Backup i dane w firmie

Ekosystem ochrony danych w nowoczesnym przedsiębiorstwie

Dane to najcenniejszy zasób współczesnej gospodarki cyfrowej. Stanowią one krwiobieg operacyjny każdego przedsiębiorstwa – od historii korespondencji z kluczowymi klientami, poprzez bazy systemów finansowo-księgowych, aż po kody źródłowe i projekty objęte tajemnicą handlową. Utrata dostępu do tych zasobów, choćby na kilkanaście godzin, potrafi wywołać paraliż operacyjny o katastrofalnych skutkach finansowych i wizerunkowych. Dlatego właśnie procesy takie jak rygorystycznie zarządzana kopia zapasowa i procedury Disaster Recovery (odzyskiwania po awarii) stanowią absolutny priorytet dla kadry zarządzającej i dyrektorów IT.

Mimo powszechnej świadomości zagrożeń, wiele organizacji nadal utożsamia proces zabezpieczania danych z okazjonalnym przegrywaniem najważniejszych folderów na zewnętrzny dysk USB lub ślepym zaufaniem do darmowych mechanizmów synchronizacji. Jest to podejście niezwykle ryzykowne. Współczesne środowiska informatyczne wymagają wielowarstwowej strategii (często określanej jako BCDR – Business Continuity and Disaster Recovery), która musi chronić firmę przed trzema głównymi kategoriami zagrożeń: awariami sprzętowymi, błędami ludzkimi oraz wyrafinowanymi cyberatakami, ze szczególnym uwzględnieniem niszczycielskiego działania oprogramowania ransomware.

Mit redundancji: Dlaczego macierz RAID to nie backup?

Pierwszym i najważniejszym mitem, z którym należy się zmierzyć przy budowie procedur ochronnych, jest mylenie dostępności z bezpieczeństwem. Wiele firm inwestuje potężne środki w serwery wyposażone w zaawansowane macierze dyskowe (np. RAID 1, RAID 5 czy RAID 10), wierząc, że dzięki temu ich pliki są bezpieczne. Macierz zapewnia jednak wyłącznie funkcję znaną jako redundancja, czyli odporność na fizyczne uszkodzenie jednego z nośników. Jeśli jeden dysk twardy ulegnie spaleniu, system działa dalej, a użytkownicy nawet nie zauważają awarii.

Problem polega na tym, że macierz RAID natychmiast replikuje każdą wykonaną operację logiczną na wszystkie dostępne dyski. Jeśli pracownik omyłkowo skasuje kluczowy plik bazy danych lub jeśli złośliwe oprogramowanie zaszyfruje folder z fakturami, ten destrukcyjny proces zostanie błyskawicznie i bezpowrotnie powielony przez system RAID na wszystkie dyski wewnątrz serwera. Bez oddzielnej, odizolowanej przestrzeni zapasowej, która przechowuje historyczne wersje plików (czyli prawdziwego backupu), macierz sprzętowa jest całkowicie bezużyteczna w starciu z błędami oprogramowania i działaniami celowymi.

Wskaźniki biznesowe: RPO i RTO jako fundament strategii

Projektowanie architektury ochrony informacji nie powinno zaczynać się od wyboru konkretnego oprogramowania czy zakupu pojemnych dysków. Proces ten zawsze musi rozpoczynać się od zdefiniowania rygorystycznych parametrów biznesowych, które określą apetyt firmy na ryzyko operacyjne. Dwa najważniejsze wskaźniki używane na całym świecie do wyceny i kalibracji systemów obronnych to RPO oraz RTO.

Wskaźnik RPO (Recovery Point Objective) można przetłumaczyć jako akceptowalny punkt odzyskiwania, a w praktyce – maksymalną ilość danych, jaką firma jest gotowa bezpowrotnie stracić, mierzona w jednostkach czasu. Jeśli organizacja tworzy zrzut całego środowiska wyłącznie raz dziennie o godzinie 23:00, a potężna awaria zasilania uszkodzi serwery o godzinie 16:00 następnego dnia, oznacza to, że cała praca wykonana przez wszystkich pracowników od rana do popołudnia przepada bezpowrotnie. Twój RPO w takim scenariuszu wynosi 24 godziny. Dla małej agencji reklamowej może to oznaczać jedynie drobną irytację i konieczność odtworzenia kilku grafik. Jednak dla prężnie działającego sklepu e-commerce lub biura rachunkowego strata całego dnia transakcji to absolutna katastrofa. Takie firmy muszą wdrażać systemy zdolne do realizacji RPO na poziomie 15 minut lub mniejszym.

Z kolei wskaźnik RTO (Recovery Time Objective) definiuje maksymalny tolerowany czas przestoju infrastruktury. Mówi on o tym, jak długo organizacja może funkcjonować na „papierze i ołówku”, od momentu wystąpienia kryzysu do chwili całkowitego przywrócenia środowiska do życia. Wyobraźmy sobie, że posiadasz idealną, nietkniętą kopię zmagazynowaną w zewnętrznej chmurze, która waży 10 Terabajtów. Twój lokalny serwer spłonął w pożarze, kupujesz nowy i zaczynasz pobierać pliki przez standardowe, firmowe łącze internetowe. Pobieranie 10 TB danych może zająć nawet pięć pełnych dni. Twoje RPO zostało zachowane, dane są bezpieczne, ale Twój RTO wynosi ponad 120 godzin, co w skrajnych przypadkach potrafi doprowadzić do upadku biznesu.

Architektura fizyczna: Gdzie bezpiecznie przechowywać archiwum?

Spełnienie wyśrubowanych celów narzucanych przez zarząd firmy wymaga wybudowania solidnego zaplecza infrastrukturalnego. Nie ma jednego idealnego nośnika; najlepsi inżynierowie łączą zalety różnych rozwiązań technologicznych, tworząc systemy hybrydowe.

Serwery i systemy NAS

Pierwszą linią obrony jest zawsze repozytorium lokalne. Pozwala ono na błyskawiczne zrzucanie ogromnych wolumenów poprzez szybką sieć gigabitową. W małych i średnich firmach najczęściej do tego celu wykorzystuje się urządzenia klasy NAS (Network Attached Storage). To miniaturowe serwery wyposażone w inteligentne oprogramowanie, które doskonale integruje się ze środowiskiem pracy, oferując nie tylko magazynowanie plików, ale również obsługę obrazów całych systemów operacyjnych. Dobry sprzęt NAS potrafi autonomicznie zarządzać retencją i kompresją, znacząco obniżając koszty przechowywania historycznych wersji plików przez wiele miesięcy.

Chmura i zasada 3-2-1

Oparcie się wyłącznie na urządzeniu lokalnym łamie jednak najważniejszą regułę bezpieczeństwa. Jeśli budynek firmy ulegnie zniszczeniu (np. pożar, zalanie) lub jeśli do sieci wtargnie zdeterminowany haker, który zainfekuje wszystkie widoczne urządzenia lokalne, zniszczeniu ulegnie zarówno serwer produkcyjny, jak i serwer NAS. Z tego powodu każda profesjonalna procedura ratunkowa wdraża strategię 3-2-1. Oznacza ona posiadanie co najmniej trzech kopii danych, zapisanych na dwóch różnych technologiach nośników, z czego absolutnie jedna musi znajdować się poza siedzibą firmy (Off-site).

Rolę idealnego rozwiązania off-site pełni dziś certyfikowana chmura obiektowa. Pakiety zaszyfrowanych plików są wysyłane do rozproszonych Data Center, co uodparnia firmę na wszelkie katastrofy fizyczne w głównej siedzibie operacyjnej. Warto dodać, że zaawansowane systemy dodają do reguły 3-2-1 dodatkowe „1”, oznaczające kopię niezmienną (Immutable). Oznacza to zastosowanie technologii blokującej możliwość skasowania zapisanego zrzutu nawet przez administratora sieci, co stanowi ostateczną zaporę przeciwko ransomware.

Rodzaje kopii: Modele wykonywania zrzutów danych

Przesyłanie codziennie kilku terabajtów danych z serwera na dysk zapasowy jest całkowicie nieefektywne z punktu widzenia zużycia czasu, pasma sieciowego oraz obciążenia procesorów maszyny produkcyjnej. Dlatego w branży informatycznej stosuje się różne strategie odczytu i zapisu paczek archiwalnych.

Najbardziej podstawowym podejściem jest tworzenie zrzutu pełnego, co jednak wiąże się ze wspomnianymi trudnościami w dużej skali. Rozwiązaniem, które zrewolucjonizowało rynkowy standard, jest tzw. backup przyrostowy (Incremental). Polega on na tym, że w niedzielę system wykonuje jedną, potężną kopię pełną, a każdego kolejnego dnia tygodnia analizuje dysk i przesyła do repozytorium tylko i wyłącznie te pakiety danych, które uległy fizycznej modyfikacji od poprzedniego dnia. Zamiast przesyłać codziennie 5 TB, system przetwarza zaledwie kilkadziesiąt gigabajtów dziennych zmian (tzw. delt). Ogromnie redukuje to „okno backupowe”, czyli czas niezbędny na sfinalizowanie procedury po godzinach pracy firmy.

Nowoczesne hypervisory wirtualizacyjne używają również technologii znanej jako snapshot (migawka systemu). Snapshot nie jest klasycznym sposobem długoterminowego magazynowania, ale pozwala na wykonanie „zamrożonego zdjęcia” całego serwera w ułamku sekundy, bez konieczności jego wyłączania. Dzięki temu, przed wgraniem krytycznej aktualizacji oprogramowania księgowego, administrator robi snapshot, a w przypadku niepowodzenia i zawieszenia się aplikacji, przywraca maszynę do życia w czasie krótszym niż kilkanaście sekund.

Kluczowe rozróżnienie: Archiwizacja to nie zabezpieczenie

Niezwykle często w dyskursie korporacyjnym pojęcia te używane są jako synonimy, co prowadzi do błędów projektowych na etapie zakupów sprzętu i ustalania procesów bezpieczeństwa. System zabezpieczenia awaryjnego skupia się na bieżącym środowisku. Nadpisuje on stare wersje plików, posiada dość krótki horyzont czasu (od kilku dni do zazwyczaj kilkunastu tygodni) i optymalizowany jest wyłącznie pod kątem jak najszybszego przywrócenia firmy do pracy, wykorzystując bardzo drogie i błyskawiczne w odczycie macierze dyskowe.

Całkowicie innym zadaniem jest z kolei archiwizacja danych. Służy ona do długoterminowego, historycznego zamrażania informacji, do których firma zagląda niezwykle rzadko, ale musi je przechowywać ze względów prawnych, audytowych lub regulacyjnych (np. przepisy prawa podatkowego, archiwum faktur sprzed 5 lat czy dokumentacja pacjentów z kliniki medycznej). Archiwizacja pozwala uwolnić cenną przestrzeń na wydajnych serwerach operacyjnych, poprzez odłożenie „zimnych” danych na bardzo pojemne, ale powolne nośniki długoterminowe (np. twarde dyski talerzowe o ogromnych pojemnościach czy wręcz napędy taśmowe typu LTO). Pamiętaj: system archiwalny pozwala odzyskać pojedynczą umowę sprzed trzech lat, podczas gdy system awaryjny pozwala uruchomić na nowo spaloną serwerownię w trzy godziny.