Een ramp komt altijd onverwacht

Een ramp komt altijd onverwacht VERLAAG UW RISICO’S MET DISASTER RECOVERY-AS-A-SERVICE (DRaaS)

Een whitepaper van proserve®

November 2014

Een ramp komt altijd onverwacht

Een whitepaper van proserve®

2

3

Inhoud

Introductie 3

Introductie

Voor steeds meer bedrijven en organisaties is data zonder twijfel het belangrijkste bedrijfsmiddel. Dat wordt duidelijk op het moment dat een organisatie langere tijd niet kan beschikken over

4

Het belang van business continuity De rol van Disaster Recovery als onderdeel

5

van business continuity RPO en RTO



6

Disaster Recovery-as-a-Service Verschil met online back-up



7



8

De voordelen op een rij

8

Componenten van DRaaS van proserve

8

bedrijfsgegevens. In dat geval is het primaire proces onmiddellijk in het geding.

Productieomgevingen staan stil door gebrek

Dit is geen kernactiviteit van bedrijven. Vandaar

aan input, marketing, sales en logistiek kunnen

dat steeds meer organisaties deze activiteiten

niet verder en ook de financiële afdeling mist de

uitbesteden aan een gespecialiseerde partij.

middelen om bijvoorbeeld analyses te maken en

Zij verzekeren zich zo van de nieuwste

facturen te sturen en te controleren.

technologieën en verbeteren daardoor de beschikbaarheid van hun data.

De meeste bedrijven onderkennen deze risico’s en hebben maatregelen getroffen die ernstig

In deze whitepaper beschrijven we deze Disaster

dataverlies moeten voorkomen. Zij zorgen voor

Recovery-as-a-Service-dienstverlening, zoals

regelmatige back-ups naar tape of disks of replicatie

proserve deze heeft ontwikkeld met een focus op

naar een tweede locatie. Deze bedrijven hopen zo

het midden- en kleinbedrijf. De whitepaper biedt

na een calamiteit weer snel in de lucht te zijn met

zo handvatten voor organisaties die op zoek zijn

hun IT-omgevingen.

naar manieren om hun data beter te beschermen en goed voorbereid te zijn op calamiteiten.

De praktijk leert dat het vaak veel lastiger is om data goed te herstellen dan het op het eerste oog lijkt. Het proces van opslaan, bewaren en herstellen van data is geen eenmalige activiteit, maar vereist beheer, controle en testen of alle data goed wordt bewaard en op de juiste manier te herstellen is.

Over proserve proserve is onderdeel van de IT-Ernity groep. Met circa honderd werknemers bedient het bedrijf meer dan 50.000 klanten, beheert het 150.000 domeinnamen en ruim 6.000 servers. Vanuit haar vestigingen in Amsterdam, Zwolle, Son en Papendrecht levert zij – samen met diverse gerenommeerde partners – internetservices in de breedste zin van het woord. Kwaliteit en veiligheid zijn belangrijke pijlers in de dienstverlening, hetgeen zich laat onderschrijven door de ISO 9001 en 27001 certificering. Het DNA van de organisatie laat zich het beste vertalen in no-nonsense, ‘business aware’, innovatief, pro-actief, professioneel en mensgericht. Bekende klantnamen zijn KPMG, Vliegwinkel.nl, Vakantieveilingen.nl, Bol.com, Wegener en Funda. Binnen de IT-Ernity groep is proserve het merk van waaruit de klanten in het corporate segment en de overheid worden bediend met het faciliteren van Infrastructure en Platform as a Service (IaaS en PaaS) en levert men managed services.

November 2014

Een ramp komt altijd onverwacht

Een whitepaper van proserve®

4

5

Het belang van business continuity

De rol van Disaster Recovery als onderdeel van business continuity

Iedere organisatie – van eenmanszaak tot multinational – is gebaat bij continuïteit. Die

 Incrementele back-up van bestanden die gewijzigd zijn sinds de laatste back-up. Data is zo sneller te back-uppen, maar

continuïteit is afhankelijk van een groot aantal factoren. Veel bedrijven brengen die factoren

In een Business Continuity Plan neemt

het kan nodig zijn om back-ups van

in kaart in een business continuity plan (BCP). Business continuity is niet hetzelfde als

Disaster Recovery (DR) een centrale plaats

verschillende dagen en op verschillende

disaster recovery. Business continuity gaat om de totaalaanpak voor het verzekeren van de

in. Veel organisaties – en dan met name de

media samen te stellen, afhankelijk van

bedrijfscontinuïteit na een calamiteit. Dat kan gaan om een IT-storing, maar ook om een

kleinere – hebben vaak wel processen voor

wanneer een bestand is gewijzigd.

calamiteit op andere terreinen. Denk aan een productiefout die leidt tot juridische claims of

dataprotectie, maar niet voor het betrouwbaar

 Differentiële back-up. Hierbij worden alle

een kostbare recall-actie. Bij Disaster Recovery gaat het om het herstellen van data, zodat

en gestructureerd herstellen van data, zodat de

nieuwe of gewijzigde bestanden sinds de

medewerkers weer verder kunnen met hun werk.

organisatie snel weer up and running is.

laatste volledige back-up opgeslagen tot de volgende volledige back-up.

Hoe ziet een business continuity plan er in grote lijnen uit? Kern van de zaak is dat helder en eenduidig

Dataprotectie is op verschillende manieren in

Hiermee is de back-uptijd te verkorten

vastligt wie wat doet op welk moment als zich een calamiteit voordoet. Omdat geen enkel bedrijf

te vullen. De meest traditionele (en nog zeer

en zijn minder opslagmedia nodig dan bij

hetzelfde is, is een plan altijd maatwerk. Informatie en communicatie zijn echter de gemene delers bij

veel gebruikte) manier is om op gezette tijden –

een incrementele back-up.

een calamiteit. Daarom bevat een BCP in ieder geval de volgende kerngegevens:

bijvoorbeeld iedere avond – een back-up naar tape

Een overzicht van de medewerkers met een sleutelfunctie en hun vervangers; Een overzicht van de belangrijkste externe contacten, waaronder (toe)leveranciers en klanten; Een overzicht van de kritische apparatuur (en software) binnen de organisatie;  Een overzicht van kritische documenten binnen de organisatie, zoals eigendomsakten en

te maken. De beheerder slaat de tapes op in een

Naast het back-uppen van data is ook het goed

kluis of neemt ze mee naar huis. Daarnaast is het

technisch inrichten van de eigen IT-omgeving

mogelijk om back-ups naar een disk op de eigen

onderdeel van dataprotectie. Daarbij gaat het

locatie of een plek buiten de organisatie te maken.

om voorzieningen als overspanningsbeveiliging,

Deze vorm van replicatie naar een locatie buiten de

noodstroom, brandwerende systemen, antivirus/

eigen organisatie is veiliger dan het bewaren van

firewallsystemen en RAID (redundant array of

tape intern of extern, omdat externe opslag op disk

independent disks) voor fysieke dataopslag op

in de regel gebeurt in een beveiligd datacenter.

harde schijven, waarbij de gegevens over meer

contracten;  Een overzicht van leveranciers van reserveapparatuur die nodig kan zijn na een calamiteit, evenals een overzicht van mogelijke fysieke uitwijklocaties;

schijven verdeeld worden, op meer dan één Hier gelden extra fysieke en technologische

schijf worden opgeslagen, of beide, ten behoeve

beveiligingsmaatregelen, die zorgen voor een

van snelheidswinst en/of beveiliging tegen

hoger veiligheidsniveau. De laatste jaren groeit de

gegevensverlies.

belangstelling voor cloudopslag: het onderbrengen  Een draaiboek van de acties die nodig zijn bij een calamiteit, inclusief de

van data bij een cloudspecialist. Vooral onder consu-

Het maken van back-ups en het treffen van

menten is cloudopslag populair, getuige de popula-

voorzorgsmaatregelen rond de IT-infrastructuur

riteit van voorzieningen als Dropbox, Google Drive en

is nuttig en nodig, maar onvoldoende om na een

Wanneer al deze informatie is verzameld, is het zaak om de gegevens in een centraal

Microsoft OneDrive. Ook op de zakelijke markt neemt

calamiteit snel weer in de lucht te zijn met alle

referentiedocument te bundelen en kopieën te verspreiden onder alle relevante medewerkers.

het aanbod van cloudstorage-diensten toe.

bedrijfsprocessen. Een DR-plan is er dan ook op

verantwoordelijkheden van medewerkers die een rol zijn toebedeeld in het BCP.

Om er zeker van te zijn dat iedere medewerker zijn rol goed weet, is het belangrijk het plan met alle betrokkenen grondig door te nemen en ten minste een keer per jaar te testen. De test kan ook aanleiding zijn om aanpassingen door te voeren en informatie te updaten. Op deze manier is een BCP een goede verzekering tegen calamiteiten. Wanneer deze zich voordoen, weet niemand. Dat ze zich ooit een keer voordoen, staat wel vast. Het is dan ook goed om voorbereid te zijn. Daarbij speelt ieder onderdeel van het bedrijf een rol.

In dit verband is het mogelijk om verschillende back-upvarianten te hanteren. Dat zijn:

gericht om de IT-omgeving zo snel mogelijk weer operationeel te krijgen na een ramp.

Volledige back-up van alle bestanden. Dit is niet alleen tijdrovend, maar ook kostbaar omdat een organisatie dan veel data vaker bewaard dan nodig is om de continuïteit te waarborgen.

November 2014

Een ramp komt altijd onverwacht

Een whitepaper van proserve®

6

7

Daarbij is het van belang alle onderdelen van de IT-omgeving te betrekken:

Disaster Recovery-as-a-Service

Na de inventarisatie vindt een analyse plaats van worst-case-scenario’s. Die zijn de basis voor het

 De fysieke ruimte waarin servers en netwerkcomponenten zijn opgeslagen

Disaster Recovery is lange tijd het exclusieve

bepalen van RTO’s en RPO’s. Binnen de DRaaS van

 De hardware – netwerken, servers, devices en randapparatuur

domein geweest van grote bedrijven, vanwege

proserve gelden RPO’s van near realtime tot een

Connectiviteit – bekabeling en draadloze systemen

de relatieve complexiteit en hoge kosten. Dankzij

dag, afhankelijk van de specifieke eisen van de

Alle softwareapplicaties

verschillende technologische ontwikkelingen,

klant. proserve hanteert verder tien recovery points

waarvan virtualisatie wellicht de meest in het

als basis voor het herstellen. Keus hierin is onder

oog springende is, kan een veel grotere groep

meer van belang als de infrastructuur het slachtoffer

bedrijven en organisaties profiteren van DR.

is van een virus. Er kan dan hersteld worden naar

Belangrijke begrippen in iedere DR-aanpak zijn Recovery Point Objectives (RPO’s) en Recovery

Dankzij virtualisatie is het – zoals al eerder

een punt waarop er nog geen sprake was van

Time Objectives (RTO’s). Een RPO is een specificatie van het tijdstip waarop data geback-upt moet

aangegeven – veel eenvoudiger om een volledige

besmetting.

worden om ervoor te zorgen dat Disaster Recovery effectief is. Een RPO geeft dus de interval aan

IT-omgeving te repliceren en na een calamiteit

van de minimale frequentie waarop een back-up nodig is, variërend van bijvoorbeeld iedere 24 uur

te herstellen. Niettemin vereist dit de nodige

Naast het inventariseren van hardware, applicaties

tot iedere vijf minuten. Een RTO verwijst naar de maximale tijd dat een applicatie of systeem uit

kennis en investeringen. Dat is voor veel kleine

en data is ook een grondige analyse van de

de lucht mag zijn, voordat er serieuze schade aan de bedrijfsvoering ontstaat. Het is bijvoorbeeld

en middelgrote bedrijven een drempel. De IT-

connectiviteit een belangrijk onderdeel van

mogelijk om de uitvaltijd te correleren aan gemiste omzet over een bepaalde periode.

industrie heeft daarop ingespeeld door dit type

DR-dienstverlening. Connectiviteit is immers

activiteiten als dienst te ontwikkelen. Dat betekent

cruciaal om de dienstverlening te garanderen. Zo

Het bepalen van de juiste RTO’s en RPO’s is lastig, maar ook cruciaal. Zonder deze gegevens tast een

dat een organisatie een DR-voorziening afneemt

nodig zorgt proserve voor betrouwbare (VPN-)

organisatie op het moment van een calamiteit in het duister en zijn niet direct gefundeerde besluiten

op basis van vaste kosten, bijvoorbeeld per maand

verbindingen op basis van glasvezel of ADSL.

te nemen. Dergelijke besluiten zijn altijd gebaseerd op een kosten/batenanalyse. Het is theoretisch

of per opgeslagen GB.

RPO en RTO

bijvoorbeeld mogelijk om de schade na een calamiteit volledig te beperken door zeer uitgebreide

Nadat de inventarisatie is afgerond en de

DR-voorzieningen. Die zullen echter niet in verhouding staan tot de kosten die daarmee gemoeid

Onze aanpak

connectiviteit is gewaarborgd, start proserve

gaan. Een kosten/batenanalyse is dan ook richtinggevend voor de keuzes die een bedrijf maakt op het

proserve ontwikkelde voor zijn klanten een

met het repliceren van de omgeving van de

gebied van zijn DR-beleid.

Disaster Recovery-voorziening die gebruiksgemak

klant naar de servers in het proserve-datacenter.

combineert met optimale betrouwbaarheid. Ieder

proserve zorgt vervolgens voor het synchroniseren

De rol van virtualisatie

Disaster Recovery-as-a-Service-project begint met

van applicatie en data op basis van vooraf

In de afgelopen jaren is virtualisatie in het datacenter steeds belangrijker geworden. Veel organisaties

een grondige inventarisatie van de omgeving bij de

overeengekomen RPO’s. Bij een calamiteit is het,

maken al langer gebruik van virtuele servers. Inmiddels is het ook steeds gemakkelijker om applicaties

klant. Deze inventarisatie vormt de basis voor het

afhankelijk van de situatie, mogelijk om via een

en netwerkcomponenten te virtualiseren. Deze ontwikkeling biedt niet alleen kostenvoordelen

Business Continuity Plan. Dat beschrijft, zoals eerder

portal toegang te krijgen tot de gerepliceerde

doordat het beheer eenvoudiger wordt en de beschikbare hardware beter te benutten is, het is ook

al vermeld, wat er gebeurt bij een calamiteit.

omgeving of de omgeving op locatie bij de klant te

praktischer voor Disaster Recovery.

herstellen. Om te bepalen dat de dienstverlening Blijkt uit de inventarisatie dat de IT-omgeving bij

goed werkt, vindt ten minste een keer per jaar een

Een gevirtualiseerde server is inclusief het besturingssysteem, de applicaties, de patches en de data

de klant al gevirtualiseerd is, dan is de dienst zeer

grondige test plaats.

– mede door de volledige hardware-onafhankelijkheid – sneller en eenvoudiger te back-uppen naar

snel inzetbaar. Is de omgeving nog gebaseerd op

een extern datacenter en ook weer sneller te herstellen. Hierdoor is de hersteltijd ten opzichte van

fysieke servers, dan vindt eerst een optimalisatie

proserve bewaart alle data in Nederland, zodat

traditionele aanpakken drastisch te versnellen. Bij een traditionele benadering is het nodig om het OS

plaats van de infrastructuur om Disaster Recovery

een klant altijd voldoet aan Europese richtlijnen

en alle applicaties handmatig te laden en alles te checken op de laatste configuraties, voordat de data

zo efficiënt en effectief mogelijk te kunnen

op het gebied van dataopslag. Verder is de dienst

te herstellen is. Dat is bij virtualisatie niet nodig. Virtual machines (VM’s) zijn te mirroren of synchroon

inrichten. In sommige gevallen kan de inventarisatie

ondergebracht in tier 3-datacenters met de hoogste

in te zetten op een remote site, zodat failover probleemloos mogelijk is als dat nodig is. Daarbij staat

voor een klant aanleiding zijn om systemen eerst

beveiligingsmethodieken en certificeringen,

vast dat de data integer is.

te virtualiseren. Daarbij is er de keus voor het

waaronder ISO27001.

virtualiseren op basis van technologie van VMware of Microsoft. November 2014

Verschil met online back-up Steeds meer organisaties kiezen ervoor om hun data online te back-uppen. Een online backupvoorziening is echter niet hetzelfde als een DR-voorziening. Bij online back-up is weliswaar de data beschikbaar na een calamiteit, maar niet de besturingssystemen en applicaties. Het herstellen van een omgeving kost bij online back-up dan ook veel meer tijd, omdat een organisatie eerst alle servers opnieuw moet installeren en configureren. Disaster Recovery is er juist op gericht om snel weer in de lucht te zijn.

De voordelen op een rij Voor iedere organisatie is data inmiddels het belangrijkste bedrijfsmiddel. Zonder beschikbaarheid van data daalt de medewerkerproductiviteit snel naar nul, zijn klanten niet meer te bedienen en loopt de continuïteit van de onderneming gevaar. Tegelijkertijd beschikken veel organisaties – zeker in het mkb – niet over de mensen, middelen en kennis om business continuity praktisch vorm te geven. Door databeschikbaarheid in brede zin als dienst af te nemen in de vorm van Disaster Recoveryas-a-Service profiteert een organisatie van:  Betere continuïteit van de bedrijfsvoering.  Data altijd op een externe locatie beschikbaar en te herstellen.  Kosten op abonnementsbasis. Een organisatie hoeft niet te investeren in hard- en software en beheer. Zij betaalt alleen voorspelbare, operationele kosten.  Gebruik van hoogwaardige datacenters en de nieuwste technologieën om data veilig en efficiënt op te slaan en te beheren.  Een DRaaS-leverancier heeft alle processen en procedures afgestemd op de meest gangbare compliancy-eisen.

Componenten van DRaaS van proserve  Redundante Gbit-verbinding naar het proserve-netwerk vanaf het VMware-cluster  99,9% uptime-garantie op de stroomvoorziening en de netwerkverbinding  Calamiteitennummer 24 x 7 x 365 bereikbaar  Proxy-server op klantlocatie en replicatie-server bij proserve op basis van Veeam  Back-up- en replicatiesoftware  proserve verzorgt de aanschaf, installatie en het beheer van een dedicated firewall

proserve® Nieuwland Parc 155 3351 LJ Papendrecht

Postbus 363

T +31 88 25 25 252

The Netherlands

2950 AJ Alblasserdam

E [email protected]