So schafft AvePoint noch mehr Sicherheit für Azure BYOS-Kunden

Viele AvePoint-Produkte ermöglichen es den Kunden, ein Bring-Your-Own-Storage (BYOS)-Modell zu nutzen, um ihre Sicherheits- und Geschäftsanforderungen zu erfüllen. Kunden, die Azure Storage als BYOS-System verwenden, empfehlen wir in der Regel, dass sie die gleiche Azure-Region wie AOS nutzen, um optimale Performance sicherzustellen.

Zu den Sicherheitskontrollen gehören häufig Firewall-Bestimmungen für zusätzliche Sicherheit. Aus diesem Grund veröffentlichen wir unsere bekannten IP-Adressen, um Ihnen einen vertrauten Endpunkt zu geben, damit wir innerhalb der von Ihnen festgelegten Firewall-Einstellungen arbeiten können.

Die Herausforderung bei diesem Ansatz liegt an der Schnittstelle zwischen diesen beiden Lösungen. Die Art, wie Microsoft Azure Traffic innerhalb der gleichen Region handhabt, führt dazu, dass Zugriff von AvePoint-Diensten auf Azure Storage in der gleichen Region zur Verbesserung der Performance durch die internen IPs von Azure geroutet wird. Infolgedessen können Kunden mit dieser Konfiguration keine IP-basierten Firewalls verwenden.

Aber es gibt auch gute Nachrichten! Microsoft Azures Virtual Network (vNet) verfügt nun über eine Funktion, die Azure Storage-Firewall-Regeln basierend auf der vNet-Einrichtung des Endpunkts erlaubt. Die BYOS-Kunden von AvePoint können nun Azure Storage in derselben Region nutzen und gleichzeitig die Sicherheitsstandards für sicheren Netzwerk-Traffic einhalten. Wir werden im November 2021 ein Update unserer Cloud-Plattform AOS vornehmen, mit der VNET genutzt werden kann. Zu diesem Zeitpunkt müssen die bestehenden IP-Adressen auf den neuesten Stand gebracht werden, damit keine Auswirkungen für Backup-Aufträge entstehen.

Wer ist davon betroffen?

Die meisten Kunden werden von dieser Änderung gar nichts mitbekommen. Diejenigen, die BYOS mit aktivierten IP-basierten Firewalls verwenden, sollten allerdings weiterlesen! Ab Januar 2022 wird der VNet-Speicherendpunkt global für die folgenden Produkte aktiviert:

  • Cloud Backup: Kunden, die ihren eigenen Speicher zur Ablage der Backup-Daten konfigurieren, anstatt den Standardspeicher von AvePoint zu nutzen.
    • Cloud Backup für Microsoft 365
    • Cloud Backup für Dynamics 365
    • Cloud Backup für Google Workspace
    • Cloud Backup für Salesforce
    • Classic Backup (ehemals DocAve Online Exchange Online und Granular Backup).
  • Cloud Archiver: Kunden, die benutzerdefinierten Speicher konfigurieren. Dazu gehören Cloud Records-Kunden, die Cloud Archiver verwenden.
  • Cloud Governance: Kunden, die ihren eigenen Azure Blob-Speicher in „Report Export Location“ konfiguriert haben.
  • AvePoint Online Services für Partner: Partner, die bei Verwendung der Funktion „Start Service“ ihren eigenen Speicher für Cloud Backup für Microsoft 365 und Cloud Backup für G-Suite nutzen.
  • AvePoint Online Services: Kunden, die „Report Data Collection“ verwenden, um die Audit-Protokolle in ihrem eigenen Speicher zu sichern. Diese Konfiguration funktioniert in der Regel für Policies für Microsoft 365, die Report-Center-Funktion in Cloud Management sowie Cloud Insights.

Der Großteil der Kunden wird von dieser geplanten Änderung nichts mitbekommen. Allerdings kann eine sehr kleine Anzahl von Kunden davon betroffen sein. Zum Beispiel:

  1. Sie haben sich mit AvePoint Online Services im Rechenzentrum USA, Osten registriert und BYOS aktiviert. Befindet sich Ihr Speicher in der Azure-Region USA, Westen und Sie haben IP-basierte Firewalls aktiviert, betrifft Sie diese Änderung! (USA, Westenist die gekoppelte Azure-Region für USA, Osten).
  2. Sie haben sich mit AvePoint Online Services im Rechenzentrum USA, Osten registriert und BYOS aktiviert. Befindet sich Ihr Speicher in der Azure-Region USA, Mitte und Sie haben IP-basierte Firewalls aktiviert, betrifft Sie diese Änderung NICHT(USA, Mitteist nicht die gekoppelte Azure-Region für USA, Osten).

Die folgende Tabelle zeigt eine Liste von Faktoren, anhand derer Sie bestimmen können, ob Sie betroffen sind:

Tabelle der Koppelung von Azure-Regionen für AOS-Rechenzentren:

Okay, ich bin betroffen. Wie geht es weiter?

Wenn Sie betroffen sind (auch hier handelt es sich um einen kleinen Teil der Kunden) müssen Azure Virtual Network (vNet) basierte Firewall-Regeln zu Ihrem BYOS Azure Storage hinzugefügt werden. Unsere Support- und Customer-Success-Teams klären diesen Punkt gerne mit Ihnen, sobald Sie bereit sind, bevorzugt an einem Termin kurz nach unserem November-Release.

Eine kurze Zusammenfassung für unsere Kunden, die BYOS mit Azure Storage verwenden und eine Firewall für ihren Speicher aktivieren müssen:

  • Wenn Ihr Azure-Speicher sich in der gleichen oder einer gekoppelten Region von AOS befindet, müssen vNet-basierte Firewall-Regeln hinzugefügt werden.
    • Zur Verbesserung der Flexibilität wird empfohlen, auch IP-basierte Firewall-Regeln hinzuzufügen.
  • Wenn Ihr Azure-Speicher sich in anderen Azure-Regionen befindet, müssen Sie eine IP-basierte Firewall hinzufügen.

Die Änderung sollte direkt nach dem November-Release von AOS durchgeführt werden, das am 7. November 2021 um 11.00 Uhr koordinierte Weltzeit (UTC, Coordinated Universal Time) abgeschlossen sein wird. Bitte beachten Sie, dass das Veröffentlichungsdatum für unsere Cloud Governance-Kunden eine Woche später, am 14.11.2021 stattfindet.


Bleiben Sie über das Neueste von AvePoint auf dem Laufenden und abonnieren Sie unseren Blog.