Mange bedrifter spør seg selv hva som faktisk ville skje hvis dataene og applikasjonene deres forsvant. Hvilke sikkerhetskrav bør du kunne stille til leverandøren din, og hva bør du som bedrift gjøre for å kunne gjenopprette driften etter en katastrofe? Du finner svarene på disse spørsmålene her, fra Johan Wedin, COO i Binero.
Hva betyr det for alle lagrede data og alle administrerte applikasjoner når et datasenter brenner ned?
Når det verste skjer, er det viktig å ha riktig type sikkerhetskopiløsning og en plan for hvordan man skal gå frem. Dessverre kan det noen ganger være utilstrekkelig å bare ha en sikkerhetskopi, for eksempel hvis den er lagret i samme bygning som primærdataene og bygningen brenner ned eller kollapser.
Det er viktig å spre risikoen ved å sikre en backup-løsning som replikerer alle data til et sekundært sted, dvs. et annet datasenter. Dataene vil da forbli intakte i tilfelle en katastrofe på det primære stedet.
Er det noen måte å forhindre et slikt totalt tap av data og applikasjoner? Hvilke krav bør kundene stille til leverandørene og løsningene sine for å slippe å bekymre seg?
En leverandør bør kunne tilby alle typer løsninger for Disaster Recovery (DR), ekstern sikkerhetskopiering og til og med High Availability (HA). Den beste løsningen avhenger av kravene til tilgjengelighet, og DR-løsninger er ofte knyttet til krav til datasikkerhet. I noen tilfeller – for eksempel for visse applikasjoner eller visse data – kan det være akseptabelt for bedrifter at det tar flere dager å gjenopprette etter DR, da dette ofte er knyttet til kostnadsbildet.
For kunder som ønsker å gå ett skritt videre, kan reservert primær drift være et alternativ. Dette innebærer lagring, databehandling og nettverk på det sekundære stedet, som kan startes opp når som helst. Dette betyr at i tilfelle en total svikt, kan driften gjenopprettes på svært kort tid.
Det kan også være relevant å vurdere såkalte «aktiv/aktiv»-løsninger. Dette konseptet innebærer å kjøre hele plattformen redundant fra (minst) to datasentre. I tillegg til at den ene siden kan stenges helt uten at sluttbrukerne merker det, gir denne løsningen også tilgang til ytelsen på begge sider under normal drift. Det er også mulig å utføre vedlikehold på én side om gangen, noe som er en stor fordel for administratorer.
Hvilket råd vil du gi til bedrifter som planlegger å legge dataene eller applikasjonene sine i sky, eller å leie plass i et datasenter gjennom colocation?
Ulike løsninger passer for ulike tilfeller. Dette avhenger av tjenesten du bruker, men også av hvor sensitive dataene er og hvilke krav du har til tilgjengelighet. Disaster recovery (DR) handler ikke primært om å minimere risiko, men heller om å planlegge og ha en løsning for det verste scenariet, samt å være klar over hvor lang tid det tar å gjenopprette etter en katastrofe.
Å plassere applikasjonen din i sky kan være svært sikkert, men også svært usikkert. Sikkerhet kan bare oppnås hvis du og tjenesteleverandøren sammen vurderer risikoen og tilgjengelighetskravene som eksisterer, og på bakgrunn av dette blir enige om utformingen og valg av arkitektur. Å velge en leverandør som gjør risikoreduksjon til et naturlig trinn i prosessen, vil være til stor hjelp, da det vil gjøre det mulig å forhindre ting som totalt datatap, selv om en katastrofe – for eksempel en brann – skulle inntreffe.
Hvis du har svært høye krav til tilgjengelighet, bør du vurdere en aktiv-aktiv løsning. Hvis ikke, kan sikkerhetskopier på andre steder og en detaljert plan for gjenoppretting av applikasjonen være tilstrekkelig.
Det er viktig å identifisere risikoer og implementere en løsning som oppfyller dine krav. Her er noen viktige spørsmål du bør stille deg selv:
- Hvilket risikonivå er rimelig når det gjelder å sikre at data forblir sikre?
- Hvor lenge er det akseptabelt at driften er nede etter en katastrofe?
- Hvilket kompleksitetsnivå er akseptabelt, og er den nødvendige ekspertisen tilgjengelig?
Du bør gjennomføre en risikoanalyse minst en gang i året, og absolutt når det skjer store endringer. I tillegg til å vurdere om leverandøren og løsningen oppfyller kravene til funksjonalitet, kapasitet og tilkobling, bør du også se på aspekter som sikkerhet, brann- og perimeterbeskyttelse, sikkerhetskopiering, DR, overvåking og så videre. Risikoer knyttet til dataintegritet og regelverksetterlevelse er også viktig å evaluere regelmessig.
