Efektivní zálohování a obnova ZIS po bezpečnostním incidentu Miroslav Novotný
Setkání informatiků a správců NIS Svratka 16.6. 2011
Zálohování vs. archivace
Cíl zálohování: zachovat kontinuitu provozu obnova funkce IS nebo nestrukturovaných dat po incidentu (poškození, zničení, havárii) jeden z bezpečnostních mechanismů vynucený normou (např. IEC/ISO 27002) někdy vynucený legislativou
Cíl archivace: zachovat informaci pro budoucí použití informace, jejíž životnost přesahuje krátký časový úsek (jednotky dní) zpravidla vynucená legislativou platnou pro určitý obor činnosti (bankovnictví, poskytování certifikačních služeb, účetnictví, archivnictví, zdravotnictví).
Zálohování (a obnova) IS Účel příprava na obnovu funkce IS po havárii obnova nestrukturovaných dat po ztrátě či zničení Vymezení hranic informačního systému IS = data + SW + HW + prostředí + procesy + personál
1. Návrh procesu zálohování
Metodika dekompozice IS z pohledu zálohování Dokumentace IS z pohledu zálohování a obnovy po havárii
klasifikce datových aktiv, parametry obnovy
Určení rolí
aplikační správce – schvalování zálohování a obnovy po havárii administrátor zálohování – provádění úkonů nad zálohovacím systémem, monitoring zálohování manažer ICT – reporty o stavu zálohování
Workflow
změnového procesu (nový IS, změna technologie zálohování apod.) reakce na problém v zálohovacím systému reakce na požadavek obnovy IS
Dekompozice IS
Image VM OS (jádro, moduly, ovladače, databáze, a.j.) ASW (instalační soubory, exekutiva, konfigurační soubory, záznamové soubory, a.j.) Data centrální (provozní, testovací) Data distribuovaná (mobilní)
Analýza rizik
Scénáře havárie a jejich dopad (klasifikace agend a datových aktiv) Scénáře obnovy vč. „disaster recovery“ Nalézt uplatnění pro obnovu dat a SW komponent ze zálohy
Parametry obnovy
Časová charakteristika RTO – Recovery Time Objective Transakční charakteristiky RPO – Recovery Point Objective RTG – Recovery Time Granularity REG - Recovery Event Granularity
Parametry obnovy
Charakterisitiky škálovatelnosti obnovy ROG – Recovery Object Granularity RSS – Recovery Service Scalability RSR – Recovery Service Resiliency RLS – Recovery Location Scope
2. Analýza systému zálohování
Analýza IS dle parametrů obnovy jednotlivých komponent (image VM, OS, ASW, data) Zjistit (změřit, odhadnout) technické parametry Optimalizace zálohovacích a obnovovacích úloh (použitelnost, pracnost, rychlost):
objektová granularita zálohování retence, mód – (FULL, INCREMENTAL, DIFFERENTIAL) – RSS komprese (SW, HW), deduplikace (na cíli, na zdroji, inline, off-line) verifikaci (konzistence db, zálohy otevřených souborů)
Optimalizace „disaster recovery“
Technické parametry zálohování
Zátěž zdrojů (výkonová a kolizní) – časové okno – dle typu IS a provozního režimu Zátěž cílů (výkonová a kolizní) – časové okno – dle techniky zálohování/obnovy Požadovaná přenosová kapacita – dle architektury zálohování/obnovy Požadovaná kapacita media setu – dle požadované retence (RSS) a charakteru informačních agend
Nejčastější potíže
Zdroj: ESG Research, The Evolution of Enterprise Data Protection
3. Volba technologie zálohování
Kombinace SW a HW prostředků na pozadí síťové a serverové infrastruktury. Homogenní (provázané) řešení je výhoda. Musí být multiplatformní (otevřené). Musí podporovat virtuální infrastrukturu (private cloud). Musí být snadno rozšiřitelné. Musí mít dobrou technickou podporu. Cenová dostupnost.
Přehled řešení ochrany dat TCO
Ztracená data (RPO)
Poslední transakce
Clustering Řešení překonání havárie
vysoká
Remote data replication
Local data replication
Minuty
Řešení ochrany a obnovy dat
Disk-to-disk backup
Traditional backup
hodiny
(tape & optical) nízká dny
hodiny
Zdroj: Firemní prezentace HP
minuty
Odstávka (RTO)
sekundy
Typy a možnosti zálohování Lokální ochrana
SAN (LAN-free) ochrana
management
management
application server disk agent
disk agent
media agent
tape
media agent (robotic control)
tape
storage area network
network-based ochrana management media agent
Sdílení knihovny central site
disk agent
Zdroj: Firemní prezentace HP
media agent
remote office tape tape
tape tape library
Zvažované parametry
Aplikační agenti (db, soubory, klientské prostředí) – online konzistentní zálohy
Podpora API aplikace pro zálohu otevřených souborů Podpora „filesystem virtual snapshot“ pro otevřené soubory (office dokumenty, mail, atd.) − Microsoft Windows Server 2003 a pozdější možné přes VSS, pokud to backup aplikace podporuje − Jiné OS – potřebují proprietární řešení pro zálohu – např. Open File Manager for Data Protector, Navisphere Replication Manager, Backup Exec OpenFile Backup Extension
Podporované OS Podporovaný HW (páskové knihovny, storage – repliky, VTL) Podporované technologie (D2D2T, replikace, deduplikace, CDP, klastry) – RLS Podpora procesů (politiky, reporty, vysoká dostupnost) – RSR Licenční model a cena
Významní hráči na trhu CA (ARCserveIT Backup) EMC (Legato Networker, Avamar, Data Domain) HP (Data Protector, D2D Backup System, VLS) IBM (Tivoli Storage Manager, CDP) Symantec (Backup Exec)
Magic Quadrant for Enterprise Disk-Based Backup/Recovery
Zdroj: Gartner (leden 2011)
Živá ukázka
[email protected]
Děkuji za pozornost