, wenn die Sicherheit des ersten Geräts 202 nicht beeinträchtigt ist. Weicht beispielsweise der tatsächliche Parameterwert erheblich von dem erwarteten Parameterwert ab, kann festgestellt werden, dass die Sicherheit des ersten Geräts 202 gefährdet ist. Der erwartete Parameterwert kann z. B. von einem Benutzer bereitgestellt oder von der Analyse-Engine 214 ermittelt werden.
  • Um die Sicherheit des ersten Geräts 202 anhand der Telemetriedaten zu überprüfen, kann die Analyse-Engine 214 in einem Beispiel maschinelle Lerntechniken verwenden, wie z. B. ein lineares ARIMA-Regressionsmodell (Auto Regressive Integrated Moving Average), das Anomalien in den empfangenen Daten erkennen kann. Das Analyseprogramm 214 kann die Parameter der in der Vergangenheit empfangenen Telemetriedaten überwachen und einen erwarteten Parameterwert vorhersagen, den ein entsprechender Teil der Telemetriedaten erfüllen sollte. Das Analysegerät 214 kann auch den erwarteten Parameterwert mit einem entsprechenden tatsächlichen Parameterwert vergleichen, der als Teil der Telemetriedaten empfangen wurde. Wenn der in den Telemetriedaten empfangene tatsächliche Parameterwert erheblich von dem erwarteten Parameterwert abweicht (z. B. wenn die Differenz zwischen dem tatsächlichen Parameterwert und dem erwarteten Parameterwert einen Schwellenwert überschreitet), kann das Analyseprogramm 214 feststellen, dass die Sicherheit des ersten Geräts 202 beeinträchtigt ist. Wenn beispielsweise die tatsächliche Anzahl der Anmeldeversuche deutlich höher ist als die erwartete Anzahl der Anmeldeversuche, kann die Sicherheit des ersten Geräts 202 als gefährdet eingestuft werden. Die Analyse-Engine 214 kann auch die Telemetriedaten, die während des vorherigen Auftretens eines Malware-Angriffs empfangen wurden, mit den aktuellen Telemetriedaten vergleichen. Wenn die beiden Sätze von Telemetriedaten ähnlich sind (z. B. wenn der Unterschied zwischen den Parameterwerten der beiden Sätze von Telemetriedaten kleiner als ein Schwellenwert ist), kann das Analysegerät 214 feststellen, dass die Sicherheit des ersten Geräts 202 beeinträchtigt wurde. In einem Beispiel kann die Analyse-Engine 214 die in den Telemetriedaten empfangene Sicherungsrichtlinie mit den vergangenen Telemetriedaten vergleichen, um eine verdächtige Änderung der Sicherungsrichtlinie zu identifizieren, wie z. B. eine Verringerung der Sicherungsaufbewahrungsdauer oder eine Erhöhung der Häufigkeit der Sicherungserstellung.
  • Wie bereits erwähnt, können die Telemetriedaten den Zählerstand der gelesenen und geschriebenen Daten enthalten. In einem Beispiel kann das System 100 den Lese- und Schreibzählwert der Daten analysieren, die der Erlaubnisanfrage212 entsprechen, und den Lese- und Schreibzählwert der anderen Daten nicht analysieren. Da die Erlaubnisanforderung 212 beispielsweise den ersten Gerätedaten 204 entspricht, kann das System 100 die Lese- und Schreibzählung der ersten Gerätedaten 204 analysieren und die Lese- und Schreibzählungen der anderen Daten nicht analysieren. Auf diese Weise wird eine verschwenderische Analyse der anderen Lese- und Schreibzählungen vermieden.
  • Nachdem die Analyse-Engine 214 die Sicherheit des ersten Geräts 202 anhand der Telemetriedaten überprüft hat, kann sie das Ergebnis der Analyse an die Backup-Schutz-Engine 213 weiterleiten. Auf der Grundlage des Ergebnisses kann die Backup-Schutz-Engine 213 die Ausführung der Backup-bezogenen Operation erlauben. Wenn beispielsweise festgestellt wird, dass die Sicherheit des ersten Geräts 202 nicht gefährdet ist, kann die Backup-Schutz-Engine 213 dem ersten Gerät 202 die Erlaubnis erteilen, den mit der Datensicherung verbundenen Vorgang durchzuführen, indem sie beispielsweise ein Token 216 an das erste Gerät 202 sendet. Wenn die Sicherheit des ersten Geräts 202 gefährdet ist, kann die Backup-Schutz-Engine 213 die Erlaubnis verweigern, den Backup-Vorgang durchzuführen, indem sie beispielsweise das Token 216 nicht sendet und/oder eine Verweigerungsnachricht (in 2 nicht dargestellt) sendet.
  • In einem Beispiel kann das Token 216 den sicherungsbezogenen Vorgang angeben, für den die Erlaubnis erteilt wird, und den Namen der ersten Gerätedaten 204 und/oder der Sicherungskopie 208 angeben, für die der sicherungsbezogene Vorgang durchgeführt werden soll. Beispielsweise kann das Token 216 anzeigen, dass die Erlaubnis zum Erstellen einer neuen Sicherungskopie der ersten Gerätedaten 204 oder zum Löschen der Sicherungskopie 208 erteilt wurde. Die Einzelheiten des sicherungsbezogenen Vorgangs und der Gerätedaten/Sicherungskopie, die im Token 216 angegeben werden sollen, können der Erlaubnisanfrage 212 entnommen werden.
  • Nach dem Empfang des Tokens 216 kann das erste Gerät 202 eine Leistungsanforderung 218 an das zweite Gerät 206 senden, um den sicherungsbezogenen Vorgang durchzuführen. Die Leistungsanforderung 218 kann Einzelheiten des sicherungsbezogenen Vorgangs enthalten, z. B. eine neue Sicherungskopie, die im zweiten Gerät 206 gespeichert werden soll, Änderungen, die an der Sicherungskopie 208 vorgenommen werden sollen, oder eine Anweisung zum Löschen der Sicherungskopie 208. Zusätzlich zur Leistungsanforderung 218 kann das erste Gerät 202 auch das Token 216 an das zweite Gerät 206 übermitteln. Basierend auf dem Token 216 kann das zweite Gerät 206 feststellen, dass die Sicherheit des ersten Geräts 202 verifiziert ist. Darüber hinaus kann das zweite Gerät 206 überprüfen, ob das Token 216 die Durchführung des in der Leistungsanforderung 218 spezifizierten Sicherungsvorgangs erlaubt.
  • Das zweite Gerät 206 kann auch überprüfen, ob das Token 216 den Namen der Gerätedaten oder der Sicherungskopie angibt, für die eine Operation gewünscht wird. Wenn die Leistungsanforderung 218 beispielsweise angibt, dass eine neue Sicherungskopie der ersten Gerätedaten 204 erstellt werden soll, kann die zweite Vorrichtung 206 prüfen, ob das Token 216 die Erstellung einer Sicherungskopie der ersten Gerätedaten 204 erlaubt. Die zweite Vorrichtung 206 prüft also, ob die Leistungsanforderung 218 mit dem Token 216 übereinstimmt. Bei erfolgreicher Überprüfung führt das zweite Gerät 206 den in der Leistungsanforderung 218 angegebenen Sicherungsvorgang aus. Durch die Angabe des Sicherungsvorgangs und der Namen der Sicherungskopie und/oder der Gerätedaten im Token 216 und die Überprüfung des Tokens 216 durch das zweite Gerät 206 wird sichergestellt, dass der durchgeführte Sicherungsvorgang mit demjenigen übereinstimmt, für den das System 100 die Genehmigung erteilt hat.
  • In einem Beispiel kann das zweite Gerät 206 anstelle oder zusätzlich zur Überprüfung der Konsistenz zwischen der Leistungsanforderung 218 und dem Token 216 feststellen, ob das Token 216 authentisch ist. Um die Bestimmung durchzuführen, kann das zweite Gerät 206 eine Authentifizierungsanforderung an das System 100 senden und das System 100 auffordern, zu überprüfen, ob das Token 216 vom System 100 ausgestellt wurde und ob das Token 216 gültig ist. Nach Erhalt der Anfrage kann das System 100 die Authentizität und Gültigkeit des Tokens 216 überprüfen. Zum Beispiel kann das System 100 überprüfen, ob das Token 216 tatsächlich vom System 100 ausgestellt wurde und ob das Token 216 als Antwort auf eine kürzlich erfolgte Erlaubnisanfrage ausgestellt wurde. Als Reaktion auf die erfolgreiche Authentifizierung des Tokens 216 kann das System 100 eine Nachricht an das zweite Gerät 206 senden, die anzeigt, dass der Token 216 authentisch ist. Die Durchführung des Sicherungsvorgangs nach der Authentifizierung des Tokens 216 verhindert ein Szenario, in dem der Sicherungsvorgang auf der Grundlage eines gefälschten Tokens durchgeführt wird, das von einer Malware erstellt wurde.
  • Wenn die Sicherheit des ersten Geräts 202 gefährdet ist, kann die Backup-Schutz-Engine 213 die Erlaubnis zur Durchführung des Backup-Vorgangs verweigern, indem sie z. B. das Token 216 nicht sendet und/oder eine Ablehnungsnachricht sendet (in 2 nicht dargestellt). Dementsprechend sendet das erste Gerät 202 die Leistungsanforderung 218 nicht an das zweite Gerät 206. Selbst wenn das erste Gerät 202 die Leistungsanforderung 218 an das zweite Gerät 206 sendet, weigert sich das zweite Gerät 206, den mit der Sicherung verbundenen Vorgang durchzuführen, da das Token 216 nicht an das zweite Gerät 206 gesendet wird. In einem anderen Beispiel kann das System 100 nach der Überprüfung der Sicherheit des ersten Geräts 202 das Token 216 an das zweite Gerät 206 statt an das erste Gerät 202 senden. Auf der Grundlage des Tokens 216 kann das zweite Gerät 206 den in der Leistungsanforderung angegebenen Sicherungsvorgang durchführen 218.
  • Die Erteilung oder Verweigerung der Erlaubnis zur Durchführung des sicherungsbezogenen Vorgangs kann somit erfolgen, ohne dass der Inhalt der Sicherungskopie 208 oder der ersten Gerätedaten 204 analysiert werden muss. So muss das System 100 beispielsweise eine neu zu erstellende Sicherungskopie nicht mit der Sicherungskopie 208 vergleichen. Ebenso muss das System 100 nicht die vorgeschlagenen Änderungen an der Sicherungskopie 208 verarbeiten oder die an den ersten Gerätedaten 204 durchgeführten Aktionen analysieren. Stattdessen kann, wie oben erläutert, die Erteilung und Verweigerung der Erlaubnis auf der Grundlage einer Analyse der von der ersten Vorrichtung 202 empfangenen Telemetriedaten durchgeführt werden. Dies kann dazu beitragen, die Vertraulichkeit von Benutzerdaten zu verbessern, die Teil der Daten des ersten Geräts 204 und der Sicherungskopie 208 sind. Da die Daten des ersten Geräts 204 und die Sicherungskopie 208 nicht an das System 100 übertragen werden sollen und die Größe der Telemetriedaten gering ist (z. B. im Bereich von Kilobyte), ist auch die an das System 100 zu übertragende Datenmenge minimal.
  • In einem Beispiel kann das System 100 die Telemetriedaten periodisch von der ersten Vorrichtung 202 empfangen. Beispielsweise kann das System 100 einen Satz von Telemetriedaten nach Ablauf eines bestimmten Zeitintervalls empfangen. Ferner kann der Satz von Telemetriedaten beispielsweise die in diesem Zeitintervall auf dem ersten Gerät 202 durchgeführten Operationen, die Auslastungsinformationen der Hardwarekomponenten des ersten Geräts 202 in diesem Zeitintervall, die in diesem Zeitintervall geltende Sicherungsrichtlinie oder eine beliebige Kombination der vorgenannten Daten anzeigen. Beispielsweise kann ein nullter Satz von Telemetriedaten 220 die in einem Zeitintervall zwischen T=0 und T=1 Minute durchgeführten Operationen, die Auslastung der Hardwarekomponenten oder die geltende Sicherungsrichtlinie anzeigen, ein erster Satz von Telemetriedaten 222 kann die in einem Zeitintervall zwischen T=Minute 1 und T=Minute 2 durchgeführten Operationen, die Auslastung der Hardwarekomponenten oder die geltende Sicherungsrichtlinie anzeigen, usw. Die empfangenen Telemetriedatensätze können in einem Datenspeicher 224 gespeichert werden. Bei dem Datenspeicher 224 kann es sich zum Beispiel um einen Datensee handeln.
  • Um die Sicherheit des ersten Geräts 202 zu überprüfen, kann die Analyseeinheit 214 beispielsweise die Telemetriedatensätze verwenden, die in zeitlicher Nähe zum Zeitpunkt des Empfangs der Erlaubnisanfrage 212 liegen. Beispielsweise kann das Analysegerät 214 die Sätze von Telemetriedaten analysieren, die in einem ersten Zeitraum vor dem Empfang der Erlaubnisanfrage 212 empfangen wurden. Die Telemetriedatensätze, die in der ersten Zeitspanne vor dem Eingang der Erlaubnisanfrage empfangen wurden, können 212 als in Frage kommende Telemetriedaten der Vergangenheit bezeichnet werden. Nehmen wir an, dass der erste Zeitraum 5 Minuten lang ist und dass die Erlaubnisanfrage um thMinuten ab einem Referenzzeitpunkt 212 empfangen wurde. Dementsprechend kann das Analyseprogramm 214 die Telemetriedatensätze analysieren, die zwischen tth Minute und 5 Minuten vor der tth Minute empfangen wurden. Wenn also der nullte Telemetriedatensatz 220 zwischen tth Minute und 5 Minuten vor der tth Minute empfangen wurde, ist der nullte Telemetriedatensatz 220 Teil der in Frage kommenden Telemetriedaten der Vergangenheit und wird von der Analyseeinheit 214 analysiert.
  • Anstelle oder zusätzlich zur Analyse der in Frage kommenden Telemetriedaten aus der Vergangenheit kann das Analyseprogramm 214 die Telemetriedatensätze analysieren, die in einem zweiten Zeitraum nach dem Empfang der Erlaubnisanfrage 212 empfangen werden. Die Sätze von Telemetriedaten, die in der zweiten Zeitspanne nach dem Empfang der Erlaubnisanfrage 212 empfangen werden, können als in Frage kommende zukünftige Telemetriedaten bezeichnet werden. Nehmen wir an, dass der zweite Zeitraum 5 Minuten lang ist und dass die Erlaubnisanfrage um t thMinuten nach einem Referenzzeitpunkt 212 empfangen wurde. Dementsprechend kann das Analyseprogramm 214 die Telemetriedatensätze analysieren, die zwischen tth Minuten und 5 Minuten nach tth Minuten empfangen wurden. Wenn also der erste Satz von Telemetriedaten 222 zwischen der t-Minuteth und 5 Minuten nach der t-Minuteth empfangen wird, ist der erste Satz von Telemetriedaten 222 Teil der in Frage kommenden zukünftigen Telemetriedaten und wird von der Analyseeinheit 214 analysiert. Wenn ein zweiter Satz von Telemetriedaten 226 5 Minuten nach der t-Minuteth empfangen wird, wird der zweite Satz von Telemetriedaten 226 nicht von der Analysemaschine 214 analysiert. Die Analyse der Telemetriedaten in zeitlicher Nähe zur Erlaubnisanfrage 212 stellt sicher, dass relevante Daten für die Überprüfung der Sicherheit des ersten Geräts 202 berücksichtigt werden.
  • In einem Beispiel kann die Analyse der Telemetriedaten den Vergleich der Telemetriedaten in zeitlicher Nähe zur Erlaubnisanfrage 212 mit den restlichen Telemetriedaten, die von der ersten Vorrichtung 202 empfangen und im Datenspeicher 224 gespeichert wurden, beinhalten. Wenn auf der Grundlage des Vergleichs festgestellt wird, dass es signifikante Abweichungen zwischen den Telemetriedaten in der zeitlichen Nähe der Erlaubnisanfrage 212 und den restlichen Telemetriedaten gibt, kann das System 100 feststellen, dass die Sicherheit des ersten Geräts 202 gefährdet ist.
  • In einem Beispiel kann die Länge des zweiten Zeitraums gleich der Länge des ersten Zeitraums sein. In einem Beispiel können die Längen des ersten Zeitraums und des zweiten Zeitraums auch jeweils ein Vielfaches der Länge des Zeitintervalls sein, in dem die Telemetriedatensätze von der ersten Vorrichtung 202 empfangen werden. Beispielsweise können die Telemetriedatensätze einmal in einer Minute empfangen werden, und der erste und der zweite Zeitraum können jeweils eine Länge von fünf Minuten haben.
  • In einem Beispiel kann das System 100 in regelmäßigen Abständen eine Heartbeat-Nachricht von der ersten Vorrichtung 202 empfangen. Die Herzschlagnachricht kann anzeigen, dass das erste Gerät 202 funktionsfähig ist, und kann mit einer höheren Frequenz als die Telemetriedaten gesendet werden. Ferner kann das System 100 die Analyse der Telemetriedatensätze wie oben erläutert einleiten, wenn nach der Erlaubnisanfrage 212 eine Heartbeat-Nachricht empfangen wird. Somit wird die Erlaubnisanfrage 212 bearbeitet, nachdem sichergestellt wurde, dass das erste Gerät 202 funktionsfähig ist. Daher verhindert der vorliegende Gegenstand eine unnötige Verausgabung von Ressourcen für die Bearbeitung einer Anfrage, die sich auf ein nicht funktionierendes Gerät bezieht.
  • Die Telemetriedaten können von dem ersten Gerät 202 unabhängig davon empfangen werden, ob eine Anforderung zur Datensicherung eingegangen ist. In einem Beispiel kann das System 100 ein System sein, das regelmäßig zumindest einige Teile der oben genannten Telemetriedaten empfängt und analysiert, um Fehler im Betrieb des ersten Geräts 202 zu identifizieren oder vorherzusagen. Beispielsweise kann das System 100 analytische Operationen an einigen Teilen der Telemetriedaten durchführen, wie z.B. Informationen über die Auslastung der Hardwarekomponenten, und einen bevorstehenden Ausfall einer Komponente der ersten Vorrichtung 202 vorhersagen. Da das erste Gerät 202 bereits zumindest einige Teile der vorgenannten Telemetriedaten zur Identifizierung und Vorhersage von Fehlern an das System 100 überträgt, stellt der vorliegende Gegenstand sicher, dass nur wenige bis gar keine zusätzlichen Daten von dem ersten Gerät 202 übertragen werden müssen, um die Sicherheit des ersten Geräts 202 zu überprüfen und um Backup-bezogene Anfragen zu verarbeiten, die dem ersten Gerät 202 entsprechen. Daher können die Techniken des vorliegenden Gegenstands mit minimalem Overhead für das erste Gerät 202 implementiert werden.
  • Obwohl das System 100 so beschrieben wird, dass es die Telemetriedaten periodisch empfängt, kann in einem Beispiel ein anderes Gerät (in 2 nicht dargestellt), das mit dem System 100 verbunden ist, die Telemetriedaten empfangen. Darüber hinaus kann das System 100 die vergangenen Telemetriedaten und/oder die zukünftigen Telemetriedaten, die analysiert werden sollen, von dem anderen Gerät abrufen, wenn es eine Anfrage zur Datensicherung erhält.
  • Obwohl nicht dargestellt, können die verschiedenen Komponenten der Netzumgebung 200 über ein Kommunikationsnetz miteinander kommunizieren, bei dem es sich um ein drahtloses oder drahtgebundenes Netz oder eine Kombination davon handeln kann. Bei dem Kommunikationsnetz kann es sich um eine Sammlung einzelner Netze handeln, die miteinander verbunden sind und als ein einziges großes Netz funktionieren (z. B. das Internet oder ein Intranet). Beispiele für solche Einzelnetze sind das GSM-Netz (Global System for Mobile Communication), das UMTS-Netz (Universal Mobile Telecommunications System), das PCS-Netz (Personal Communications Service), das TDMA-Netz (Time Division Multiple Access), das CDMA-Netz (Code Division Multiple Access), das NGN-Netz (Next Generation Network), das PSTN (Public Switched Telephone Network) und das ISDN (Integrated Services Digital Network). Je nach Technologie kann das Kommunikationsnetz verschiedene Netzeinheiten umfassen, z. B. Sende- und Empfangsgeräte, Gateways und Router.
  • 3 zeigt die Netzwerkumgebung 300, die die Überprüfung der Sicherheit des ersten Geräts 202 implementiert, um die Durchführung von Backup-bezogenen Operationen gemäß einer Beispielimplementierung des vorliegenden Gegenstands zu ermöglichen. Die Netzwerkumgebung 300 kann der Netzwerkumgebung 200 entsprechen.
  • Die Daten des ersten Geräts 204 (in 3 nicht dargestellt) können sich auf eine VM 302 beziehen, die im ersten Gerät 202 gehostet wird. Ferner kann das zweite Gerät 206 eine Sicherungskopie 304 enthalten, die der VM 302 entspricht. Die Sicherungskopie 304, die der VM 302 entspricht, kann als eine VM-Sicherungskopie bezeichnet werden. In der folgenden Erklärung wird der vorliegende Gegenstand anhand eines Beispiels erläutert, bei dem eine in der zweiten Vorrichtung 206 gespeicherte Sicherungskopie eine VM-Sicherungskopie ist.
  • Das System 100 kann eine Berechtigungsanfrage 306 zur Durchführung eines VM-Sicherungsvorgangs erhalten, wie z. B. die Änderung oder Löschung der VM-Sicherungskopie 304 oder die Erstellung einer neuen VM-Sicherungskopie. Wie oben erläutert, kann das System 100 als Reaktion auf den Empfang der Anfrage die Telemetriedaten des ersten Geräts 202 analysieren, um die Sicherheit des ersten Geräts 202 zu überprüfen. Wenn die Sicherheit des ersten Geräts 202 auf der Grundlage seiner Telemetriedaten als unversehrt eingestuft wird, kann das System 100 die Sicherheit des ersten Geräts 202 überprüfen, indem es einen sicheren Handshake mit dem ersten Gerät 202 herstellt.
  • Bei einer auf einem sicheren Handshake basierenden Überprüfung 308 überträgt das System 100 eine Nachricht 310 an das erste Gerät 202. Die Nachricht 310 wird mit einem gemeinsamen geheimen Schlüssel 312 verschlüsselt, der dem ersten Gerät 202 und dem System 100 bekannt ist. Der gemeinsam genutzte geheime Schlüssel 312 kann in einem (in 3 nicht dargestellten) Speicher des ersten Geräts 202 gespeichert sein. Wenn das erste Gerät 202 nicht mit Ransomware infiziert ist, d.h. wenn die Sicherheit des ersten Geräts 202 nicht kompromittiert ist, kann der gemeinsam genutzte geheime Schlüssel 312 in einem unverschlüsselten Zustand im ersten Gerät 202 gespeichert sein. Daher ist der gemeinsam genutzte geheime Schlüssel 312 für die erste Vorrichtung 202 zugänglich und wird von der ersten Vorrichtung 202 zur Entschlüsselung der Nachricht 310 verwendet. Nach der Entschlüsselung kann die erste Vorrichtung 202 eine Antwort 314 auf die Nachricht 310 senden. In einem Beispiel kann die Antwort 314 als Teil einer Heartbeat-Nachricht gesendet werden. Der Empfang der Antwort 314 stellt einen sicheren Handshake zwischen dem ersten Gerät 202 und dem System 100 her. Wenn die Sicherheit des ersten Geräts 202 gefährdet ist, kann der gemeinsam genutzte geheime Schlüssel 312 in einem verschlüsselten Zustand auf dem ersten Gerät 202 gespeichert sein, da die Schadsoftware möglicherweise Daten auf dem ersten Gerät verschlüsselt hat und für das erste Gerät 202 unzugänglich ist. Daher kann das erste Gerät 202 die Antwort 314 nicht an das System 100 senden. Somit kommt der sichere Handshake nicht zustande, und das System 100 stellt fest, dass die Sicherheit des ersten Geräts 202 beeinträchtigt ist. In einem Beispiel stellt das System 100 fest, dass die Sicherheit des ersten Geräts 202 gefährdet ist, wenn die Antwort 314 nicht innerhalb eines vorbestimmten Zeitraums nach der Übertragung der Nachricht 310 empfangen wird.
  • Das System 100 kann die Erlaubnis zur Durchführung des Sicherungsvorgangs erteilen, wenn der sichere Handshake zustande gekommen ist, und die Erlaubnis verweigern, wenn der sichere Handshake nicht zustande gekommen ist. Die Erteilung oder Verweigerung der Erlaubnis kann an das erste Gerät 202, wie durch den Pfeil 316 angezeigt, oder an das zweite Gerät 206 gesendet werden. Die Erteilung der Erlaubnis kann durch die Übermittlung eines Tokens angezeigt werden, wie bereits erläutert. Nach Erteilung der Genehmigung kann das erste Gerät 202 eine Leistungsanforderung an 318 das zweite Gerät 206 senden. Die Leistungsanforderung 318 kann eine neue VM-Sicherungskopie, vorgeschlagene Änderungen an der VM-Sicherungskopie 304 oder eine Anweisung zum Löschen der VM-Sicherungskopie enthalten 304. Somit fungiert die auf einem sicheren Handshake basierende Verifizierung 308 als eine zweite Stufe der Verifizierung der Sicherheit des ersten Geräts 202. Auf diese Weise wird die Genauigkeit der Sicherheitsüberprüfung erhöht, wodurch die Nichtverwendbarkeit der Sicherungskopien verhindert wird.
  • Die 4 und 5 zeigen die Verfahren 400 bzw. 500, die die Durchführung von Backup-Vorgängen gemäß beispielhaften Implementierungen des vorliegenden Gegenstands ermöglichen. Die Reihenfolge, in der die Verfahren 400 und 500 beschrieben sind, ist nicht als Einschränkung zu verstehen, und eine beliebige Anzahl der beschriebenen Verfahrensblöcke kann in beliebiger Reihenfolge kombiniert werden, um das Verfahren 400 oder alternative Verfahren zu implementieren. Darüber hinaus können die Verfahren 400 und 500 durch (eine) Verarbeitungsressource(n) oder (ein) Rechengerät(e) mittels geeigneter Hardware, nicht-transitorischer maschinenlesbarer Anweisungen oder einer Kombination davon implementiert werden.
  • Es kann davon ausgegangen werden, dass Blöcke der Verfahren 400 und 500 von programmierten Rechengeräten durchgeführt werden können und auf der Grundlage von Anweisungen ausgeführt werden können, die in einem nicht-transitären computerlesbaren Medium gespeichert sind. Das nichttransitorische computerlesbare Medium kann beispielsweise digitale Speicher, magnetische Speichermedien, wie Magnetplatten und Magnetbänder, Festplatten oder optisch lesbare digitale Datenspeichermedien umfassen. Obwohl das Verfahren 400 in einer Vielzahl von Systemen implementiert werden kann, wird das Verfahren 400 zur Vereinfachung der Erklärung in Bezug auf das System 100 beschrieben. In einem Beispiel kann das Verfahren 400 von einem System, wie dem System 100, durchgeführt werden.
  • Wie in 4 dargestellt, wird in Block 402 eine Erlaubnisanfrage für die Durchführung eines Vorgangs im Zusammenhang mit einer Sicherungskopie empfangen. Die Sicherungskopie entspricht ersten Gerätedaten, die in dem ersten Gerät gespeichert sind. Die Sicherungskopie kann in einem zweiten Gerät gespeichert sein oder muss dort gespeichert werden. In einem Beispiel kann die Berechtigungsanfrage eine Anfrage zum Ändern oder Löschen einer Sicherungskopie sein, die in dem zweiten Gerät gespeichert ist. In einem anderen Beispiel kann die Berechtigungsanfrage eine Aufforderung sein, eine neue Sicherungskopie auf dem zweiten Gerät zu erstellen.
  • Die Erlaubnisanfrage kann zum Beispiel vom ersten Gerät oder vom zweiten Gerät empfangen werden und kann zum Beispiel die Erlaubnisanfrage oder 212 die Erlaubnisanfrage 306 sein. Das erste Gerät kann das erste Gerät 202 sein, das zweite Gerät kann das zweite Gerät 206 sein, die ersten Gerätedaten können die ersten Gerätedaten 204 sein, und die Sicherungskopie kann die Sicherungskopie 208 sein. In einem Beispiel beziehen sich die Daten des ersten Geräts auf eine VM, wie die VM,302, die in dem ersten Gerät gehostet wird. Außerdem enthält die Sicherungskopie ein Abbild, von dem eine VM wiederhergestellt werden kann, wie die VM-Sicherungskopie 304. In einem anderen Beispiel beziehen sich die Daten des ersten Geräts auf das erste Gerät und die Sicherungskopie enthält ein Abbild, von dem aus das erste Gerät in seinen Betriebszustand zurückversetzt werden kann.
  • Als Reaktion auf die Genehmigungsanfrage werden in Block 404 die vom ersten Gerät empfangenen Telemetriedaten analysiert, um festzustellen, ob die Sicherheit des ersten Geräts gefährdet ist. Die Telemetriedaten können die im ersten Gerät durchgeführten Operationen, die Auslastungsinformationen der Hardwarekomponenten des ersten Geräts, eine Sicherungsrichtlinie oder andere Daten anzeigen, wie in den 1 und 2 erläutert. In einem Beispiel enthalten die Telemetriedaten weder den Inhalt der Sicherungskopie noch den Inhalt der Daten des ersten Geräts. Handelt es sich bei dem Vorgang, der sich auf die Sicherungskopie bezieht, beispielsweise um einen Änderungsvorgang der Sicherungskopie, können die Telemetriedaten die an den ersten Gerätedaten vorgenommenen Änderungen nicht anzeigen. Handelt es sich bei dem Vorgang in Bezug auf die Sicherungskopie um einen Vorgang zur Erstellung einer Sicherungskopie, enthalten die Telemetriedaten möglicherweise nicht die neue Sicherungskopie. Handelt es sich bei dem Vorgang in Bezug auf die Sicherungskopie um einen Vorgang zum Löschen der Sicherungskopie, enthalten die Telemetriedaten unter Umständen nicht die zu löschende Sicherungskopie.
  • In einem Beispiel umfassen die analysierten Telemetriedaten Telemetriedaten, die für einen ersten Zeitraum vor dem Empfang der Erlaubnisanfrage empfangen wurden, oder die Telemetriedaten, die für einen zweiten Zeitraum nach dem Empfang der Erlaubnisanfrage empfangen wurden, oder beides, wie mit Bezug auf 2 erläutert. In einem Beispiel können die Telemetriedaten periodisch von dem ersten Gerät empfangen werden. Ferner kann die Länge des ersten und des zweiten Zeitraums ein Vielfaches der Länge eines Intervalls sein, in dem die Telemetriedaten periodisch von der ersten Vorrichtung empfangen werden. Beispielsweise kann die Länge des Intervalls 1 Minute betragen, und die erste Zeitspanne und die zweite Zeitspanne können jeweils fünf Minuten betragen, wie oben erläutert.
  • Als Reaktion auf die Feststellung, dass die Sicherheit des ersten Geräts nicht kompromittiert ist, wird in Block 406 versucht, einen sicheren Handshake mit dem ersten Gerät herzustellen. Der Versuch kann die Übertragung einer Nachricht beinhalten, die mit einem geheimen Schlüssel, wie dem gemeinsamen geheimen Schlüssel 312, verschlüsselt ist, der dem ersten Gerät bekannt ist. Wenn eine Antwort auf die Nachricht vom ersten Gerät empfangen wird, kann festgestellt werden, dass der sichere Handshake hergestellt ist, wie in 3 erläutert.
  • Als Reaktion auf die Herstellung des sicheren Handshakes wird in Block 408 die Durchführung des Vorgangs in Bezug auf die Sicherungskopie gestattet. In einem Beispiel umfasst das Zulassen der Durchführung des Vorgangs das Übertragen eines Tokens, wie des Tokens 216, an das erste Gerät.
  • 5 zeigt ein Verfahren 500 zur Durchführung von Sicherungsvorgängen gemäß einer Beispielimplementierung des vorliegenden Gegenstands. Das Verfahren 500 kann zum Beispiel von der ersten Vorrichtung 202 und der zweiten Vorrichtung 206 durchgeführt werden. Ferner kann das Verfahren 500 nach dem Empfang des Tokens vom System durch das erste Gerät durchgeführt werden.
  • In einem Beispiel gibt die Genehmigungsanfrage den Namen der ersten Gerätedaten oder der Sicherungskopie an. Ferner kann das Token den Namen der ersten Gerätedaten oder der Sicherungskopie angeben, je nachdem, was in der Genehmigungsanfrage angegeben wurde. Nach Erhalt des Tokens überträgt das erste Gerät in Block 502 eine Leistungsanforderung, wie z. B. die Leistungsanforderung 218 oder die Leistungsanforderung 318, zur Durchführung des sicherungsbezogenen Vorgangs und des Tokens an das zweite Gerät. In Block 504 kann das zweite Gerät dann feststellen, dass das Token den Namen der Daten des ersten Geräts oder der Sicherungskopie angibt. Anschließend kann das zweite Gerät den Vorgang in Bezug auf die Sicherungskopie durchführen.
  • In einem Beispiel kann das zweite Gerät vor der Durchführung des Sicherungsvorgangs in Block 506 eine Authentifizierungsanfrage an das System senden, um den Token zu authentifizieren. Als Reaktion auf die Authentifizierung des Tokens durch das System stellt das zweite Gerät in Block 508 fest, dass der Vorgang durchgeführt werden kann, wie unter Bezugnahme auf 2 erläutert. Anschließend, in Block 510, kann das zweite Gerät den Vorgang in Bezug auf die Sicherungskopie durchführen.
  • 6 Illustriert eine Computerumgebung 600, die ein nicht-transitorisches computerlesbares Medium implementiert, um die Durchführung von Backup-bezogenen Operationen gemäß einer Beispielimplementierung des vorliegenden Gegenstands zu ermöglichen. In einem Beispiel kann das nichttransitorische computerlesbare Medium 602 von einem System, wie dem System 100, verwendet werden. In einem Beispiel kann die Computerumgebung 600 eine Verarbeitungsressource 604 enthalten, die über eine Kommunikationsverbindung 606 mit dem nicht-transitorischen computerlesbaren Medium 602 kommunikativ verbunden ist. Bei der Verarbeitungsressource 604 kann es sich zum Beispiel um den Prozessor 102 handeln.
  • Bei dem nicht transitorischen computerlesbaren Medium 602 kann es sich beispielsweise um ein internes oder externes Speichermedium handeln. In einem Beispiel kann die Kommunikationsverbindung 606 eine direkte Kommunikationsverbindung sein, wie z. B. eine Speicher-Lese-/Schreib-Schnittstelle. In einem anderen Beispiel kann die Kommunikationsverbindung 606 eine indirekte Kommunikationsverbindung sein, z. B. eine Netzwerkschnittstelle. In einem solchen Fall kann die Verarbeitungsressource60 4 über ein Netzwerk 608 auf das nichttransitorische computerlesbare Medium 602 zugreifen. Das Netzwerk 608 kann ein einzelnes Netzwerk oder eine Kombination aus mehreren Netzwerken sein und eine Vielzahl unterschiedlicher Kommunikationsprotokolle verwenden.
  • Die Verarbeitungsressource 604 und das nichttransitorische computerlesbare Medium 602 können auch kommunikativ mit einem ersten Gerät 610, das ein Computergerät sein kann, das erste Gerätedaten (in 6 nicht dargestellt) speichert, und einem zweiten Gerät 612, das eine Sicherungskopie (in 6 nicht dargestellt) speichert, die den ersten Gerätedaten entspricht, verbunden sein. Das erste Gerät 610 und das zweite Gerät 612 können das erste Gerät 202 bzw. das zweite Gerät 206 sein. Ferner können die ersten Gerätedaten und die Sicherungskopie die ersten Gerätedaten 204 bzw. die Sicherungskopie 208 sein.
  • In einer Beispielimplementierung enthält das nichttransitorische computerlesbare Medium 602 einen Satz computerlesbarer Anweisungen, um die Durchführung von Backup-bezogenen Operationen zu ermöglichen. Auf den Satz von computerlesbaren Anweisungen kann die Verarbeitungsressource 60 4 über die Kommunikationsverbindung 606 zugreifen und ihn anschließend ausführen.
  • In einem Beispiel, das sich auf 6 bezieht, enthält das nicht-übertragbare computerlesbare Medium 602 Anweisungen, die die Verarbeitungsressource60 4 614 veranlassen, eine Anforderung zu empfangen, die das Löschen der Sicherungskopie, die den ersten Gerätedaten entspricht, erlaubt. Bei der Anfrage kann es sich beispielsweise um die Erlaubnisanfrage oder 212 die Erlaubnisanfrage 306 handeln. Wie bereits erwähnt, sind die ersten Gerätedaten im ersten Gerät gespeichert und die Sicherungskopie ist im zweiten Gerät gespeichert.
  • Das nichttransitorische computerlesbare Medium 602 enthält Anweisungen 616, die die Verarbeitungsressource 604 veranlassen, als Reaktion auf die Anforderung Telemetriedaten zu analysieren, die von dem ersten Gerät empfangen wurden. In einem Beispiel können die analysierten Telemetriedaten die Telemetriedaten sein, die innerhalb einer ersten Zeitspanne vor einem Zeitpunkt des Empfangs der Anforderung empfangen wurden, und Telemetriedaten, die innerhalb einer zweiten Zeitspanne nach einem Zeitpunkt des Empfangs der Anforderung empfangen wurden, wie unter Bezugnahme auf 2 erläutert.
  • Das nicht-übertragbare computerlesbare Medium 602 enthält Anweisungen 618 die auf der Grundlage der Analyse bestimmen, ob die Sicherheit des ersten Geräts gefährdet ist. Als Reaktion auf die Feststellung, dass die Sicherheit des ersten Geräts nicht gefährdet ist, veranlassen die Anweisungen 620 das Zulassen des Löschens der Sicherungskopie. Das Löschen kann beispielsweise durch das Senden eines Tokens, wie dem Token 216, an das erste Gerät erlaubt werden, das die Erteilung der Erlaubnis zum Löschen der Sicherungskopie anzeigt.
  • In einem Beispiel sind die Anweisungen als Reaktion auf die Feststellung, dass die Sicherheit des ersten Geräts auf der Grundlage der Analyse der Telemetriedaten nicht gefährdet ist, ausführbar, um eine Nachricht zu übertragen, die mit einem geheimen Schlüssel, wie dem gemeinsamen geheimen Schlüssel 312, der dem ersten Gerät bekannt ist, verschlüsselt ist. Ferner wird das Löschen als Reaktion auf den Empfang einer Antwort auf die Nachricht von der ersten Vorrichtung zugelassen, wie mit Bezug auf 3 erläutert.
  • In einem Beispiel erlauben die Anweisungen neben der Erteilung und Verweigerung von Berechtigungen zum Löschen von Sicherungskopien auch die Erteilung und Verweigerung von Berechtigungen zur Änderung von Sicherungskopien. Die Anweisungen bewirken beispielsweise, dass eine Anforderung zur Änderung einer zweiten Sicherungskopie empfangen wird, die den ersten Gerätedaten entspricht. Bei der zweiten Sicherungskopie kann es sich zum Beispiel um eine Sicherungskopie der ersten Gerätedaten handeln, die nach dem Löschen der Sicherungskopie erstellt wurde. Als Reaktion auf die Feststellung, dass die Sicherheit des ersten Geräts nicht beeinträchtigt ist, können die Anweisungen die Erlaubnis zur Änderung der zweiten Sicherungskopie erteilen. In ähnlicher Weise können die Anweisungen in einem Beispiel auch die Erteilung und Verweigerung von Berechtigungen für die Erstellung von Sicherungskopien ermöglichen.
  • Der vorliegende Gegenstand kann den Verlust und die Nichtverwendbarkeit einer Sicherungskopie aufgrund von Malware-Angriffen auf ein Computergerät verhindern, das übergeordnete Daten speichert. Der vorliegende Gegenstand nutzt Telemetriedaten eines Computergeräts, das eine Anforderung für den Sicherungsvorgang sendet, um festzustellen, ob die Sicherheit des Computergeräts beeinträchtigt ist. Daher müssen die Details des Sicherungsvorgangs, wie z. B. die an der Sicherungskopie oder der neuen Sicherungskopie vorzunehmenden Änderungen, möglicherweise nicht analysiert werden. Somit kann der vorliegende Gegenstand eine einfachere und effizientere Bestimmung der Sicherheit der Datenverarbeitungsanlage ermöglichen. Darüber hinaus kann der vorliegende Gegenstand die Telemetriedaten, die bereits von dem Computergerät empfangen werden, zur Identifizierung und Vorhersage von Fehlern nutzen. Es müssen also keine zusätzlichen Daten von der Datenverarbeitungsanlage empfangen werden, um den vorliegenden Gegenstand zu implementieren.
  • Die Verwendung einer Datenunveränderlichkeitsfunktion in einem Sicherungsgerät, die Änderungen an Sicherungskopien verhindert, um den Verlust oder die Nichtverwendbarkeit der Sicherungskopien zu verhindern, kann durch die Umsetzung der Lehren des vorliegenden Gegenstands vermieden werden, da sie die Sicherheit des Computergeräts überprüft, bevor sie Änderungen an den Sicherungskopien zulässt. Daher können echte sicherungsbezogene Operationen, wie die von einem Speicherverwalter initiierten sicherungsbezogenen Operationen, durchgeführt werden.
  • Obwohl Implementierungen von Berechtigungen für Backup-bezogene Operationen in einer Sprache beschrieben wurden, die für strukturelle Merkmale und/oder Methoden spezifisch ist, ist es zu verstehen, dass der vorliegende Gegenstand nicht notwendigerweise auf die beschriebenen spezifischen Merkmale oder Methoden beschränkt ist. Vielmehr werden die spezifischen Merkmale und Methoden als Beispielimplementierungen offengelegt und erläutert.

Claims (18)

  1. Ein System (100), das Folgendes umfasst: einen Prozessor (102); und ein nicht-transitorisches computerlesbares Speichermedium (602) mit Anweisungen (106, 108, 110, 112), die auf dem Prozessor (102) ausgeführt werden können, um: eine Erlaubnisanfrage (212, 306) zu empfangen, um die Durchführung einer Operation in Bezug auf eine Sicherungskopie (208) zu ermöglichen, wobei die Sicherungskopie (208) ersten Gerätedaten (204) entspricht, die in einem ersten Gerät (202) gespeichert sind, und wobei die Sicherungskopie (208) auf einem zweiten Gerät (206) gespeichert werden soll; als Reaktion auf die Erlaubnisanfrage (212, 306), Telemetriedaten (220, 222, 226) zu analysieren, die von dem ersten Gerät (202) innerhalb einer ersten Zeitspanne relativ zu einem Zeitpunkt des Empfangs der Erlaubnisanfrage (212, 306) empfangen wurden; zu bestimmen, ob eine Sicherheit des ersten Gerätes auf der Grundlage der Analyse kompromittiert ist; basierend auf die Feststellung, dass die Sicherheit des ersten Gerätes nicht kompromittiert ist, die Operation in Bezug auf die Sicherungskopie (208) durch Senden eines Tokens (216) vom System (100) an das erste Gerät zu ermöglichen, wobei das Token (216) einen Namen der ersten Gerätedaten (204) oder der Sicherungskopie (208) umfasst und das Token (216) die Operation in Bezug auf die Sicherungskopie (208) angibt, die erlaubt ist; vom System (100) des zweiten Geräts (206) das Token (216) zu empfangen, das vom ersten Gerät (202) als Teil einer Leistungsanforderung von dem ersten Gerät (202) gesendet wurde, um die Operation in Bezug auf die Sicherungskopie (208) auszuführen, wobei das Token (216) von dem zweiten Gerät (206) Teil einer Authentifizierungsanforderung ist, die das System (100) auffordert, zu überprüfen, ob das Token (216) gültig ist, und die Authentifizierungsanforderung von dem zweiten Gerät (206) an das System (100) auf der Grundlage einer Feststellung, dass die Leistungsanforderung von dem ersten Gerät (202) mit dem Token (216) konsistent ist, an dem zweiten Gerät (206) gesendet wird; das von dem zweiten Gerät (206) empfangene Token (216) im System (100) zu validieren; und basierend auf die Validierung des Tokens (216), eine Antwort (314) vom System (100) zu senden, die anzeigt, dass das Token (216) authentisch ist, um die Durchführung der Operation in Bezug auf die Sicherungskopie (208) durch das zweite Gerät (206) zu ermöglichen.
  2. System (100) nach Anspruch 1, wobei die Telemetriedaten (220, 222, 226) eine oder mehrere einer Anzahl von Anmeldeversuchen, einer Anzahl von Dateiverschlüsselungen, einer Anzahl von Dateiveränderungen, einer Anzahl von Dateilöschungen, Auslastungsinformationen von Hardwarekomponenten des ersten Geräts, einer Sicherungsrichtlinie, eines Lesezählers der ersten Gerätdaten (204) oder eines Schreibzählers der ersten Gerätedaten (204) umfassen.
  3. System (100) nach Anspruch 1, wobei zum Analysieren der von der ersten Vorrichtung empfangenen Telemetriedaten (220, 222, 226) die Anweisungen (106, 108, 110, 112) auf dem Prozessor (102) ausführbar sind, um einen tatsächlichen Parameterwert, der Teil der Telemetriedaten (220, 222, 226) ist, mit einem erwarteten Parameterwert, der einem unkompromittierten Sicherheitszustand des ersten Geräts entspricht.
  4. System (100) nach Anspruch 1, wobei die Anweisungen (106, 108, 110, 112) auf dem Prozessor (102) ausführbar sind, um: den Zeitpunkt des Eingangs der Erlaubnisanfrage (212, 306) anzugeben; den ersten Zeitraum zu bestimmen, der vor oder nach dem Zeitpunkt des Eingangs der Erlaubnisanfrage (212, 306) liegt; und als Teil der Analyse, die Telemetriedaten (220, 222, 226), die von dem ersten Gerät (202) innerhalb des ersten Zeitraums empfangen wurden, mit einem Rest der Telemetriedaten (220, 222, 226) zu vergleichen, die von dem ersten Gerät (202) empfangen wurden.
  5. System (100) nach Anspruch 1, wobei die Operation, die sich auf die Sicherungskopie (208) bezieht, eine Operation zur Erstellung einer Sicherung, eine Operation zur Änderung einer Sicherung oder eine Operation zum Löschen einer Sicherung ist.
  6. System (100) nach Anspruch 1, wobei die Feststellung, dass die Leistungsanforderung von dem ersten Gerät (202) mit dem Token (216) übereinstimmt, auf einer Feststellung beruht, dass eine durch die Leistungsanforderung spezifizierte Operation mit der Operation in Bezug auf die durch das Token (216) spezifizierte Sicherungskopie (208) übereinstimmt.
  7. Ein Verfahren (400, 500), das Folgendes umfasst: Empfangen, durch ein System (100) mit einem Hardware-Prozessor (102), einer Erlaubnisanfrage (212, 306) für die Erlaubnis, eine Operation in Bezug auf eine Sicherungskopie (208) durchzuführen, wobei die Sicherungskopie (208) ersten Gerätedaten (204) entspricht, die in einem ersten Gerät (202) gespeichert sind und die Sicherungskopie (208) auf einem zweiten Gerät (206) gespeichert werden soll; Analysieren von Telemetriedaten (220, 222, 226), die von dem ersten Gerät (202) empfangen wurden, durch das System (100) als Reaktion auf die Erlaubnisanfrage (212, 306), um festzustellen, ob die Sicherheit des ersten Geräts kompromittiert ist; basierend auf die Feststellung, dass die Sicherheit des ersten Geräts nicht kompromittiert ist, die mit der Sicherungskopie (208) zusammenhängende Operation durch Senden eines Tokens (216) vom System (100) an das erste Gerät ermöglichen, wobei das Token (216) einen Namen der ersten Gerätedaten (204) oder der Sicherungskopie (208) umfasst und das Token (216) die mit der Sicherungskopie (208) zusammenhängende Operation angibt, die zulässig ist; Empfangen im System (100) vom zweiten Gerät (206) des Tokens (216), das vom ersten Gerät (202) an das zweite Gerät (206) als Teil einer Leistungsanforderung vom ersten Gerät (202) gesendet wurde, um die Operation im Zusammenhang mit der Sicherungskopie (208) auszuführen, wobei das Token (216) vom zweiten Gerät (206) Teil einer Authentifizierungsanfrage ist, die das System (100) auffordert, zu überprüfen, ob das Token (216) gültig ist, und die Authentifizierungsanfrage von dem zweiten Gerät (206) an das System (100) gesendet wird, basierend auf eine Feststellung an dem zweiten Gerät (206), dass die Leistungsanforderung von dem ersten Gerät (202) mit dem Token (216) übereinstimmt; Validieren des vom zweiten Gerät (206) erhaltenen Tokens (216) durch das System (100); und basierend auf die Validierung des Tokens (216) durch das System (100)s, Senden einer Antwort (314) vom System (100) an das zweite Gerät (206), die angibt, dass das Token (216) authentisch ist, um die Ausführung der Operation im Zusammenhang mit der Sicherungskopie (208) durch das zweite Gerät (206) zu ermöglichen.
  8. Verfahren (400, 500) nach Anspruch 7, wobei die Telemetriedaten (220, 222, 226) Telemetriedaten (220, 222, 226) umfassen, die in einem ersten Zeitraum vor dem Empfang der Erlaubnisanfrage (212, 306) empfangen wurden, und Telemetriedaten (220, 222, 226), die in einem zweiten Zeitraum nach dem Empfang der Erlaubnisanfrage (212, 306) empfangen wurden.
  9. Verfahren (400, 500) nach Anspruch 7 umfassend: basierend auf die Feststellung, dass die Sicherheit der ersten Vorrichtung nicht kompromittiert ist, Versuchen mit dem System (100), einen sicheren Handshake (308) mit dem ersten Gerät (202) herzustellen, wobei die Genehmigung der Operation in Bezug auf die Sicherungskopie (208) durch das System (100) ferner auf der Einrichtung des sicheren Handshake (308) beruht.
  10. Verfahren (400, 500) nach Anspruch 9, wobei der Versuch, einen sicheren Handshake (308) einzurichten, das Übertragen einer Nachricht (310) umfasst, die mit einem geheimen Schlüssel (312) verschlüsselt ist, welcher dem ersten Gerät (202) bekannt ist, und wobei das Verfahren (400, 500) das Bestimmen umfasst, dass der sichere Handshake (308) als Reaktion auf den Empfang einer Antwort (314) auf die Nachricht (310) von dem ersten Gerät (202) eingerichtet ist.
  11. Verfahren (400, 500) nach Anspruch 7, wobei die Operation, die sich auf die Sicherungskopie (208) bezieht, eine Operation zur Erstellung einer Sicherung, eine Operation zur Änderung einer Sicherung oder eine Operation zum Löschen einer Sicherung ist.
  12. Verfahren (400, 500) nach Anspruch 7, wobei die Telemetriedaten (220, 222, 226) eine oder mehrere der folgenden Angaben umfassen: eine Anzahl von Anmeldeversuchen, eine Anzahl von Dateiverschlüsselungen, eine Anzahl von Dateiveränderungen oder eine Anzahl von Dateilöschungen.
  13. Verfahren (400, 500) nach Anspruch 7, wobei die Feststellung, dass die Leistungsanforderung von dem ersten Gerät (202) mit dem Token (216) übereinstimmt, auf einer Feststellung beruht, dass eine durch die Leistungsanforderung spezifizierte Operation mit der Operation in Bezug auf die durch das Token (216) spezifizierte Sicherungskopie (208) übereinstimmt.
  14. Verfahren (400, 500) nach Anspruch 7, wobei sich die ersten Gerätedaten (204) auf eine virtuelle Maschine VM (302) beziehen, die in dem ersten Gerät (202) gehostet wird, und die Sicherungskopie (208) ein Bild umfasst, von dem die VM (302) wiederhergestellt werden kann.
  15. Ein nicht-transitorisches, computerlesbares Medium (602), das Anweisungen (614, 616, 618, 620) enthält, wobei die Anweisungen (614, 616, 618, 620) von einem System (100) ausgeführt werden können, um: eine Erlaubnisanfrage (212, 306) zu empfangen, um eine Operation im Zusammenhang mit einer Sicherungskopie (208) zuzulassen, die ersten Gerätedaten (204) entspricht, wobei die ersten Gerätedaten (204) in einem ersten Gerät (202) gespeichert sind und die Sicherungskopie (208) in einem zweiten Gerät (206) gespeichert ist; als Reaktion auf die Erlaubnisanfrage (212, 306) die vom ersten Gerät (202) empfangenen Telemetriedaten (220, 222, 226) zu analysieren; zu bestimmen, ob eine Sicherheit des ersten Geräts auf der Grundlage der Analyse kompromittiert ist; und basierend auf die Feststellung, dass die Sicherheit des ersten Geräts nicht kompromittiert ist, die Operation im Zusammenhang mit der Sicherungskopie (208) durch Senden eines Tokens (216) vom System (100) an das erste Gerät, zuzulassen, wobei das Token (216) einen Namen der ersten Gerätedaten (204) oder der Sicherungskopie (208) umfasst und das Token (216) die zulässige Operation in Bezug auf die Sicherungskopie (208) angibt; im System von dem zweiten Gerät (206) das Tokens (216), das vom ersten Gerät (202) an das zweite Gerät (206) als Teil einer Leistungsanforderung vom ersten Gerät (202) gesendet wurde, zu empfangen, um die Operation im Zusammenhang mit der Sicherungskopie (208) auszuführen, wobei das Token (216) vom zweiten Gerät (206) Teil einer Authentifizierungsanfrage ist, die das System auffordert, zu überprüfen, ob das Token (216) gültig ist, und die Authentifizierungsanfrage von dem zweiten Gerät (206) an das System gesendet wird, basierend auf eine Feststellung an dem zweiten Gerät (206), dass die Leistungsanforderung von dem ersten Gerät (202) mit dem Token (216) übereinstimmt; das von dem zweiten Gerät (206) empfangene Token (216) im System (100) zu validieren; und basierend auf die Validierung des Tokens (216), eine Antwort (314) vom System (100) zu senden, die anzeigt, dass das Token (216) authentisch ist, um die Durchführung der Operation in Bezug auf die Sicherungskopie (208) durch das zweite Gerät (206) zu ermöglichen.
  16. Nicht-transitorisches, computerlesbares Medium (602) nach Anspruch 15, wobei die ersten Gerätedaten (204) eine virtuelle Maschine VM (302) betreffen, die in dem ersten Gerät (202) gehostet wird, und die Sicherungskopie (208) ein Bild umfasst, von dem die VM (302) wiederhergestellt werden kann.
  17. Nicht-transitorisches, computerlesbares Medium (602) nach Anspruch 15, wobei die Operation, die sich auf die Sicherungskopie (208) bezieht, eine Operation zur Erstellung einer Sicherung, eine Operation zur Änderung einer Sicherung oder eine Operation zum Löschen einer Sicherung ist.
  18. Nicht-transitorisches, computerlesbares Medium (602) nach Anspruch 15, wobei die Telemetriedaten (220, 222, 226) eine oder mehrere von einer Anzahl von Anmeldeversuchen, einer Anzahl von Dateiverschlüsselungen, einer Anzahl von Dateimodifikationen oder einer Anzahl von Dateilöschungen umfassen.
DE102021126869.9A 2020-11-11 2021-10-15 Berechtigungen für Backup-bezogene Operationen Active DE102021126869B4 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
IN202041049345 2020-11-11
IN202041049345 2020-11-11

Publications (2)

Publication Number Publication Date
DE102021126869A1 DE102021126869A1 (de) 2022-05-12
DE102021126869B4 true DE102021126869B4 (de) 2026-02-05

Family

ID=81256117

Family Applications (1)

Application Number Title Priority Date Filing Date
DE102021126869.9A Active DE102021126869B4 (de) 2020-11-11 2021-10-15 Berechtigungen für Backup-bezogene Operationen

Country Status (3)

Country Link
US (2) US12088583B2 (de)
CN (2) CN114546582A (de)
DE (1) DE102021126869B4 (de)

Families Citing this family (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11941116B2 (en) 2019-11-22 2024-03-26 Pure Storage, Inc. Ransomware-based data protection parameter modification
US12411962B2 (en) * 2019-11-22 2025-09-09 Pure Storage, Inc. Managed run-time environment-based detection of a ransomware attack
US12248566B2 (en) * 2019-11-22 2025-03-11 Pure Storage, Inc. Snapshot deletion pattern-based determination of ransomware attack against data maintained by a storage system
US12204657B2 (en) * 2019-11-22 2025-01-21 Pure Storage, Inc. Similar block detection-based detection of a ransomware attack
US20210382992A1 (en) * 2019-11-22 2021-12-09 Pure Storage, Inc. Remote Analysis of Potentially Corrupt Data Written to a Storage System
US20240281544A1 (en) * 2019-11-22 2024-08-22 Pure Storage, Inc. Multi-Party Authorization for Requests Initiated by a Storage Management System
US12153670B2 (en) 2019-11-22 2024-11-26 Pure Storage, Inc. Host-driven threat detection-based protection of storage elements within a storage system
US12079502B2 (en) 2019-11-22 2024-09-03 Pure Storage, Inc. Storage element attribute-based determination of a data protection policy for use within a storage system
JP2025524446A (ja) * 2022-06-22 2025-07-30 ピュア ストレージ, インコーポレイテッド ストレージシステムによって維持されるデータに対するランサムウェア攻撃のスナップショット削除パターンベースの決定

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20180285207A1 (en) * 2017-03-29 2018-10-04 Commvault Systems, Inc. Retrieval operations for files in a network-accessible system
US20180373877A1 (en) * 2017-06-26 2018-12-27 Microsoft Technology Licensing, Llc Data quarantine and recovery
US20200057697A1 (en) * 2017-08-07 2020-02-20 Datto, Inc. Multiclient Backup Replication Apparatuses, Methods and Systems
DE102020101084A1 (de) * 2019-02-08 2020-08-13 Intel Corporation Verbesserte sicherheit für mehrknoten-rechenplattform

Family Cites Families (221)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5109413A (en) * 1986-11-05 1992-04-28 International Business Machines Corporation Manipulating rights-to-execute in connection with a software copy protection mechanism
US5475834A (en) * 1992-10-26 1995-12-12 International Business Machines Corporation Integration of migration level two and backup tape processing using multiple inventory entries
US20050086172A1 (en) * 1994-11-23 2005-04-21 Contentguard Holdings, Inc. Method, system and device for providing educational content
JPH08263438A (ja) * 1994-11-23 1996-10-11 Xerox Corp ディジタルワークの配給及び使用制御システム並びにディジタルワークへのアクセス制御方法
US20050149450A1 (en) * 1994-11-23 2005-07-07 Contentguard Holdings, Inc. System, method, and device for controlling distribution and use of digital works based on a usage rights grammar
US6963859B2 (en) * 1994-11-23 2005-11-08 Contentguard Holdings, Inc. Content rendering repository
US5659614A (en) * 1994-11-28 1997-08-19 Bailey, Iii; John E. Method and system for creating and storing a backup copy of file data stored on a computer
US5892900A (en) * 1996-08-30 1999-04-06 Intertrust Technologies Corp. Systems and methods for secure transaction management and electronic rights protection
US7133846B1 (en) * 1995-02-13 2006-11-07 Intertrust Technologies Corp. Digital certificate support system, methods and techniques for secure electronic commerce transaction and rights management
ATE441897T1 (de) * 1995-02-13 2009-09-15 Intertrust Tech Corp Systeme und verfahren zur verwaltung von gesicherten transaktionen und zum schutz von elektronischen rechten
US6658568B1 (en) * 1995-02-13 2003-12-02 Intertrust Technologies Corporation Trusted infrastructure support system, methods and techniques for secure electronic commerce transaction and rights management
US7165174B1 (en) * 1995-02-13 2007-01-16 Intertrust Technologies Corp. Trusted infrastructure support systems, methods and techniques for secure electronic commerce transaction and rights management
US5778395A (en) * 1995-10-23 1998-07-07 Stac, Inc. System for backing up files from disk volumes on multiple nodes of a computer network
US5943423A (en) * 1995-12-15 1999-08-24 Entegrity Solutions Corporation Smart token system for secure electronic transactions and identification
US20060129627A1 (en) * 1996-11-22 2006-06-15 Mangosoft Corp. Internet-based shared file service with native PC client access and semantics and distributed version control
US6233684B1 (en) * 1997-02-28 2001-05-15 Contenaguard Holdings, Inc. System for controlling the distribution and use of rendered digital works through watermaking
US6260069B1 (en) * 1998-02-10 2001-07-10 International Business Machines Corporation Direct data retrieval in a distributed computing system
US6154852A (en) * 1998-06-10 2000-11-28 International Business Machines Corporation Method and apparatus for data backup and recovery
US6564215B1 (en) * 1999-12-16 2003-05-13 International Business Machines Corporation Update support in database content management
US6460055B1 (en) * 1999-12-16 2002-10-01 Livevault Corporation Systems and methods for backing up data files
US6526418B1 (en) * 1999-12-16 2003-02-25 Livevault Corporation Systems and methods for backing up data files
US6615225B1 (en) * 2000-04-27 2003-09-02 International Business Machines Corporation System and method for relating files in a distributed data storage environment
US9177489B2 (en) * 2010-11-16 2015-11-03 James Leonard Driessen Digital rights convergence place chaser
AU7593601A (en) * 2000-07-14 2002-01-30 Atabok Inc Controlling and managing digital assets
US7669051B2 (en) * 2000-11-13 2010-02-23 DigitalDoors, Inc. Data security system and method with multiple independent levels of security
US20020083059A1 (en) * 2000-11-30 2002-06-27 Hoffman Woodward Crim Workflow access control
US20030115251A1 (en) * 2001-02-23 2003-06-19 Fredrickson Jason A. Peer data protocol
US8849716B1 (en) * 2001-04-20 2014-09-30 Jpmorgan Chase Bank, N.A. System and method for preventing identity theft or misuse by restricting access
US7774280B2 (en) * 2001-06-07 2010-08-10 Contentguard Holdings, Inc. System and method for managing transfer of rights using shared state variables
WO2003007213A1 (en) * 2001-06-07 2003-01-23 Contentguard Holdings, Inc. Method and apparatus managing the transfer of rights
US6718447B2 (en) * 2001-06-28 2004-04-06 Hewlett-Packard Development Company, L.P. Method and system for providing logically consistent logical unit backup snapshots within one or more data storage devices
US20030051039A1 (en) * 2001-09-05 2003-03-13 International Business Machines Corporation Apparatus and method for awarding a user for accessing content based on access rights information
US20030115179A1 (en) * 2001-11-01 2003-06-19 Senthil Prabakaran Configuration management for group policies
US7891007B2 (en) * 2002-06-28 2011-02-15 Microsoft Corporation Systems and methods for issuing usage licenses for digital content and services
US7334124B2 (en) * 2002-07-22 2008-02-19 Vormetric, Inc. Logical access block processing protocol for transparent secure file storage
US6931530B2 (en) * 2002-07-22 2005-08-16 Vormetric, Inc. Secure network file access controller implementing access control and auditing
US6678828B1 (en) * 2002-07-22 2004-01-13 Vormetric, Inc. Secure network file access control system
US7143288B2 (en) * 2002-10-16 2006-11-28 Vormetric, Inc. Secure file system server architecture and methods
US7797434B2 (en) * 2002-12-31 2010-09-14 International Business Machines Corporation Method and system for user-determind attribute storage in a federated environment
US7587491B2 (en) * 2002-12-31 2009-09-08 International Business Machines Corporation Method and system for enroll-thru operations and reprioritization operations in a federated environment
US7725562B2 (en) * 2002-12-31 2010-05-25 International Business Machines Corporation Method and system for user enrollment of user attribute storage in a federated environment
US20040128546A1 (en) * 2002-12-31 2004-07-01 International Business Machines Corporation Method and system for attribute exchange in a heterogeneous federated environment
US7370212B2 (en) * 2003-02-25 2008-05-06 Microsoft Corporation Issuing a publisher use license off-line in a digital rights management (DRM) system
US7308573B2 (en) * 2003-02-25 2007-12-11 Microsoft Corporation Enrolling / sub-enrolling a digital rights management (DRM) server into a DRM architecture
US7827156B2 (en) * 2003-02-26 2010-11-02 Microsoft Corporation Issuing a digital rights management (DRM) license for content based on cross-forest directory information
US7139884B2 (en) * 2003-06-05 2006-11-21 International Business Machines Corporation Method, apparatus and computer program product for implementing enhanced autonomic backup using multiple backup devices
US20050081026A1 (en) * 2003-08-15 2005-04-14 Imcentric, Inc. Software product for installing SSL certificates to SSL-enablable devices
KR100493900B1 (ko) * 2003-08-21 2005-06-10 삼성전자주식회사 사용자간 콘텐츠에 대한 권한정보의 공유방법
US20050050226A1 (en) * 2003-08-26 2005-03-03 Nils Larson Device mapping based on authentication user name
US20050228836A1 (en) * 2004-04-08 2005-10-13 Bacastow Steven V Apparatus and method for backing up computer files
US7627776B2 (en) * 2004-11-16 2009-12-01 Petruzzo Stephen E Data backup method
US7730122B2 (en) * 2004-12-09 2010-06-01 International Business Machines Corporation Authenticating a node requesting another node to perform work on behalf of yet another node
US20070106551A1 (en) * 2005-09-20 2007-05-10 Mcgucken Elliot 22nets: method, system, and apparatus for building content and talent marketplaces and archives based on a social network
US20070136814A1 (en) * 2005-12-12 2007-06-14 Michael Lee Critical function monitoring and compliance auditing system
EP1798943A1 (de) * 2005-12-13 2007-06-20 Axalto SA SIM mit Nachrichten-Client
US20070143827A1 (en) * 2005-12-21 2007-06-21 Fiberlink Methods and systems for intelligently controlling access to computing resources
US20070143851A1 (en) * 2005-12-21 2007-06-21 Fiberlink Method and systems for controlling access to computing resources based on known security vulnerabilities
US20090234845A1 (en) * 2006-02-22 2009-09-17 Desantis Raffaele Lawful access; stored data handover enhanced architecture
US8474032B2 (en) * 2006-05-17 2013-06-25 Richard Fetik Firewall+ storage apparatus, method and system
US8429708B1 (en) * 2006-06-23 2013-04-23 Sanjay Tandon Method and system for assessing cumulative access entitlements of an entity in a system
US20080104145A1 (en) * 2006-06-23 2008-05-01 Derrell Lipman Method and appartus for backup of networked computers
JP5027227B2 (ja) * 2006-07-10 2012-09-19 テレフオンアクチーボラゲット エル エム エリクソン(パブル) 通信ネットワークにおける認証手順のための方法および装置
US8433732B2 (en) * 2006-08-18 2013-04-30 Falconstor, Inc. System and method for storing data and accessing stored data
WO2008046101A2 (en) * 2006-10-13 2008-04-17 Ariel Silverstone Client authentication and data management system
US20080147821A1 (en) * 2006-12-19 2008-06-19 Dietrich Bradley W Managed peer-to-peer content backup service system and method using dynamic content dispersal to plural storage nodes
US9015301B2 (en) * 2007-01-05 2015-04-21 Digital Doors, Inc. Information infrastructure management tools with extractor, secure storage, content analysis and classification and method therefor
US8655939B2 (en) * 2007-01-05 2014-02-18 Digital Doors, Inc. Electromagnetic pulse (EMP) hardened information infrastructure with extractor, cloud dispersal, secure storage, content analysis and classification and method therefor
US7900259B2 (en) * 2007-03-16 2011-03-01 Prevari Predictive assessment of network risks
US7941405B2 (en) * 2007-03-30 2011-05-10 Data Center Technologies Password protection for file backups
US8463813B2 (en) * 2007-04-12 2013-06-11 Younite, Inc. Individualized data sharing
KR100807739B1 (ko) * 2007-05-18 2008-02-28 삼성전자주식회사 Drm 라이센스 저장 장치, 저장 시스템 및 저장 방법
US8170987B2 (en) * 2007-10-31 2012-05-01 At&T Intellectual Property I, L.P. Methods, systems and computer program products for automatically identifying and backing up user device content
US10007767B1 (en) * 2007-12-21 2018-06-26 EMC IP Holding Company LLC System and method for securing tenant data on a local appliance prior to delivery to a SaaS data center hosted application service
US8706800B1 (en) * 2007-12-21 2014-04-22 Emc Corporation Client device systems and methods for providing secure access to application services and associated client data hosted by an internet coupled platform
US20090228574A1 (en) * 2008-03-10 2009-09-10 Jill Lewis Maures Digital media content distribution and promotion methods
US8380827B2 (en) * 2008-06-17 2013-02-19 Microsoft Corporation Automatic detection and reconfiguration of devices
ES2768049T3 (es) * 2009-01-13 2020-06-19 Microsoft Technology Licensing Llc Procedimientos y sistemas para asegurar y proteger repositorios y directorios
JP2010198351A (ja) * 2009-02-25 2010-09-09 Fujitsu Ltd 権利付コンテンツ管理装置
US8490176B2 (en) * 2009-04-07 2013-07-16 Juniper Networks, Inc. System and method for controlling a mobile device
US8935773B2 (en) 2009-04-09 2015-01-13 George Mason Research Foundation, Inc. Malware detector
US20100269164A1 (en) * 2009-04-15 2010-10-21 Microsoft Corporation Online service data management
US9276935B2 (en) * 2009-05-27 2016-03-01 Microsoft Technology Licensing, Llc Domain manager for extending digital-media longevity
WO2011030324A1 (en) * 2009-09-09 2011-03-17 Varonis Systems, Inc. Enterprise level data management
EP2510442B1 (de) * 2009-12-08 2014-11-12 Safend Ltd System und verfahren für sicheres datenbackup
US9537650B2 (en) * 2009-12-15 2017-01-03 Microsoft Technology Licensing, Llc Verifiable trust for data through wrapper composition
US8595812B2 (en) * 2009-12-18 2013-11-26 Sabre Inc. Tokenized data security
US20130061035A1 (en) * 2010-03-09 2013-03-07 Lock Box Pty Ltd Method and system for sharing encrypted content
US9176824B1 (en) * 2010-03-12 2015-11-03 Carbonite, Inc. Methods, apparatus and systems for displaying retrieved files from storage on a remote user device
US8433684B2 (en) * 2010-03-30 2013-04-30 Sybase, Inc. Managing data backup of an in-memory database in a database management system
US20110258082A1 (en) * 2010-04-14 2011-10-20 Microsoft Corporation Application Store for Shared Resource Computing
CA2798481A1 (en) * 2010-05-06 2011-11-10 Atigeo Llc Systems, methods, and computer readable media for security in profile utilizing systems
US9443071B2 (en) * 2010-06-18 2016-09-13 At&T Intellectual Property I, L.P. Proximity based device security
JP5511615B2 (ja) * 2010-09-30 2014-06-04 インターナショナル・ビジネス・マシーンズ・コーポレーション 作業指示に関連付けられた資産又は当該資産に関連付けられた要素を管理する方法、並びにそのシステム及びコンピュータ・プログラム
WO2012045023A2 (en) * 2010-09-30 2012-04-05 Commvault Systems, Inc. Archiving data objects using secondary copies
US20120102088A1 (en) * 2010-10-22 2012-04-26 Microsoft Corporation Prioritized client-server backup scheduling
EP2671186B1 (de) * 2011-02-02 2016-07-06 Metasecure Corporation Sichere instrumentierung eines sozialen netzes über ein sicherheitsmodell
US8505085B2 (en) * 2011-04-08 2013-08-06 Microsoft Corporation Flexible authentication for online services with unreliable identity providers
US8590025B2 (en) * 2011-05-17 2013-11-19 Autonomy, Inc. Techniques for accessing a backup system
US9292535B2 (en) * 2011-06-02 2016-03-22 International Business Machines Corporation Protecting data segments in a computing environment
US8868859B2 (en) * 2011-06-03 2014-10-21 Apple Inc. Methods and apparatus for multi-source restore
US9411687B2 (en) * 2011-06-03 2016-08-09 Apple Inc. Methods and apparatus for interface in multi-phase restore
US8819471B2 (en) * 2011-06-03 2014-08-26 Apple Inc. Methods and apparatus for power state based backup
US9465696B2 (en) * 2011-06-03 2016-10-11 Apple Inc. Methods and apparatus for multi-phase multi-source backup
US8918853B2 (en) * 2011-06-29 2014-12-23 Sharp Laboratories Of America, Inc. Method and system for automatic recovery from lost security token on embedded device
US8775376B2 (en) * 2011-06-30 2014-07-08 International Business Machines Corporation Hybrid data backup in a networked computing environment
US8769622B2 (en) * 2011-06-30 2014-07-01 International Business Machines Corporation Authentication and authorization methods for cloud computing security
US9003141B2 (en) * 2011-11-14 2015-04-07 Ca, Inc. Enhanced software application platform
US9148419B2 (en) * 2012-02-13 2015-09-29 PivotCloud, Inc. User administering a trustworthy workspace
US20130318207A1 (en) * 2012-02-15 2013-11-28 James Eric Dotter Systems and methods for managing mobile app data
GB2501098A (en) * 2012-04-12 2013-10-16 Qatar Foundation Fragmenting back up copy for remote storage
US8467770B1 (en) * 2012-08-21 2013-06-18 Mourad Ben Ayed System for securing a mobile terminal
US9710664B2 (en) * 2012-09-07 2017-07-18 Amrita Vishwa Vidyapeetham Security layer and methods for protecting tenant data in a cloud-mediated computing network
US9659177B1 (en) * 2012-09-24 2017-05-23 EMC IP Holding Company LLC Authentication token with controlled release of authentication information based on client attestation
US8924443B2 (en) * 2012-10-05 2014-12-30 Gary Robin Maze Document management systems and methods
US10275609B2 (en) * 2012-12-07 2019-04-30 Benedict Ow File sharing system and method
US20140181040A1 (en) * 2012-12-21 2014-06-26 Zetta, Inc. Client application software for on-line backup and disaster recovery
US9268797B2 (en) * 2012-12-21 2016-02-23 Zetta Inc. Systems and methods for on-line backup and disaster recovery
US9152686B2 (en) * 2012-12-21 2015-10-06 Zetta Inc. Asynchronous replication correctness validation
US8977594B2 (en) * 2012-12-21 2015-03-10 Zetta Inc. Systems and methods for state consistent replication
US9152642B2 (en) * 2012-12-21 2015-10-06 Zetta, Inc. Systems and methods for on-demand data storage
US8977598B2 (en) * 2012-12-21 2015-03-10 Zetta Inc. Systems and methods for on-line backup and disaster recovery with local copy
US9152643B2 (en) * 2012-12-21 2015-10-06 Zetta Inc. Distributed data store
US9015122B2 (en) * 2012-12-21 2015-04-21 Zetta, Inc. Systems and methods for minimizing network bandwidth for replication/back up
US20140279921A1 (en) * 2013-03-15 2014-09-18 Mark Wallace Wolfgang System and Method of Deletion and Backup of Social Networking Generated contents
IN2013CH01202A (de) * 2013-03-20 2015-08-14 Infosys Ltd
US9705919B1 (en) * 2013-07-12 2017-07-11 Palo Alto Networks, Inc. Security policy enforcement for mobile devices based on device state
US20150052616A1 (en) * 2013-08-14 2015-02-19 L-3 Communications Corporation Protected mode for securing computing devices
US9401905B1 (en) * 2013-09-25 2016-07-26 Emc Corporation Transferring soft token authentication capabilities to a new device
KR101418799B1 (ko) * 2013-11-14 2014-07-15 (주)세이퍼존 모바일용 오티피 서비스 제공 시스템
US9210183B2 (en) * 2013-12-19 2015-12-08 Microsoft Technology Licensing, Llc Detecting anomalous activity from accounts of an online service
US9635014B2 (en) * 2014-02-21 2017-04-25 Samsung Electronics Co., Ltd. Method and apparatus for authenticating client credentials
WO2015130925A1 (en) * 2014-02-26 2015-09-03 Arris Enterprises, Inc. Copy count for dtcp with an abbreviation hash used for check in copy
WO2015162276A2 (en) * 2014-04-24 2015-10-29 Vodafone Ip Licensing Limited Secure token implementation
US9892001B2 (en) * 2014-04-30 2018-02-13 Actian Corporation Customizing backup and restore of databases
US9311504B2 (en) * 2014-06-23 2016-04-12 Ivo Welch Anti-identity-theft method and hardware database device
US9891907B2 (en) * 2014-07-07 2018-02-13 Harman Connected Services, Inc. Device component status detection and illustration apparatuses, methods, and systems
US20160291940A1 (en) * 2014-07-07 2016-10-06 Symphony Teleca Corporation Remote Embedded Device Update Platform Apparatuses, Methods and Systems
US20160294605A1 (en) * 2014-07-07 2016-10-06 Symphony Teleca Corporation Remote Embedded Device Update Platform Apparatuses, Methods and Systems
US20160294614A1 (en) * 2014-07-07 2016-10-06 Symphony Teleca Corporation Remote Embedded Device Update Platform Apparatuses, Methods and Systems
US9489270B2 (en) * 2014-07-31 2016-11-08 International Business Machines Corporation Managing backup operations from a client system to a primary server and secondary server
CN107077403B (zh) * 2014-08-21 2020-10-09 卫盟软件股份公司 用于用户授权的备份服务器、方法及计算机程序产品
US9998499B2 (en) * 2014-09-29 2018-06-12 Amazon Technologies, Inc. Management of application access to directories by a hosted directory service
US9723090B2 (en) * 2014-09-30 2017-08-01 Anthony Tan Digital certification analyzer temporary external secured storage system tools
US10592108B2 (en) * 2014-09-30 2020-03-17 Anthony Tan Secured storage system with temporary external assignable memory
US9762722B2 (en) * 2014-11-17 2017-09-12 International Business Machines Corporation Location-based and time-based mobile device security
WO2016080963A1 (en) * 2014-11-18 2016-05-26 Hewlett Packard Enterprise Development Lp Network backup
US9882906B2 (en) * 2014-12-12 2018-01-30 International Business Machines Corporation Recommendation schema for storing data in a shared data storage network
US20160246995A1 (en) * 2015-02-25 2016-08-25 Barracuda Networks, Inc. Method and apparatus for authorized access to local files on a copy appliance
US10114966B2 (en) * 2015-03-19 2018-10-30 Netskope, Inc. Systems and methods of per-document encryption of enterprise information stored on a cloud computing service (CCS)
US10455265B2 (en) * 2015-04-27 2019-10-22 Ericsson Ab Program and device class entitlements in a media platform
US9691205B2 (en) * 2015-05-08 2017-06-27 Shane Wesley Robinson Cloud controlled common access entry point locking system and method
US10248512B2 (en) * 2015-05-19 2019-04-02 International Business Machines Corporation Intelligent data protection system scheduling of open files
US20170026385A1 (en) * 2015-07-23 2017-01-26 Satellite Technologies Llc Method and system for proximity-based access control
US9448893B1 (en) * 2015-08-26 2016-09-20 Zetta, Inc. Asynchronous replication correctness validation
CN106547644B (zh) * 2015-09-21 2020-11-20 伊姆西Ip控股有限责任公司 增量备份方法和设备
US9753813B1 (en) * 2015-09-25 2017-09-05 Amazon Technologies, Inc. Data replication snapshots for persistent storage using operation numbers
US9554274B1 (en) * 2015-09-30 2017-01-24 Bank Of America Corporation System for authentication levels associated with a wearable device
US10180885B2 (en) * 2015-11-10 2019-01-15 Netapp, Inc. Prioritized data recovery from an object storage service and concurrent data backup
US10430293B1 (en) * 2015-12-30 2019-10-01 EMC IP Holding Company LLC Backup client agent
US20170333779A1 (en) * 2016-05-18 2017-11-23 Terence Faycal El Labban System and Method for Invitation to Games or Sports
US10574692B2 (en) * 2016-05-30 2020-02-25 Christopher Nathan Tyrwhitt Drake Mutual authentication security system with detection and mitigation of active man-in-the-middle browser attacks, phishing, and malware and other security improvements
US10623406B2 (en) * 2016-07-22 2020-04-14 Box, Inc. Access authentication for cloud-based shared content
US10346258B2 (en) 2016-07-25 2019-07-09 Cisco Technology, Inc. Intelligent backup system
US10715533B2 (en) 2016-07-26 2020-07-14 Microsoft Technology Licensing, Llc. Remediation for ransomware attacks on cloud drive folders
US11126740B2 (en) * 2016-11-04 2021-09-21 Microsoft Technology Licensing, Llc Storage isolation for containers
US10789386B2 (en) * 2016-11-09 2020-09-29 Reavire, Inc. Dispatching identity information from secure hardware appliance
US10382429B2 (en) * 2016-11-18 2019-08-13 Veritas Technologies Llc Systems and methods for performing secure backup operations
US10397216B2 (en) * 2016-11-18 2019-08-27 Veritas Technologies Llc Systems and methods for performing secure backup operations
US10289844B2 (en) 2017-01-19 2019-05-14 International Business Machines Corporation Protecting backup files from malware
US10838821B2 (en) * 2017-02-08 2020-11-17 Commvault Systems, Inc. Migrating content and metadata from a backup system
US10503427B2 (en) * 2017-03-10 2019-12-10 Pure Storage, Inc. Synchronously replicating datasets and other managed objects to cloud-based storage systems
US20180285205A1 (en) * 2017-03-29 2018-10-04 Commvault Systems, Inc. Network-accessible file storage system
US10558531B2 (en) * 2017-04-18 2020-02-11 Netapp, Inc. Systems and methods for backup and restore of master-less distributed database clusters
US9971881B1 (en) * 2017-05-02 2018-05-15 Flexera Software Llc License-based access control of computing resources
US20180336554A1 (en) * 2017-05-17 2018-11-22 Douglas H. Trotter Secure electronic transaction authentication
US20180341666A1 (en) * 2017-05-23 2018-11-29 Synology Incorporated Data protection method and associated apparatus
US10503904B1 (en) 2017-06-29 2019-12-10 Fireeye, Inc. Ransomware detection and mitigation
US11050765B2 (en) * 2017-08-26 2021-06-29 Nicira, Inc. Security system for managed computer system
GB2568873B (en) * 2017-11-23 2021-09-22 Advanced Risc Mach Ltd Distributed management system for internet of things devices and methods thereof
US10783088B2 (en) * 2017-12-21 2020-09-22 Red Hat, Inc. Systems and methods for providing connected anti-malware backup storage
US10866963B2 (en) * 2017-12-28 2020-12-15 Dropbox, Inc. File system authentication
US11159315B2 (en) * 2018-01-22 2021-10-26 Microsoft Technology Licensing, Llc Generating or managing linked decentralized identifiers
US10545834B1 (en) * 2018-03-02 2020-01-28 June B. Smith Server-assisted network data archiving
US11528611B2 (en) * 2018-03-14 2022-12-13 Rose Margaret Smith Method and system for IoT code and configuration using smart contracts
US11237911B2 (en) * 2018-03-20 2022-02-01 Sap Se Object store for database backups
US10887081B2 (en) * 2018-06-28 2021-01-05 International Business Machines Corporation Audit trail configuration in a blockchain
US10684791B2 (en) * 2018-09-26 2020-06-16 EMC IP Holding Company LLC System and method for environment aware backup and restoration
US11599422B2 (en) * 2018-10-16 2023-03-07 EMC IP Holding Company LLC System and method for device independent backup in distributed system
US11249857B2 (en) * 2018-10-19 2022-02-15 Netapp, Inc. Methods for managing clusters of a storage system using a cloud resident orchestrator and devices thereof
US11036877B2 (en) * 2018-12-03 2021-06-15 Veritas Technologies Llc Systems and methods for controlling access to information stored in an information retention system
US11374767B2 (en) * 2019-01-14 2022-06-28 EMC IP Holding Company LLC Key-based authentication for backup service
US11301578B2 (en) * 2019-04-05 2022-04-12 International Business Machines Corporation Protecting data based on a sensitivity level for the data
US11573863B2 (en) * 2019-04-08 2023-02-07 Kyndryl, Inc. Virtual machine backup and restore coordinator
US20200327017A1 (en) * 2019-04-10 2020-10-15 Commvault Systems, Inc. Restore using deduplicated secondary copy data
US11196749B2 (en) * 2019-04-26 2021-12-07 Oracle International Corporation System and method for controlling a multi-tenant service-oriented architecture
US11381567B2 (en) * 2019-04-29 2022-07-05 Microsoft Technology Licensing, Llc Execution of an application within a scope of user-granted permission
EP3963457A1 (de) * 2019-04-30 2022-03-09 Clumio, Inc. Deduplizierung in einem cloud-basierten datenschutzdienst
US11411959B2 (en) * 2019-05-03 2022-08-09 Microsoft Technology Licensing, Llc Execution of application in a container within a scope of user-granted permission
US11693744B2 (en) * 2019-05-10 2023-07-04 Commvault Systems, Inc. Synthesizing format-specific full backup images
US20200364354A1 (en) * 2019-05-17 2020-11-19 Microsoft Technology Licensing, Llc Mitigation of ransomware in integrated, isolated applications
US11290494B2 (en) * 2019-05-31 2022-03-29 Varmour Networks, Inc. Reliability prediction for cloud security policies
US11632373B2 (en) * 2019-06-18 2023-04-18 Microsoft Technology Licensing, Llc Activity based authorization for accessing and operating enterprise infrastructure
US20200401489A1 (en) * 2019-06-24 2020-12-24 Commvault Systems, Inc. Content indexing of files in virtual disk block-level backup copies
US11080142B2 (en) * 2019-06-28 2021-08-03 Rubrik, Inc. Preservation of electronic messages between snapshots
US11477232B2 (en) * 2019-07-08 2022-10-18 Acronis International Gmbh Method and system for antivirus scanning of backup data at a centralized storage
US20210027265A1 (en) * 2019-07-24 2021-01-28 T-Mobile Usa, Inc. Content delivery systems that use blockchain to manage content
US20210042199A1 (en) * 2019-08-06 2021-02-11 Acronis International Gmbh System and method of transferring of data between data centers based on user behavior
US12475209B2 (en) * 2019-08-15 2025-11-18 Felica Networks, Inc. Information processing device, information processing method, and information processing system
JP2021033844A (ja) * 2019-08-28 2021-03-01 富士ゼロックス株式会社 機器、情報処理装置及びプログラム
US11237921B2 (en) * 2019-11-22 2022-02-01 EMC IP Holding Company LLC Protecting storage backup configuration
US11334446B2 (en) * 2019-12-03 2022-05-17 Kyndryl, Inc. Backup system for an overlay network
US11513907B2 (en) * 2020-02-05 2022-11-29 EMC IP Holding Company LLC Method and system for resuming interrupted database backup operations using checkpoints
US11372726B2 (en) * 2020-02-05 2022-06-28 EMC IP Holding Company LLC Method and system for adaptive incrementally updated backups with dynamic data file detection
US11455213B2 (en) * 2020-02-05 2022-09-27 EMC IP Holding Company LLC Method and system for parallel data transmission and cooperating backups
US11294776B2 (en) * 2020-03-24 2022-04-05 Verizon Patent And Licensing Inc. Systems and methods for remote-initiated device backup
US11556429B2 (en) * 2020-03-27 2023-01-17 EMC IP Holding Company LLC Multiple data labels within a backup system
US11601285B2 (en) * 2020-06-24 2023-03-07 EMC IP Holding Company LLC Securely authorizing service level access to a backup system using a specialized access key
US11868213B2 (en) * 2020-06-26 2024-01-09 Netapp, Inc. Incremental backup to object store
US11831773B1 (en) * 2020-06-29 2023-11-28 Amazon Technologies, Inc. Secured database restoration across service regions
US11379315B2 (en) * 2020-08-07 2022-07-05 EMC IP Holding Company LLC System and method for a backup data verification for a file system based backup
US11914731B1 (en) * 2020-09-29 2024-02-27 Amazon Technologies, Inc. Cross-boundary data backup background

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20180285207A1 (en) * 2017-03-29 2018-10-04 Commvault Systems, Inc. Retrieval operations for files in a network-accessible system
US20180373877A1 (en) * 2017-06-26 2018-12-27 Microsoft Technology Licensing, Llc Data quarantine and recovery
US20200057697A1 (en) * 2017-08-07 2020-02-20 Datto, Inc. Multiclient Backup Replication Apparatuses, Methods and Systems
DE102020101084A1 (de) * 2019-02-08 2020-08-13 Intel Corporation Verbesserte sicherheit für mehrknoten-rechenplattform

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
KAUR, Prabhjeet; SOMANI, Gaurav: Secure VM Backup and Vulnerability Removal in Infrastructure Clouds. In: Proceedings of the 2014 International Conference on Advances in Computing, Communications and Informatics (ICACCI), 24.–27. September 2014, Delhi, India. Piscataway, NJ, USA : IEEE, 2014. S. 1217–1226. ISBN 978-1-4799-3079-1. DOI: 10.1109/ICACCI.2014.6968311 [abgerufen am 2025-07-07] *
KAUR, Prabhjeet; SOMANI, Gaurav: Secure VM Backup and Vulnerability Removal in Infrastructure Clouds. In: Proceedings of the 2014 International Conference on Advances in Computing, Communications and Informatics (ICACCI), 24.–27. September 2014, Delhi, India. Piscataway, NJ, USA : IEEE, 2014. S. 1217–1226. ISBN 978-1-4799-3079-1. DOI: 10.1109/ICACCI.2014.6968311 [abgerufen am 2025-07-07]

Also Published As

Publication number Publication date
US20220150241A1 (en) 2022-05-12
CN119621236B (zh) 2025-09-30
US12088583B2 (en) 2024-09-10
US20240396889A1 (en) 2024-11-28
DE102021126869A1 (de) 2022-05-12
CN114546582A (zh) 2022-05-27
CN119621236A (zh) 2025-03-14

Similar Documents

Publication Publication Date Title
DE102021126869B4 (de) Berechtigungen für Backup-bezogene Operationen
DE112020005289B4 (de) Teilweise sortierte blockchain
DE69029759T2 (de) Flexible Schnittstelle für Beglaubigungsdienste in einem verteilten Datenverarbeitungssystem
EP3195556B1 (de) Verteilte datenspeicherung mittels berechtigungstoken
DE69727198T2 (de) Durchführen digitaler Unterschriften für Datenströme und Archive
DE112021005862B4 (de) Selbstprüfende blockchain
EP3648430B1 (de) Hardware-sicherheitsmodul
DE112021002747T5 (de) Sicheres wiederherstellen von geheimen schlüsseln
DE112022000963T5 (de) Verbindungsbeständige mehrfaktorauthentifizierung
WO2012168019A2 (de) Zugriff auf in einer cloud gespeicherte daten
DE112022004898T5 (de) Schutz von geclusterten containern
DE102009054128A1 (de) Verfahren und Vorrichtung zum Zugriff auf Dateien eines sicheren Fileservers
CN118827232A (zh) 一种电子信息系统安全存储系统
DE112022003983T5 (de) Berechtigte, sichere datenverschiebung
DE102024120601A1 (de) Delta-anomalieerkennung bei sicherheitskopien von spezialisierten verzeichnisdienst-assets
WO2003025758A2 (de) Vorrichtung und verfahren zur etablierung einer sicherheitspolitik in einem verteilten system
EP1773081A1 (de) Freischaltung von Hardware in einem Managementsystem
EP3105899B1 (de) Verfahren zum hochfahren eines produktions-computersystems
WO2014068051A1 (de) Verfahren zum geschützten hinterlegen von ereignisprotokoll-daten eines computersystems, computerprogrammprodukt sowie computersystem
DE112012000780T5 (de) Verarbeiten von Berechtigungsprüfungsdaten
DE102013210837B4 (de) Startanwendung kryptographischer Schlüsselspeicher
EP4430501B1 (de) Verfahren und zugehörige computersysteme zur sicherung der integrität von daten
DE102020007114B4 (de) Datenverkehrsbasiertes Erkennen einer Sicherheitsbedrohung für ein Speichersystem
DE102013019487A1 (de) Verfahren, Vorrichtungen und System zur Online-Datensicherung
DE102022108671A1 (de) Zugang zur verwaltungsschnittstelle in speichersystemen

Legal Events

Date Code Title Description
R081 Change of applicant/patentee

Owner name: HEWLETT PACKARD ENTERPRISE DEVELOPMENT LP, SPR, US

Free format text: FORMER OWNER: HEWLETT PACKARD ENTERPRISE DEVELOPMENT LP, HOUSTON, TX, US

R012 Request for examination validly filed
R016 Response to examination communication
R018 Grant decision by examination section/examining division