В первой части данной статьи мы рассказали про правило резервного копирования «3-2-1». Теперь мы приглашаем посмотреть вторую часть статьи, содержащую запись нашего полуторачасового вебинара, подготовленного в формате whiteboarding сессии (то есть никаких PowerPoint слайдов — будет только наш эксперт и презентационная доска), на которой он шаг за шагом показывает какие проблемы встречаются у компаний в области резервного копирования, и как правило «3-2-1» можно реализовать на практике на примере продукта Veeam Backup & Replication. Помимо записи вебинара в статье приводятся ответы на наиболее актуальные вопросы, заданные участниками в ходе его онлайн-трансляции.
Вопросы после вебинара «Whiteboard Russia: Начнем с чистого листа!»:
- Как лучше организовать консистентный бэкап распределенных приложений, состоящих из нескольких серверов?
Так же, как и обычных серверов. Главное предупредить приложение о том, что будет производиться резервное копирование. Причем надо понимать, что консистентность прежде всего необходима транзакционным приложениям и файловым системам.
- “Принцип 3-2-1 – это очень дорого”.
Все зависит от того, сколько стоят ваши данные и насколько критично их потерять. Например, во сколько можно оценить потерю профессиональным фотографом своего личного фотоархива или фотоархива всей своей студии? Скорее всего, такое событие станет для него полной катастрофой. Поэтому, наверное, не случайно, что именно фотограф (Peter Korghe) в своей книге впервые и ввел понятие бэкап-правила “3-2-1”. При этом архив прошлогодней электронной почты вполне можно хранить в двух или даже одной резервной копии. Так что все зависит от составления стоимости защиты данных и стоимостью ущерба от их потери.
- “Ленты отмирают?”
По результатам исследования компании Gartner “Organizations Leverage Hybrid Backup and Recovery”, крупные компании для резервного копирования используют комбинированный подход в отношении использования дисковых хранилищ и ленточных накопителей. Такая стратегия хранения резервных копий позволяет снизить RTO и RPO (т.е. увеличить скорость процесса и уменьшить время резервного копирования) в отношении наиболее актуальных данных и критической информации, и, одновременно с этим, снизить стоимость владения инфраструктурой резервного копирования при долговременном хранении информации, которое требуется, например, для выполнения законодательных требований.
По статистике 80% всех операций восстановления приходится на данные, имеющие “возраст” архивирования, не превышающий 4-х недель. Таким образом, резервные копии в пределах последних 4 недель разумно располагать на быстродоступных дисковых хранилищах, хотя они и более дороги (из расчета размера затрат на единицу хранения информации), чем лента.
Несмотря на продолжающийся прогресс в снижении удельной стоимости хранения информации на дисковых накопителях, ленточные накопители остаются лидерами по этому показателю. Они отлично комбинируют в себе надежность хранения, мобильность носителей данных (лент) и низкую удельную стоимость хранения информации. Благодаря такой комбинации показателей, ленточные накопители отлично подходят для долговременного (многолетнего) хранения данных. Ленты в этой роли могут быть вытеснены пока только облаком, оптимизированным под хранение резервных копий, таким как Amazon Glacier.
В заключение можно сказать, что это до сих пор самый легко переносимый способ хранения.
- Поддерживается ли функция шифрования данных?
Данные, которые передаются через Интернет в облако – шифруются. А вот шифрование самих бэкапов на диске или ленте не поддерживается.
- Для работ по 17-му приказу ФСТЭК для аттестации системы с наличием информации ограниченного доступа требуется применение сертифицированных решений, в том числе для резервного копирования. В недавней аналитике RISSPA по выбору средств защиты информации для виртуализированных инфраструктур решение Veeam указано, однако данных о сертификации у регуляторов нет. Планирует ли компания работы в этом направлении (сертификацию решения)?
Действительно в п. 20.11 Приказа сказано, что “меры по защите среды виртуализации должны исключать НСД к … системе резервного копирования и создаваемым ею копиям”. Что же это за “меры”? Согласно п. 26 Приказа “Технические меры защиты информации реализуются посредством применения средств защиты информации (СЗИ), имеющих необходимые функции безопасности.” Далее в этом пункте Приказа перечисляются конкретные виды СЗИ: СЗИ от НСД, антивирусы, СОВ и МЭ. Список является закрытым. Какие СЗИ нужны с точки зрения сертификации? Согласно п.11 Приказа “Для обеспечения защиты информации, содержащейся в информационной системе, применяются СЗИ, прошедшие оценку соответствия в форме обязательной сертификации”. Таким образом, как мы видим, требования сертификации установлены для специализированных технических средств (аппаратных или программных продуктов), которые выполняют функции защиты (антивирусы, МЭ, СЗИ от НСД, СОВ). Эти требования не распространяются на общесистемное программное обеспечение, которое обрабатывает информацию ограниченного доступа (к которым относятся в т.ч. продукты резервного копирования). Конечно, если общесистемное программное обеспечение содержит встроенные функции защиты (как, например, операционная система) и при аттестации системы эти встроенные СЗИ планируется использовать для обеспечения мер безопасности, то будет требоваться сертификат на такие встроенные СЗИ, или иначе их нельзя применять в качестве мер защиты.
Таким образом, на наш взгляд (и эта позиция совпадает c позицией Марии Сидоровой, вице-президент RISSPA), можно сделать следующий вывод: поскольку Veeam Backup является общесистемным программным обеспечением, а не СЗИ, он не должен применяться при аттестации как техническое СЗИ для обеспечения мер по защите информации, и, как следствие, требования на обязательную сертификацию СЗИ на него не распространяются. Поэтому у нас нет пока планов по сертификации Veeam Backup по требованиям ФСТЭК.
- На какую платформу ставится Veeam (Appliance, Windows, Linux)? Как бэкапится и восстанавливается сервер самого Veeam?
Veeam всегда устанавливается на платформу Windows. Будет ли это физический или виртуальный сервер — не важно. Если говорить про резервное копирование самого сервера Veeam, то на этом сервере не хранится жизненно важная информация по резервным копиям, а только настройки инфраструктуры. Например, количество и расписание заданий, сколько у Вас репозиториев, ленточных библиотек и так далее. Эти настройки хранятся в БД SQL и файле настроек.
Если SQL хранится на отдельной ВМ (а это обычная наша рекомендация), то Вы можете ее бэкапить с помощью Veeam. Файл настроек автоматически сохраняется в default repository Veeam, но Вы можете указать другое место. В то же время резервные копии Veeam являются полностью самодостаточными. Вся информация о восстановлении (сколько точек восстановления, информация по дедупликации и сжатию и т.д.) хранится в самой резервной копии. Восстановить резервную копию Вы можете даже при отсутствии сервера Veeam.
- Как восстановить инфраструктуру, если сбой коснулся и самой инфраструктуры резервного копирования (серверов Veeam)?
Прежде всего, смотрите описание вопроса номер 6. Теперь порядок.
1 вариант (наиболее правильный, если делали бэкап Veeam)
- Восстанавливаем ВМ с SQL, в котором хранилась база Veeam. Можно прямо из резервной копии, с помощью нашей утилиты;
- Устанавливаем новый Veeam, указываем БД SQL, которую мы только что восстановили;
- Импортируем файл настроек Veeam;
- Вся инфраструктура готова;
2 вариант (если не делали бэкапы)
- Устанавливаем новый сервер Veeam;
- Делаем настройки инфраструктуры (добавляем vCenter, Veeam Repository, т.д.);
- Импортируем старые бэкапы;
Восстанавливать ВМ уже можно, НО все настройки с расписаниями придется пересоздавать.
- Каково рекомендованное количество точек восстановления?
По умолчанию у нас настроено 14 точек восстановления, НО это не рекомендация. Рекомендаций по сути нет, поскольку данный параметр зависит от ваших политик и процедур внутри компании по хранению данных. Насколько важна для вас информация, насколько необходимо долго ее хранить и т.д.
- Как Veeam относится к программному обращению из скриптов и приложение пользователя к бэкап-инфраструктуре?
Все функции Veeam, доступные из GUI, доступны также и в виде командлетов PowerShell и эти функции официально поддерживаются.
- Есть ли возможность создания Pre-backup скриптов?
Есть Pre-Freeze/Post-Thaw скрипты внутри ВМ, и есть Post-Backup скрипты снаружи ВМ. Можно запускать задания PowerShell'ом и предварительно исполнять нужные действия.
- Есть ли поддержка DAG в Microsoft Exchnage 2010/2013?
Да, есть.
Полезные ссылки
- Veeam Backup & Replication
- Ассоциация RISSPA дает рекомендации по выбору средств защиты информации для виртуализированных инфраструктур
Автор: PolinaKoroleva
