Strategie ochrony danych w oddziałach firm

0

Historia IT, związana z przechowywaniem i ochroną danych, zatoczyła koło. Pierwotnie były przechowywane tylko w centrach danych, ale wraz z rozwojem technologicznym przetwarzanie i przechowywanie informacji stało się rozproszone – „przyklejone” do komputerów osobistych. Dziś realia ekonomiczne zmuszają firmy do ponownego przemyślenia w jaki sposób będą przechowywane ich dane. W grę wchodzą dwa czynniki – bezpieczeństwo i koszty, ale dziś działy IT mają znacznie więcej możliwości wyboru sposobu ochrony danych przetwarzanych przez oddziały lub pracowników zdalnych.

Strategia przechowywania i udostępniania danych oddziałom firm i ich pracownikom to ważny dokument, który – zanim zostanie wdrożony w życie – powinien być przedyskutowany na szczeblu zarządu, a wpływ na jego kształt powinny mieć nie tylko osoby z działu IT, ale także szefowie poszczególnych jednostek biznesowych. Tworząc tę strategię należy odpowiedzieć na następujące pytania:

  • jakie aplikacje biznesowe są wykorzystywane w oddziale firmy?
  • liczba oddziałów i zdalnych pracowników
  • ilość danych wykorzystywanych przez oddziały
  • dostępność i poziom wiedzy pracowników IT w oddziałach
  • istniejąca infrastruktura IT w centrali i oddziałach
  • łączność sieciowa z oddziałami
  • dostępny budżet

Dostępne technologie ochrony danych

Dotychczas do zabezpieczania danych najczęściej wykorzystywano systemy taśmowe. Gwarantowały one jedną z podstawowych funkcji wymaganych przez plan ochrony przed skutkami katastrofy (disaster recovery) – możliwość wywiezienia nośnika z centrum danych. W niektórych przypadkach taśma nadal pozostaje interesującym rozwiązaniem, ale ostatnie lata przyniosły wiele nowych, całkiem odmiennych koncepcji.

Dziś nic nie stoi na przeszkodzie, aby firma z oddziałami przechowywała wszystkie dane centralnie. W ten sposób będzie w stanie lepiej je zabezpieczyć, uniknie też konieczności dodatkowych inwestycji w oddziałach. Ma to znaczenie szczególnie w małych firmach lub tam gdzie istnieje wiele małych oddziałów. W tym przypadku można wykorzystać dwa rodzaje rozwiązań – akcelerację ruchu w sieci rozległej (WAN) oraz zdalny dostęp do zasobów danych. Udostępnienie systemów plików takich jak CIFS i NFS poprzez połączenie WAN lub VPN to jedna z metod udostępniania danych oddziałowi firmy. Niestety, CIFS ma bardzo słabą wydajność przy połączeniach WAN. Dostęp do plików w tym systemie wymaga zrealizowania wielu komend, a każda z nich powoduje opóźnienie w sieci. Bez akceleracji ruchu WAN protokoły sieciowe CIFS, NFS i inne nie zapewniają akceptowalnej jakości pracy przy połączeniach WAN lub DSL, nawet przy krótkich dystansach.

Urządzenia przyspieszające ruch w sieci WAN eliminują tę niedogodność w znacznym stopniu, zwiększając transfer o rząd kilku wielkości. Dzięki temu wszystkie dane bez problemu mogą być przechowywane centralnie, a szybki dostęp do nich mają zagwarantowane nie tylko oddziały firmy, ale także pracownicy mobilni, łączący się z Internetem przez telefon komórkowy.

Inną technologią, która z powodzeniem może być wykorzystana przez wiele małych oddziałów firmy, jest zdalny dostęp do przechowywanych centralnie i udostępnianych z centrum danych wirtualnych aplikacji lub wręcz całych desktopów. Dzięki temu dane nigdy nie są przesyłane przez sieć rozległą do odbiorcy; dociera do niego tylko aktualny obraz aplikacji lub desktopu. Korzyści z tego modelu są podobne jak w przypadku akceleracji ruchu w sieci WAN.

Dla oddziałów firm, które nie mają możliwości zdalnego dostępu do danych lub go nie potrzebują istnieje wiele metod ich lokalnej ochrony. Do backupu można wykorzystać tradycyjne taśmy w pojedynczych napędach, zmieniaczach lub bibliotekach taśmowych, ale także coraz bardziej popularne systemy backupu na dysk (D2D). Bardzo dobrze sprawdzą się tutaj promowane ostatnio wirtualne biblioteki taśmowe (VTL), które połączone z systemem deduplikacji zagwarantują możliwość przechowywania danych skopiowanych z serwerów i stacji roboczych w najbardziej efektywny sposób. Kolejnym elementem, który powinien być rozważony jest bezpieczeństwo danych. Jako standard powinno się przyjąć ich szyfrowanie, szczególnie gdy są nagrywane na taśmę, a taśmy wywożone z siedziby firmy.

Po nakreśleniu wymogów biznesowych, koniecznej infrastruktury i innych ważnych kwestii, można przystąpić do określenia strategii ochrony danych w oddziałach firmy. Strategia ta powinna uwzględniać wymogi wszystkich aplikacji i wskazywać odpowiednie technologie spełniające te wymagania. Nie powinna jednak wskazywać na konkretnych dostawców czy produkty.

Oddziały bez centrum danych

Wybór właściwego rozwiązania dla oddziałów firm, gdzie nie ma centrum danych i osób odpowiedzialnych za IT, powinien być bardzo przemyślany. W wielu przypadkach najlepszym rozwiązaniem jest umożliwienie zdalnego dostępu do danych i aplikacji, wspartego dodatkowo akceleracją transferu danych w sieci rozległej. Przy tym scenariuszu nie zachodzi konieczność ochrony danych w oddziale, ponieważ są one przechowywane w centrali. Ta opcja – jako najłatwiejsza w obsłudze dla oddziału i najtańsza dla firmy – zyskuje coraz większą popularność.

Przepustowość sieci oraz odległość pomiędzy oddziałami ma znaczenie dla technologii zdalnego dostępu. Nie jest wymagana bardzo duża przepustowość, często wręcz możliwe jest uzyskanie satysfakcjonującego połączenia z telefonu komórkowego dla jednego użytkownika, ale dla biura wskazane jest synchroniczne łącze o przepustowości rzędu kilku Mb/s. Gdy zdecydujemy się na połączenie z oddziałem przez łącze DSL, konieczne będzie wdrożenie akceleratora, jako że ta forma komunikacji obarczona jest ogromnymi opóźnieniami. Sytuacja ta wygląda korzystniej dla łączy dzierżawionych, to jednak są one znacznie droższe. Na rynku dostępnych jest wiele akceleratorów ruchu w sieci WAN, produkują je m.in. firmy Riverbed, Cisco, Citrix, Juniper czy F5.

Drugą opcją jest możliwość uzyskania zdalnego dostępu do zasobów centrali. Najczęściej jest to realizowane poprzez protokół RDP (dostępny wraz z Windows Terminal Services) lub oprogramowanie Citrix XenApp. Oba rozwiązania umożliwiają zdalne udostępnianie aplikacji Windows, a w przypadku Citriksa – także aplikacji Unix i Linux. Dostęp do aplikacji może być realizowany poprzez połączenia LAN, WAN lub VPN. Jako że do terminala jest transmitowany tylko obraz aplikacji, a nie dane rozwiązanie to świetnie sprawdza się przy operacjach transakcyjnych, gdzie nie mogą występować opóźnienia w dostawie danych (np. Oracle, SAP, SQL Server i inne bazy danych). Dodatkowo zminimalizowane jest ryzyko utraty danych, jako że te nigdy nie docierają do terminala. Tym samym zagwarantowane jest ich pełne bezpieczeństwo, co jest wielokrotnie wymogiem wewnętrznej polityki bezpieczeństwa firm.

Oddziały z centrum danych

W oddziałach, które mają lokalne centrum danych i korzystają z usług informatyków, można zastosować tradycyjne podejście do ochrony danych. Najczęściej do backupu będą tam wykorzystywane systemy taśmowe lub dyskowe (w tym VTL). Ten model cechuje się wzrostem ryzyka związanego z koniecznością zapewnienia odpowiedniego poziomu świadczonych usług oraz spełnienia wymogów centrali odnośnie ochrony danych, najczęściej związanych z koniecznością przechowywania dodatkowej zaszyfrowanej kopii danych poza siedzibą firmy. Wymóg ten bez problemu może być spełniony w systemach taśmowych; te jednak coraz rzadziej spełniają wymogi biznesowe odnośnie punktu w przeszłości, gdy została wykonana kopia danych (RPO) i czasu, który zajmie odzyskanie danych (RTO). Problemu tego nie ma przy systemach dyskowych, tam jednak wykonanie kopii danych poza siedzibę firmy jest znacznie droższe.

Aby poprawnie zrealizować procedury disaster recovery konieczne jest przechowywanie kopii danych poza siedzibą firmy. Korzystając z rozwiązań do backupu dyskowego można to zrealizować na dwa sposoby; niestety każdy wiąże się z dodatkowymi kosztami. Jednym z nich jest uzupełnienie wirtualnej biblioteki taśmowej o podłączoną „z tyłu” bibliotekę fizyczną, na którą systematycznie przenoszone są dane z kopii zapasowych (to gwarantuje możliwość wywiezienia nośnika z firmy przy jednoczesnym zachowaniu krótkich czasów RPO i RTO). Drugim rozwiązaniem jest replikacja do zapasowego centrum danych. To rozwiązanie gwarantuje najlepsze wartości parametrów RPO i RTO, ale jest bardzo kosztowne – wymaga bardzo szybkiego łącza, dodatkowych inwestycji w infrastrukturę obu centrów danych (jako zapasowe centrum danych można tu wykorzystać centrum w głównej siedzibie firmy) oraz przeszkolonego zespołu informatyków po obydwu stronach.

Aby zoptymalizować wykonywanie kopii danych przy obu tych metodach, warto skorzystać z technologii deduplikacji, która pozwala na wyeliminowanie powtarzających się bloków danych. W każdym zadaniu backupowym znajdują się powtarzające się pliki, zaś porównując listę obiektów w poszczególnych zadaniach backupowych, ich powtarzalność często bywa większa niż 90%. To oznacza, że dzięki poprawnie skonfigurowanemu systemowi deduplikacji zabezpieczane będą tylko dane, które uległy zmianie, oszczędzając tym samym przepustowość łącza i drastycznie skracając czas wykonywania backupu.

Środowisko mieszane

W praktyce okazuje się, że najczęściej konieczne jest zastosowanie obu tych modeli. Oddziały i zdalni pracownicy muszą mieć dostęp do poprawnie zabezpieczonych danych przechowywanych w centrali firmy, jednocześnie przetwarzając lokalnie duże pliki (np. CAD), których przesyłanie przez sieć byłoby nieefektywne, a momentami bezcelowe. W tym modelu najczęściej pomiędzy oddziałami i centralą zestawione jest synchroniczne łącze (aby zapewnić stabilny zdalny dostęp, np. do danych finansowych przetwarzanych w dzień). W nocy łącze to można wykorzystać do wykonania kopii przetwarzanych lokalnie danych do centrali firmy.

BRAK KOMENTARZY

ZOSTAW ODPOWIEDŹ