Andmete varundamine teise füüsilisse asukohta on uus reaalsus

 

Sõda Ukrainas näitas ilmekalt, et varukoopiate tegemine üksnes ettevõtte peamisse andmekeskusse ei pruugi olla piisav. Datafoxi Microsoft tehnoloogiajuht Neeme Kaalep ja teenuste juht Kristjan Ok kirjutavad, kuidas andmeid lihtsasti teise füüsilisse asukohta varundada ning probleemide korral teenused koheselt või minimaalse katkestusajaga taastada.

 

Ühe meie kliendi Ukraina harukontor koos seal paiknenud serveriruumiga tulistati puruks juba sõja esimesel nädalal ning koos sellega pühiti sisuliselt minema ka tema äri selles riigis. Isegi kui serveriruum oleks paiknenud kõrgendatud turvalisusega hoones nagu  külma sõja haripunktis rajatud Tallinna teletorn, mis peaks dokumentatsiooni järgi vastu pidama ka tuumarünnakule, ei saa kõike 100% garanteerida. Sellised strateegilised rajatised tõmbavad endale ka vastase kõrgendatud tähelepanu, et seda objekti hävitada.

 

Sõda on loomulikult äärmuslik näide, kuid põhiandmetega samas asukohas olevate varukoopiatega võib juhtuda nii mõndagi. Kindlasti pole ükski serveriruum absoluutselt kaitstud terrorismi, suurte looduskatastroofide või kõige lihtsama näitena küberrünnakute eest. Kui pahalased on lunavararünnakuga pääsenud andmekeskusesse sisse, siis krüpteeritakse sageli ära ka sealsamas asuvad varukoopiad, isegi kui need asuvad teises virtuaalserveris. Seetõttu ei ole piltlikult öeldes mõistlik hoida kõiki mune samas korvis.

 

Riskide maandamiseks off-site backupiga on laias laastus kolm lahendust:

  • Lisavarukoopiate tegemine teises riigis või geograafilises piirkonnas asuvasse andmekeskusesse, olgu tegemist pilveteenuse või enda soetatud füüsilise taristuga.
  • Avariitaaste keskkond (disaster recovery site), mis on sarnane tavapärasele live-keskkonnale. Probleemide korral suundub võrguliiklus automaatselt ümber sellele varukeskkonnale või tehakse suunamine käsitsi ning tavapärane töö saab jätkuda koheselt või minimaalse katkestusajaga.
  • Microsofti Azure teenus, mis hõlmab mõlemat kaht eelmist osa ning võimaldab varundada kõiki kriitilisi andmeid IT-süsteemide uuesti käivitamiseks teises asukohas, näiteks tarkvaralitsentse, sertifikaate, ärisaladusi jne.

 

Azure hõlmab kolme peamist komponenti:

  • Azure Backup varundab pilve kõik vajalikud andmed, olgu need e-kirjad, andmebaasid, failiserverite sisu vms. Neid võib olla vaja aasta, 5 või koguni 10 pärast, sest varukoopiate kasutegur ei ilmne enamasti kohe. See teenus sobib hästi ka väikefirmadele.
  • Azure Site Recovery kopeerib automaatselt pilve kogu IT-keskkonna alates e-postist ning veebi- ja rakendusserveritest kuni failide ja identiteediserveriteni, hoides jooksvalt silma peal süsteemides tehtavatel muudatustel. Kui peamises andmekeskuses peaks midagi juhtuma, saab kogu selle pildi pilvest n-ö tagasi tõmmata ja samas käivitada kõik igapäevased teenused pilvekeskkonnas automaatselt. See teenus sobib hästi ka juhul, kui ettevõte laieneb mõnda teise riiki, kus pole vaja uut IT-keskkonda nullist üles ehitada, vaid see lihtsalt kloonitakse peamise asukohariigi alusel ja seejärel tehakse vajalikud kohendused. Azure Site Recovery saab hästi aru ka virtualiseerimiskeskkondadest nagu Hyper-V ning suudab neid probleemideta pilve sünkroniseerida. See teenus on sobilik alates keskmise suurusega ettevõtetest.
  • Azure Archive Storage on arhiivilahendus andmete jaoks, mida ei kasutata igapäevaselt, kuid need on vajalikud näiteks kord kvartalis või poolaasta jooksul mingite aruannete tegemiseks. Loomulikult on võimalik hoida kõike seda ettevõtte peamistes serverites, mis paraku eeldab suuremat kettapinda. Arhiivilahenduse korral pole seda vaja: ligipääs nendele harva kasutavatele andmetele pole ehk nii kiire kui muul juhul, kuid ära jäävad investeeringud kogu andmemassiivi mahutamiseks vajalike uute SSD-ketaste soetamiseks. See lahendus on mõeldud eeskätt suurematele ettevõtetele.

 

Pilveteenuste turvalisus

Sageli arvatakse, et pilveteenus on kallis ja ebaturvaline. Tegelikult ei vasta neist kumbki tõele. Näiteks Azures on klientide kõik andmed alati krüpteeritud ja kõrgelt käideldavad selles mõttes, et andmetest tehakse teise füüsilisse asukohta lisakoopia juhuks, kui mõnda Azure enda andmekeskust peaks tabama tehniline rike, maavärin, tulvavesi, rünne või mõni muu stiihia. Suurte pilveteenuste pakkujate keskkonnad on pidevalt monitooritud ja auditeeritud, nii et sellist kõrget turvalisuse taset ei suuda pakkuda ükski Eesti ettevõte. Teenused on loodud vastavuses GDPRi ja teiste regulatsioonidega ning näiteks Azure andmekeskused asuvad üksnes riikides, kus on geopoliitilised julgeolekumehhanismid.

 

Loomulikult on võimalik kasutada varukoopiate tegemiseks enda füüsilisi servereid või koguni tervet serveriruumi, kuid siis tuleb lisaks riistvara hinnale arvestada terve rea kõrvalkuludega, näiteks litsentside maksumus, turvateenus, dubleeritud elektritoide ja andmesideühendused, muud halduskulud ning IT-meeskonna palgad. Kui oma füüsilist taristut mitte hallata ja selle uuendamise lisainvesteeringutest loobuda, pole see ühel hetkel enam kasutuskõlblik, kui seda peaks andmetaasteks vaja minema. Seevastu pilvekeskkonna puhul on need küsimused kõik juba lahendatud ja kulud kaetud, nii et klient ei pea sellele ise mõtlema.

 

Pilves maksad vaid selle eest, mida kasutad

Arvestada tuleb ka seda, et oma füüsiline taristu otseselt lisandväärtust ei loo, vaid seisab riskide hajutamise eesmärgil jõude. Pilveteenuse eripära seisneb aga selles, et klient maksab vaid selle ressursi eest, mida ta reaalselt kasutab. Veelgi enam, kui avariitaaste füüsilistest serveritest võtab aega, siis pilvekeskkond võimaldab väga kiiresti tavapäraste teenustega jätkata või koguni katkestust sootuks vältida. Kui pilveteenuse kulu kõrvutada võimalikuga äriseisakuga, ei tundu enam selle maksumus kallis.

 

Kokkuvõtteks tasub läbi mõelda oma ettevõtte riskijuhtimine, sest üks asukoht varukoopiate tarbeks ei pruugi enam olla piisav. Arvestada tuleks seda, et probleemide ennetamine on kordades lihtsam ja odavam nende tagantjärele lahendamisest ning variante teises füüsilises asukohas andmete varundamiseks on mitmeid.

 

Kui soovid konsultatsiooni erinevate varunduslahenduste kohta, siis kirjuta meile:

 

Neeme Kaalep

Microsoft tehnoloogiajuht

[email protected]

 

Kristjan Ok
Teenuste juht

[email protected] 

 

 

 

Loe lisaks:

Igaühe infosõda: vaadake kriitilise pilguga üle oma avalik infovoog

Azure Active Directory turvameetmed tõstavad oluliselt digiidentiteedi turvalisust