Czym właściwie jest Backup jako usługa? Jakie są zalety i wady sięgania po outsourcing w tym obszarze? Co daje backup poza siedzibą? Jak właściwie chronić kopie zapasowe?
Odporny na ataki system backupu
Dostępna obecnie wiedza w zakresie wektorów ataków i najczęściej wykorzystywanych podatności, daje wiele podpowiedzi w zakresie tego, jak powinien być zbudowany i sparametryzowany bezpieczny system backupu. Wystarczy zastosować 4 generalne zasady dotyczące architektury systemu:
- Fizyczne zabezpieczenie infrastruktury backupu, czyli wyeliminowanie możliwości dostępu do infrastruktury backupu osobom nieupoważnionym, najlepiej w oparciu o usługę certyfikowanego centrum danych.
- Segmentowanie i separowanie elementów infrastruktury, poprzez wykorzystywanie stref sieci. Strefa to obszar o określonej charakterystyce oraz przeznaczeniu i/lub podlegający szczególnym ograniczeniom. W każdej strefie obowiązywać powinny inne reguły dostępu. Na przykład strefa z ograniczeniami powinna realizować wyłącznie połączenia między zaufanymi serwerami, dzięki czemu będzie idealnym miejscem dla pamięci masowej realizującej funkcję repozytorium kopii zapasowych.
- Rozdzielenie ról administracyjnych i stosowanie odrębnych poświadczeń dla systemu backupu, a nawet wybranych usług katalogowych, wraz z dwuskładnikowym uwierzytelnianiem i stosowaniem kluczy U2F dla ról administracyjnych.
- Szyfrowanie kopii zapasowych w ramach każdego zadania backupu i zabezpieczenie klucza szyfrującego.
Te generalne zasady, dobrze znane architektom bezpieczeństwa są stosunkowo łatwe do implementacji. Warto o nich pamiętać przy wdrażaniu lub modernizacji systemu kopii zapasowych.
Planowanie bezpieczeństwa danych
Właściwa ochrona danych i systemów wymaga planowania. Najlepszym sposobem jest spisanie polityki backupu, która jest ważnym elementem strategii bezpieczeństwa, będacej ważną częścią Planu Ciągłości Działania. Polityka backupu to plan działań, który określa m.in:
- jakie dane i systemy mają być objęte ochroną,
- z jaką częstotliwością mają być one kopiowane (RPO),
- jak długo i gdzie powinny być przechowywane (retencja),
- jak szybko dane mają być przywrócone (RTO),
- w jakiej kolejności mają być przywracane systemy (orkiestracja).
Polityka backupu określa również procedury, które należy stosować w celu zapewnienia integralności danych, w tym scenariusze testów walidujących poprawność wykonanych kopii zapasowych. Ważne jest, aby polityka backupu była regularnie aktualizowana i dostosowywana do zmieniających się potrzeb i warunków biznesowych, aby nadążała za rozbudową i rozwojem środowiska IT organizacji.
Outsourcing obszaru backupu
Backup as a Service (BaaS) to skalowalne rozwiązanie obejmujące pełny system backupu oraz usługi eksperckie, które razem stanową kompleksowe rozwiązanie w zakresie ochrony danych i systemów. Podstawowe składniki backupu w formie usługi to:
- licencje zaawansowanego systemu tworzenia i zarządzania kopiami zapasowymi,
- instalacja i konfiguracja aplikacji do backupu, raportowania i monitoringu,
- skalowalne repozytorium backupu w bezpiecznym centrum danych,
- opracowanie polityki backupu wraz z jej implementacją,
- obsługa administracyjna ze wsparciem technicznym w określonym standardzie SLA.
Zakres składowych usługi różnić się będzie zależnie od oferty dostawcy, jednak w większości przypadków outsourcing procesu backupu oznacza, że przenosimy pełną odpowiedzialność za ten obszar na usługodawcę. Nie angażujemy przy tym własnych zasobów, czy to ludzkich, czy infrastrukturalnych. Taka forma usługi odpowiada też na szereg kluczowych wyzwań związanych ze skuteczną i kompleksową ochroną danych w organizacjach.
Co wybrać? Outsourcing backupu czy inwestycja we własne zasoby?
Wdrożenie usługi związanej z ochroną danych i odtwarzaniem po awarii kojarzy się zazwyczaj ze sporą inwestycją na start. Nic bardziej mylnego – w przypadku backupu w chmurze wdrożenie usługi odbywa się bez znaczących nakładów finansowych, bowiem rozliczenie odbywa się w systemie abonamentowym.
Oznacza to, że to klient decyduje, jaki poziom kosztów miesięcznych gotów jest ponosić, wybierając liczbę i rodzaj maszyn podlegających backupowi. Rozliczane jest zatem wyłącznie realne zużycie zasobów wraz z kosztem licencji.
Zwykle też service provider może zaoferować bardzo konkurencyjne warunki, z uwagi na skalę działalności – także dla małych i średnich firm, dla których wysokie koszty stałe mogą być problematyczne.
Nasuwa się jednak pytanie – czy outsourcing backupu zawsze się opłaca? Może jednak, uwzględniając wybrane parametry, warto rozważyć inwestycję, a więc kupić wszystko, co trzeba i zbudować własne kompetencje?
Oczywistym jest, że w krótszym okresie abonament jest korzystniejszą opcją niż nakłady na własne rozwiązanie. Brak zaangażowania kapitału początkowego minimalizuje przecież ryzyko inwestycyjne, a umiarkowane opłaty miesięczne wpisywane są bezpośrednio w koszty operacyjne, co również generuje spore oszczędności.
A czy tak samo będzie w dłuższej perspektywie? Może okaże się, że w takiej sytuacji inwestycja własna jest korzystniejsza? Nie ma co zgadywać, trzeba sięgnąć po liczby – policzmy więc to na konkretnym przykładzie.
Przyjmijmy, że firma ma 20 serwerów wirtualnych, a szacowane zapotrzebowanie na repozytorium dla kopii zapasowych wynosi 10TB. Dla uproszczenia zakładamy, że w całym trzyletnim okresie zapotrzebowanie na zasoby pozostanie niezmienne. Jednocześnie, w obu opcjach realizatorem usług będzie ten sam podmiot, dlatego wycena wdrożenia systemu backupu oraz stworzenia polityk jest tożsama. Koszty energii i chłodzenia dla jednego serwera, ubezpieczenia, szkolenie zespołu, itp. pomijamy. Spójrzmy, jak to wygląda przy inwestycji we własne zasoby:
I. Inwestycja własna w system backupu
Lp. | Zakres wdrożenia | Opex (brutto m-c) | Capex (netto) |
1. | Projekt wykonawczy | 4 500 zł | |
2. | Licencje systemu Veeam Backup & Replication Enterprise Plus (ze wsparciem 24/7 na 3 lata). | 51 120 zł | |
3. | Serwer backup wraz z repozytorium 10TB | 12 500 zł | |
4. | Opracowanie polityki backupu | 5 000 zł | |
5. | Wdrożenie systemu backupu i dokumentacja | 6 000 zł | |
6. | Administracja systemem backupu (1/8 etatu) | 2 000 zł | |
2 000 zł | 79 120 zł |
W przypadku outsourcowania backupu do zewnętrznego dostawy koszty kształtują się następująco:
II. Outsourcing obszaru backupu
Lp. | Zakres usług | Opex (netto m-c) | Capex (netto) |
1. | Projekt wykonawczy | 4 500 zł | |
2. | Licencje systemu Veeam Backup & Replication Enterprise Plus (20 VM). | 1 160 zł | |
3. | Repozytorium chmurowe 10TB | 900 zł | |
4. | Opracowanie polityki backupu | 5 000 zł | |
5. | Instalacja i konfiguracja systemu backupu | 6 000 zł | |
6. | Administracja systemem backupu | 1600 zł | |
3 660 zł | 15 500 zł |
Powyższe zestawienie kosztów operacyjnych (Opex) oraz inwestycyjnych (Capex) pokazuje, że po 3 latach nadal korzystniejszą opcją realizacji backupu jest outsourcing – w tym przypadku Backup as a Service (BaaS). Dociekliwi mogą się jednak zastanawiać, co stanie się później? Czy po pewnym czasie nie powinno nastąpić wyrównanie kosztów w jednej i drugiej opcji? Hipotetycznie mogłoby to nastąpić po 4 latach od wdrożenia, ale w praktyce nic takiego się nie wydarzy. Dlaczego? To proste – przy wyborze inwestycji we własny system do backupu, po 3 latach pojawia się konieczność odnowienia wsparcia dla systemu Veeam Backup & Replication, którego przeciętny koszt dla tego przypadku wynosi 3740 euro (stan na 04.04.2023 roku). Trzeba będzie pewnie dokupić także wsparcie gwarancyjne do serwera, które zwyczajowo z nowym sprzętem obejmuje 3 lata. W usłudze BaaS opartej na Veeam Cloud Connect (VCC), prawo do aktualizacji jest wliczone w cenę usługi, a za sprzęt odpowiada usługodawca.
Łączny koszt obszaru backupu | ||
Outsourcing | Inwestycja | |
w 1 rok | 59 420 zł | 103 120 zł |
w 2 roku | 43 920 zł | 24 000 zł |
w 3 roku | 43 920 zł | 24 000 zł |
Razem po 3 latach | 147 260 zł | 151 120 zł |
Bezpieczeństwo kopii zapasowych
Oczywiście istnieje sporo wątpliwości, na ile dane, będące najcenniejszym aktywem organizacji, będą bezpieczne u dostawcy usług. Kwestie te zabezpieczyć mogą prawnicy (co jest codziennością w kontraktach B2B) oraz odpowiednie procesy po stronie usługodawcy. Z pomocą przychodzi także technologia, a więc na przykład szyfrowanie kopii, które mają być umieszczone w repozytorium chmurowym, co staje się warunkiem świadczenia usługi BaaS.
Jeżeli jednak przeanalizujemy typowe ataki na dane cyfrowe, wówczas nie może być wątpliwości, że przechowywanie kopii zapasowych poza siedzibą, czyli u dostawcy usługi backupu, to jedna z najskuteczniejszych form ochrony danych.
Szyfrowanie kopii zapasowych jest jednym z kluczowych elementów utrzymania poufności danych, dlatego system backupu w ramach BaaS weryfikuje każdą stworzoną kopię pod kątem tego, czy dane zostały zaszyfrowane. Klucz szyfrujący posiada jedynie właściciel danych, a całość transferu do repozytorium odbywa się z wykorzystaniem protokołu SSL. Kopie zapasowe powinny być również testowane pod kątem obecności wirusów oraz poprawności wykonania. Służą temu skrypty wykonywane automatycznie w wyizolowanym środowisku, dzięki rozwiązaniom takim jak SureBackup.
Kopia zapasowa poza siedzibą (offsite backup)
Najlepsze praktyki tworzenia kopii zapasowych obejmują strategię zgodną z regułą 3-2-1, która obejmuje trzy wystąpienia danych na dwóch różnych nośnikach oraz z jedną kopią przechowywaną poza siedzibą firmy. To właśnie ta ostatnia kopia (offsite backup) jest immanentną częścią planu odzyskiwania danych po awarii oraz jednym z kluczowych elementów usługi BaaS, bo daje pewność, że dane, których kopia znajduje się poza siedzibą, jest nienaruszalna, bezpieczna oraz najczęściej wyizolowana z firmowej sieci. Kopia przechowywana w ten sposób minimalizuje kilka istotnych ryzyk:
- pozwala chronić i odzyskiwać dane w przypadku zniszczenia sprzętu produkcyjnego lub lokalnego repozytorium,
- jest wolna od błędów ludzkich, w tym działania celowego,
- jest również odporna na ataki ransomware, które zazwyczaj infekują wszelkie dostępne w sieci firmowej dane i repozytoria.
Kopia zapasowa poza siedzibą jest więc nierzadko ostatnią deską ratunku w przypadku utraty danych z lokalnego backupu.
Jeżeli posiadasz aplikację Veeam Backup & Replication, uruchomienie offsite backup jest niezwykle proste. Wystarczy dodać do infrastruktury backupu (Backup Infrastructure) dostawcę usług (Service Provider), a w nowym lub istniejącym zadaniu backupu skonfigurować dodatkowe miejsce docelowe (Configure Secondary Destination), wskazując na Cloud Service Provider’a.
Zalety i wady outsourcingu obszaru backupu i odtwarzania
ZALETY | WADY |
Brak inwestycji – koszty początkowe są minimalne. Nie trzeba nabywać oprogramowania czy sprzętu, ani zatrudniać specjalisty w zakresie backupu. Szybki start – podobnie, jak w przypadku aplikacji w formule SaaS, udostępnienie usług podstawowych następuje w ciągu kilku minut, a pełnego zakresu (czyli wraz z wdrożeniem) w ciągu kilku dni. Skalowalność – alokacja licencji oraz wielkość repozytorium dla kopii zapasowych dostosowywana jest do bieżącego zapotrzebowania, co oznacza zarówno zwiększanie jak i pomniejszanie zasobów. Nowoczesna technologia – dostawcy usług najczęściej wykorzystują rozwiązania o wysokim stopniu niezawodności i zaawansowanych funkcjonalnościach, projektowane dla dużych organizacji. Niski próg wejścia – choć rozwiązania techniczne są niezwykle zaawansowane, usługi są przystępne cenowo, gdyż rozliczane są za użycie. Dla niewielkiej organizacji, posiadającej niewiele zasobów, oznacza to niski abonament. Wsparcie techniczne – dostęp do ekspertów z dużą wiedzą dziedzinową i doświadczeniem, pozwala klientowi w pełni przekazać zadania związane z obsługą backupu i odtwarzania na usługodawcę. | Poufność danych -zarządzanie procesem i danymi jest zadaniem usługodawcy, a zatem może to rodzić pytania o bezpieczeństwo i poufność danych. Zależność technologiczna – jak każda usługa abonamentowa, także backup w outsourcingu oznacza w pewnym stopniu związanie z dostawcą i określoną technologią. Używasz, gdy płacisz – usługa rozliczana jest zwykle w cyklach miesięcznych, zatem problemy z płatnościami mogą wywołać kłopoty związane z dostępnością usługi. Brak indywidualizacji – usługi świadczone dla wielu klientów są standaryzowane ze względu na łatwość obsługi. Zwykle więc indywidualne dostosowanie parametrów usługi do wymogów jednego klienta jest niemożliwe. Ograniczenia techniczne – odtwarzanie z repozytorium chmurowego wymaga dostępu do sieci Internet, a przepustowość łącza wpływa wprost na szybkość odtwarzania z repozytorium chmurowego. Konieczność dostosowania się – usługodawca, jako wyłączny dysponent usługi, może jednostronnie dokonywać zmian w regulaminie, tym samym zmieniając warunki umowy, które wówczas mogą okazać się niekorzystne dla klienta. |
Sprawdzona technologia
Ważnym aspektem każdego dojrzałego rozwiązania do ochrony danych jest technologia. Od wielu lat numerem jeden w tym zakresie jest Veeam Software, którego system Veeam Backup & Replication jest łatwą w konfiguracji, prostą i intuicyjną platformą do tworzenia kopii zapasowych i odzyskiwania po awarii. Rozwiązanie Veeam Backup & Replication umożliwia tworzenie kopii zapasowych na poziomie obrazu maszyn wirtualnych, fizycznych i chmurowych oraz przywracanie z nich danych, przy jednoczesnej optymalizacji transferu danych i zużycia zasobów. Scentralizowana konsola platformy pozwala samodzielnie administrować operacjami oraz zadaniami backupu, jak również pomaga automatyzować i integrować procesy ochrony oraz odzyskiwania danych.
Jak nie kupować kota w worku?
Dobrą praktyką przy wyborze tak istotnej usługi z perspektywy ciągłości działania organizacji, jest to, by wybrać dostawcę i technologię najlepiej dopasowaną do potrzeb. W przypadku BaaS warto skorzystać z możliwości prezentacji usługi na żywo i sięgnąć po bezpłatny okres próbny. W trakcie prezentacji na żywo można zadawać pytania, które pozwolą ocenić stopień dopasowania usługi do potrzeb organizacji. Wersja próba usługi umożliwi zasymulowanie rzeczywistego użycia, czyli na przykład stworzenia kilku zadań backupu i przeprowadzenie odtwarzania z utworzonych kopii.
Podsumowanie
Skuteczna ochrona danych wymaga kompleksowego i przemyślanego podejścia. Należy sięgnąć po najlepsze praktyki w zakresie tworzenia architektury rozwiązania, strategii backupu oraz technologii, które, odpowiednio wdrożone, znacząco zmniejszą ryzyko utraty danych i przestojów. Dobra wiadomość jest taka, że nie trzeba robić tego na własną rękę – można zadbać o dane bez konieczności wielkich inwestycji, nakładów na kompetencje techniczne i dużych zasobów. Wystarczy zwrócić się w stronę zaufanego partnera technologicznego i usługi, która odpowiada na wszystkie wyzwania dotyczące strategii ciągłości działania. Backup as a Service jest właśnie taką usługą – warto zatem rozważyć, czy przypadkiem nie jest to właśnie to, czego potrzebuje Wasza organizacja, by spać spokojnie i nie martwić się o swoje dane.
Recovery Time Objective – oznacza czas, jaki jest potrzebny od chwili wystąpienia awarii do chwili uruchomienia awaryjnego trybu pracy (failover) lub przywrócenia środowiska produkcyjnego.
Retencja definiuje, jak długo będziemy przechowywać kopie zapasowe w repozytorium backupu, a więc określa czas życia backupu.
Orkiestracja oznacza zaplanowaną sekwencją uruchomień powiązanych ze sobą serwerów i usług, która zapewni prawidłową pracę środowiska IT.