Object First, opgericht door de grondleggers van Veeam, levert immutable backup storage exclusief ontworpen voor Veeam-omgevingen. Met de belofte van ‘absolute immutability’ en een out-of-the-box installatie van slechts vijftien minuten, moet de appliance het antwoord zijn op de toenemende dreiging van ransomware en insider threats. We spraken erover met Stéphane Berthaud, Director EMEA Sales Engineering.
Object First zag het levenslicht in 2022, opgericht door Ratmir Timashev en Andrei Baranov. Nadat zij Veeam in 2020 verkochten aan investeringsfonds Insight Partners, signaleerden zij een aanzienlijk gat in de markt. Veeam is als backup software van oudsher bewust flexibel en agnostisch ten aanzien van de onderliggende storage. Die vrijheid biedt voordelen, maar betekent ook dat de verantwoordelijkheid voor de configuratie en de daadwerkelijke beveiliging van de gekozen storageoplossing volledig bij de eindgebruiker ligt.
In de praktijk zagen de twee heren geen storageoplossing die exclusief ontworpen was voor Veeam en tegelijkertijd standaard voldeed aan de strenge moderne security-eisen. Om die kloof te dichten, ontwikkelde Object First de Ootbi-appliance: Out-of-the-Box Immutability.
Ransomware en datadiefstal als omslagpunt
Volgens Berthaud veranderde het dreigingslandschap fundamenteel met de komst van de eerste grootschalige ransomware-aanvallen. Daarvoor was een trage herstelsnelheid bij backup storage nauwelijks een pijnpunt. Deduplicatie-appliances waren enorm populair omdat ze data efficiënt en compact konden wegschrijven. Dat deze systemen door de benodigde reconstructie van gecomprimeerde blokken slecht presteerden tijdens het herstelproces, werd geaccepteerd. Volledige restores kwamen simpelweg zelden voor.
Met de professionalisering van cybercriminaliteit veranderde die realiteit drastisch. “Aanvallers versleutelden stilletjes de backups voordat ze de productiedata aanvielen”, legt Berthaud uit. Een versleutelde productieomgeving valt immers direct op, maar aangetaste backups kunnen lang onopgemerkt blijven. Op het moment dat de productiedata vergrendeld raakt, is de organisatie reddeloos verloren als ook de backups onbruikbaar zijn.
Daarnaast wijst Berthaud op de opmars van insider threats en datadiefstal. Hij illustreert dit met een algemeen incident bij een bank, geen specifieke Object First-klant. Wat in eerste instantie een reguliere ransomware-aanval leek, bleek na onderzoek van het CERT-team het werk van een ontevreden medewerker die doelbewust schade had aangericht en zijn sporen had gemaskeerd als een externe hack.
Ook datadiefstal gevolgd door afpersing vereist een nieuwe aanpak, waarbij het versleutelen van backup data aan de bron steeds crucialer wordt. Hier stuiten traditionele deduplicatie-appliances op een technische grens. Versleutelde data breekt het deduplicatie-algoritme, omdat vergelijkbare datablokken niet langer als zodanig worden herkend. Omdat de Ootbi-appliances van Object First zijn gebaseerd op object storage, kunnen zij versleutelde data ontvangen en opslaan zonder enig verlies van prestaties of efficiëntie.
Absolute immutability daadwerkelijk bewezen
Object First spreekt steevast over ‘absolute immutability’. Het bedrijf wil garanderen dat data onder geen enkele omstandigheid kan worden aangepast, verwijderd of versleuteld. Niemand, zelfs een beheerder, kan de firmware, operating system, storagelaag of backupdata aanpassen. Berthaud is hierin stellig: “Ongeacht de inbreuk op je IT-systeem en ongeacht het niveau van compromittatie, verzekeren wij dat de data onaangetast blijft.” Zelfs als alle inloggegevens van de backup software en van de Ootbi-appliance in handen van kwaadwillenden vallen, is de data veilig.
Om te voorkomen dat dit een holle marketingclaim blijft, hanteert Object First een transparante validatiemethode. Elke zes maanden voert het Britse cybersecuritybedrijf NCC Group een uitgebreide pentest uit op de appliances. De testers krijgen hiervoor volledige toegang tot de systemen, inclusief de broncode. De bevindingen worden door de NCC Group gepubliceerd, ongeacht de uitkomst en zonder dat Object First hier invloed op kan uitoefenen.
Technisch is deze absolute immutability opgebouwd uit meerdere beveiligingslagen. Een cruciale maatregel is het uitsluiten van netwerktoegang voor root-gebruikers. Wie als root wil inloggen, moet fysiek met een toetsenbord en monitor bij het apparaat aanwezig zijn. Daarnaast hanteert het bedrijf een strikt ‘eight eyes’-principe voor dataverwijdering. Voordat gegevens definitief gewist kunnen worden, is er goedkeuring nodig van twee geautoriseerde contactpersonen aan de klantzijde én twee medewerkers van Object First, gecombineerd met fysieke aanwezigheid. Deze strenge procedure maakt ook social engineering, waarbij aanvallers zich voordoen als de klant om acties af te dwingen, nagenoeg onmogelijk.
Uitgerold in vijftien minuten
De keuze om Ootbi exclusief voor Veeam te ontwerpen, is een bewuste veiligheids- en prestatie-afweging. Andere object storage-appliances in de markt zijn brede platforms die meerdere protocollen en use-cases ondersteunen. Hoewel dit flexibiliteit biedt, vergroot het volgens Berthaud onvermijdelijk het aanvalsoppervlak. Door zich puur en alleen op Veeam te richten, behoudt Object First een minimale ‘attack surface’ en kan het een veel diepere integratie realiseren.
Deze integratie leunt zwaar op de Veeam SOSAPI, of Smart Object Storage API. Via deze API worden functies als immutability, load balancing en prestatie-optimalisatie automatisch geactiveerd. Het resultaat is een opvallend korte instaptijd. Van het uitpakken van de hardware tot de eerste draaiende Veeam-backup zit doorgaans slechts vijftien minuten.
Het proces is ontworpen voor eenvoud. Na het aansluiten van stroom en netwerk configureert de beheerder via een tekstinterface de IP-adressen en de clusternaam. Vervolgens neemt een intuïtieve web-UI het over voor het genereren van S3-toegangssleutels en het aanmaken van S3-buckets. In de Veeam Backup Server hoeft daarna alleen nog een taak naar deze bucket te worden verwezen. Immutability is vanaf de eerste seconde standaard ingeschakeld. Hierdoor is volgens Object First geen uitgebreide Linux- of storage-kennis nodig om handmatig geharde repositories op te zetten en te onderhouden.
Prestaties en schaalbaarheid voor direct herstel
Naast veiligheid is herstelsnelheid de belangrijkste pijler van de Ootbi-architectuur. De appliances bieden lineaire prestatieschaalbaarheid. Elke node in een cluster levert een doorvoer van twee gigabyte per seconde. Zodra er nodes worden toegevoegd, schaalt deze capaciteit direct mee. Via een scale-out backup repository kunnen clusters worden uitgebreid tot een capaciteit van zeven petabyte. In Veeam verschijnt dit eenvoudigweg als één overzichtelijke repository.
Met deze hoge doorvoersnelheid wil Object First krachtige herstelscenario’s mogelijk maken. Object First garandeert dat er minimaal 25 virtuele machines (VM’s) gelijktijdig en rechtstreeks vanaf de backup storage kunnen worden opgestart via de Instant VM Recovery-functie van Veeam. Een dergelijke prestatie is met traditionele deduplicatie-appliances, vanwege de vertragende reconstructieprocessen, niet haalbaar.
Extra mogelijkheden aan de edge
Om in te spelen op de behoeften van gedistribueerde omgevingen, introduceerde Object First in oktober 2025 de Ootbi Mini. Dit is een compacte variant van de appliance, specifiek gericht op kleine kantoren, remote offices en edge-locaties. De Mini is beschikbaar in capaciteiten van 8, 16 en 24 terabyte, maar biedt exact dezelfde beveiligings- en immutability-garanties als de grote enterprise-modellen. Berthaud ziet naast het mkb ook veel potentie voor deze units op afgelegen of mobiele locaties, zoals schepen en olieplatforms.
Voor organisaties die te maken hebben met een forse hoeveelheid vestigingen en apparatuur, biedt Object First de Fleet Manager. Deze cloudgebaseerde beheertool, die sinds deze week beschikbaar is, stelt beheerders in staat om een gemengde omgeving van Mini’s en standaard Ootbi-appliances vanuit één enkel gecentraliseerd dashboard te monitoren en te beheren.
Explosieve groei in EMEA
Object First startte zijn activiteiten in de EMEA-regio in de tweede helft van 2024 en de marktadoptie verloopt in hoog tempo. Berthaud meldt dat de omzet in 2025 een jaar-op-jaargroei kende van 515 procent in de EMEA-regio. Dit weerspiegelt de wereldwijde trend van het bedrijf, dat over heel 2025 een boekingsgroei van 183 procent rapporteerde, waarbij EMEA de sterkst presterende regio bleek.
De Ootbi-appliance is met name populair binnen het mid-marketsegment. Sectoren als de gezondheidszorg (ziekenhuizen en zorggroepen) zijn sterk vertegenwoordigd, evenals internationaal opererende bedrijven die betrouwbare, lokale backup storage eisen op verschillende vestigingen. Vaak stappen klanten in op het moment dat de supportcontracten van hun bestaande storage-infrastructuur aflopen.
Hoewel Veeam recent zelf ook een software-appliance (geleverd als OVA-bestand) op de markt bracht, ziet Berthaud de oplossingen als sterk complementair. Waar de klant bij een software-appliance nog steeds zelf verantwoordelijk is voor de fysieke beveiliging van hardware-managementinterfaces, neemt de Ootbi van Object First die zorg volledig weg. Het levert een kant-en-klaar hardened systeem, waardoor de focus van de IT-afdeling weer kan verschuiven van storagebeheer naar daadwerkelijke dataveiligheid.