W trakcie spotkania w siedzibie „Computerworlda” eksperci branży rozwiązań do ochrony danych próbowali ustalić, jakie parametry mają krytyczne znaczenie przy wyborze rozwiązań do backupu i jakie są perspektywy wykorzystania chmury do magazynowania i odzyskiwania danych. W redakcyjnej debacie wzięli udział: Mirosław Chełmecki, dyrektor działu pamięci masowych w Veracomp; Artur Cyganek, dyrektor regionalny w Acronis; Przemysław Mazurkiewicz, EMEA East Technical Services Director w Commvault i Andrzej Niziołek, dyrektor regionalny w Veeam Software.

Po co nam backup?

Kiedyś inwestycja w system backupowy była uzasadniana przede wszystkim możliwością wystąpienia awarii i koniecznością magazynowania danych archiwalnych. Dziś wydaje się, że motywacje przesunęły się w stronę ochrony przed cyberatakami i koniecznością minimalizowania ich skutków. Trudno jednak znaleźć producenta systemu backup, który poszerzałby funkcjonalność swojego rozwiązania o szeroko rozumiane bezpieczeństwo, np. funkcje filtrowania ruchu sieciowego. Co innego, że rozwiązania backup nie powinny „pokrywać” bezpieczeństwa sieciowego, a co najwyżej automatyzować te zadania w jednym procesie i wkraczać do akcji w momencie zagrożenia.

Zobacz również:

• Ransomware zagraża ochronie zdrowia
• Zerowanie Windows 10/11 - z której opcji skorzystać?

Zresztą, próba powiązania systemów bezpieczeństwa z backupem i recovery już była. I nie była to próba udana. Gdy w 2005 r. ogłoszono połączenie firm Symantec i Veritas – pierwsi zapłacili za przejęcie drugich 13,5 mld dolarów – powstał czwarty na świecie dostawca oprogramowania pod względem wartości przychodów. A w 2015 r. Symantec pozbył się Veritasa za 8 mld. Produkty obu grup nigdy nie były do końca ze sobą zintegrowane. „Być może było na to za wcześnie. Wtedy potrzeby rynku były inne, a klienci woleli mieć rozwiązania oddzielne, wyspecjalizowane w różnych obszarach bezpieczeństwa – uważa Przemysław Mazurkiewicz z Commvault.

W tym kontekście warto przyglądać się, jak będzie przebiegać współpraca Sophos i Arcserve. Producent rozwiązań do ochrony sieci i firma specjalizująca się w zabezpieczaniu danych ogłosiły we wrześniu br. strategiczne partnerstwo.

Jak można się domyślić, potrzeby w zakresie backupu danych różnią się w zależności od wielkości firmy. Klienci z sektora enterprise mają inny poziom wiedzy i inne wymagania, niż małe i średnie firmy. W dużych organizacjach często pracuje specjalista, który zajmuje się wyłącznie zabezpieczaniem danych. „W szeroko rozumianym MSP jest zupełnie inny poziom świadomości. Tam bywa jeden informatyk, odpowiedzialny za wszystko. Trudno oczekiwać, żeby był również ekspertem od backupu” – mówi Artur Cyganek z Acronis.

Najniższy wspólny mianownik funkcjonalności rozwiązań backup to prostota, przejrzystość interfejsu użytkownika, obsługa wielu różnych systemów i różnych typów danych. Dobry backup to rozwiązanie o zróżnicowanej funkcjonalności, adekwatnej do potrzeb i możliwości budżetowych (skalowalność) oraz taki, który wiele zadań może wykonywać automatycznie, oraz integrować się z innymi środowiskami i systemami, przykładowo z oprogramowaniem antywirusowym.

„Istotne jest również zabezpieczenie przed atakami samego systemu backupowego i – w razie potrzeby – stosowna jego aktualizacja. To dlatego, że twórcy ransomware’u doskonale wiedzą, że backup jest dla przedsiębiorstwa ostatnią linią obrony przed udanym cyberatakiem” – podkreśla Przemyslaw Mazurkiewicz. Dziś większość ataków ransomware w pierwszej kolejności skanuje systemy w poszukiwaniu plików backupowych; dopiero ich zaszyfrowanie umożliwia atakującemu wymuszanie okupu.

„Minął okres, gdy ważne było zabezpieczenie tylko centrum danych. Przewiduje się gwałtowny wzrost liczby punktów końcowych, generujących dużą liczbę danych. Taka bardzo rozproszona infrastruktura – Edge computing, internet rzeczy – jakkolwiek by tego nie nazwać – tworzy zupełnie inne potrzeby” – uważa Artur Cyganek. „Nie mówimy już o wykonywaniu kopii zapasowej plików, ale o zabezpieczaniu wymiany dokumentów w sieci” – dodaje.

Odtwarzamy informacje, nie – dane

Pytanie, czy użytkownicy potrafią dziś określić krytyczne elementy, które trzeba w najlepszy możliwy sposób zabezpieczyć? Czy są świadomi tego, które dane są dla nich najważniejsze i gdzie się znajdują? Czy wiedzą, że trzeba mieć jakąś kopię offline, bez względu na to, czy to będzie backup na taśmach czy odpowiednio zabezpieczona kopia w chmurze? Uczestnicy debaty „Computerworlda” zgadzają się, że ta świadomość nie jest niestety powszechna. Dość wspomnieć o wynikach ubiegłorocznej kontroli NIK-u w jednostkach samorządu terytorialnego. Naczelna Izba Kontroli sprawdziła, jak samorządy radzą sobie z zarządzanie bezpieczeństwem informacji: na 23 skontrolowane urzędy w 11 wykryła nieprawidłowości (niewłaściwe przechowywanie kopii, brak testów kopii albo całkowity brak backupu).

„Sam jestem zaskoczony, że organizacje mówią o backupie tak, jakby samo posiadanie go wystarczało. Dziś należy mówić, że backup jest ważny, ale recovery – ważniejsze” – podkreśla Mirosław Chełmecki z Veracompu. A to dlatego, że współcześni użytkownicy końcowi, na przykład klienci bankowości elektronicznej albo abonenci telefonii komórkowej, oczekują natychmiastowej i ciągłej dostępności usług, tu i teraz. Akceptowalny czas oczekiwania na odpowiedź systemu to kilka sekund – po dłuższym czasie użytkownik się nudzi i zmienia dostawcę.

„Recovery staje się elementem ważniejszym niż sam backup” – zgadza się Andrzej Niziołek z Veeam Software. „Dane chronimy w ten czy inny sposób, często ufając, że natywne rozwiązania producenckie są wystarczające. Jednak mało kto zastanawia się, czy potrafi odtworzyć dane, i czy wiadomo, jak to zrobić”. Dowodów na to, że sam backup to nie wszystko, nie trzeba daleko szukać. Gdy pod koniec stycznia 2019 r. pożar strawił serwerownię T-Mobile, problemy z dostępnością niektórych usług operatora telekomunikacyjnego były odczuwalne jeszcze przez tydzień.

Zarządzanie danymi i ich ochrona wymagają ustalonych procedur, co zrobić i jak zareagować w różnych sytuacjach. Z kolei proces odzyskiwania danych musi być zawczasu przetestowany i zweryfikowany. Veeam zresztą zwracało na te kwestie uwagę w przeprowadzonym przez siebie w 2017 r. badaniu – wynikało z niego, że 60 proc. polskich organizacji nie testuje swoich systemów lub nie tworzy odpowiednich polityk ochrony przed zagrożeniami.

Inny problem to taki, że nawet jeżeli klienci segmentują dane, to nie segmentują informacji i nie wiedzą, jakie są wymogi odtworzenia konkretnego środowiska biznesowego. „Cały czas mówimy o archiwizacji danych, a to błąd. Powinniśmy mówić o archiwizacji informacji” – zwraca uwagę przedstawiciel Veeam. „Informacja powinna być wyjęta z kontekstu. Kłopotów nie sprawią pliki PDF, bo to standard, ale już baza SQL w konkretnym formacie, używana jako repozytorium dla konkretnej aplikacji – jak najbardziej. Jeżeli już archiwizować, to wszystko, z aplikacją włącznie – w wersji umożliwiającej kompleksowe odtworzenie. W innym wypadku archiwizacja albo backup długoterminowy nie mają sensu” – mówi Andrzej Niziołek.

Jak przypomina przedstawiciel Veeam, dawniej backup był odrębnym bytem w ramach architektury IT, fizycznie odseparowanym fragmentem świata, dzięki czemu ryzyko przeniknięcia do niego zagrożeń z zewnątrz było minimalne. To się zmieniło. „Doszliśmy do momentu, w którym wszystko jest ujednolicone w ramach jednej, wspólnej sieci. W pogoni za optymalizacją kosztów porzuciliśmy dobre praktyki budowy architektury IT, być może dlatego, że nikt już ich nie uczy. Teraz, gdy mamy infrastrukturę zdefiniowaną programowo ze wszystkimi jej zagrożeniami, być może dobre praktyki backupu wrócą do łask”.

Backup – kierunki rozwoju

Producenci rozwiązań do backupu stoją przed wyzwaniem daleko idącej, powszechnej automatyzacji, rozumianej dwojako: jako upraszczanie procesów aplikacji i jako zdolność aplikacji do samodzielnego decydowania, które działania podjąć (i jak je zrealizować). Produkty będą stawać się bardziej inteligentne, zdolne – bazując na analityce predykcyjnej – do przewidywania potencjalnie niebezpiecznych zdarzeń i zapobiegania ich konsekwencjom.

Nawet jeżeli producenci tradycyjnego backupu nieprędko wyposażą swoje narzędzia w opcje bezpieczeństwa sieciowego, to z funkcjami ochrony danych jest już inaczej. Pojawiają się już elementy ochrony przed ransomware, są też integracje z systemami antywirusowymi. Słowem,

integracja technologii backup i recovery w obrębie jednego systemu jest nieuchronna. Takie narzędzie będzie zabezpieczać dane kompleksowo, niezależnie od rodzaju zagrożeń, tak cybernetycznych (złośliwe oprogramowanie) jak i fizycznych (awaria sprzętu).

Czeka nas również głębsza integracja z chmurą. „Jeżeli operator chmury nie ‘wpuszcza’ producenta backupu na ten najniższy poziom ‘wirtualizatora’, czyli poniżej systemu operacyjnego, dostawca nie jest w stanie zaoferować klientom oczekiwanej przez nich funkcjonalności. Dostawcy rozwiązań backup muszą wejść w jeszcze bliższą kooperację z dostawcami chmury – żeby dostarczać technologie poniżej poziomu zauważalnego przez klienta” – uważa Andrzej Niziołek.

Artur Cyganek: „Część firm jeszcze nie jest gotowa na to, by backupować dane w chmurze. Takim organizacjom oferujemy narzędzie, które pozwala im wybrać, czy backup ma być on-premise, czy w chmurze. Dziś firma wybiera on-premise, ale w pewnym momencie dojdzie do wniosku, że część danych dobrze będzie umieszczać w chmurze, na przykład jako drugą instancję backupu”.

Popularność narzędzi chmurowych do backupu jest pewnym odzwierciedleniem kondycji rynku cloud w Polsce. Chociaż wartość sprzedaży usług chmurowych, co potwierdza ostatni raport Computerworld TOP200, rośnie, to w porównaniu z krajami zachodnimi nadal jest ona stosunkowo niewielka. Można oczekiwać, że jeżeli chmura będzie szerzej wykorzystywana, to i producenci będą częściej oferować jej funkcje w swoich rozwiązaniach: są już na to przygotowani. „Ponadto produkty backupowe mogą być reklamowane jako takie, które wręcz umożliwiają migrację do chmury” – ocenia Przemysław Mazurkiewicz. W krajach lepiej rozwiniętych praktyka wykorzystywania narzędzi backup do migracji do chmury jest powszechna, w Polsce rynek musi do tego dopiero dojrzeć.

Wydaje się też, że rozwój systemów backupu idzie w kierunku ułatwienia firmom oceny, jak istotne są dane i w związku z tym odpowiednio zarządzać czasem odzyskiwania i wskaźnikami RTO/RPO. Pierwszy, Recovery Time Objective, oznacza czas, przez jaki firma może prowadzić działalność z wyłączeniem procesów krytycznych. Drugi, Recovery Point Objective, to akceptowalny poziom utraty danych.

Klient powinien mieć możliwość samodzielnego wyboru, gdzie przechowywać backup, nadawać priorytety danym (co powinno być odtworzone w sekundy, a co może być przywrócone po dłuższym czasie), czy stosować migawki czy standardowy backup strumieniowy, czy może pozwolić sobie na backup pewnych danych w chmurze, czy musi je utrzymywać we własnym, lokalnym centrum danych.