Какая-то система СРК у нас стоит, но правильно ли она работает?16.09.2024 15:15

8cb6c99e2084c1a966bc4db3088d2812.jpeg

Многие сейчас, в эпоху импортозамещения, задаются вопросом, как правильно подобрать систему резервного копирования под свои нужды. Или как модернизировать имеющуюся СРК, замечая в ней недостатки. Пресейл-инженер Тринити СРК Михаил Старцев поделится своим профессиональным взглядом на эту проблематику. В статье вас ждёт классификация СРК-решений, небольшой обзор рынка и пара дельных советов от специалиста. Материал послужит органичным дополнением к предыдущей статье про резервное копирование: «Инструкция по грамотному развёртыванию бэкапов на предприятии».

Хочу начать с ультимативного дисклеймера:  

Перед принятием решения о модернизации или миграции на новую систему резервного копирования ВСЕГДА сначала необходимо провести тщательный анализ требований и потребностей вашей компании в резервном копировании.

Для этого в первую очередь следует:

  1. Определить объём данных, которые нужно сохранить. 

  2. Определить периодичность создания резервных копий. 

  3. Учесть доступность и требуемую надёжность системы.

  4. Установить точки восстановления (Recovery Point Objective, RPO) и время восстановления (Recovery Time Objective, RTO) для каждого резервируемого сервиса.

  5. Учесть возможность масштабирования системы  в будущем.

Без такого понимания начинать ничего никакому айтишнику не рекомендуется. И даже если уже совсем приспичило имортозамещать или стал очевиден провал работы данного направления, вариант не собирать нужную информацию для принятия решения неприемлем. Разве что Вы — чёртов гений, живёте на работе, а IT — Ваш океан, в котором Вы себя чувствуете рыбой в воде и схватываете всё интуитивно на лету.

На первом этапе желательно ответить и на такие общие вопросы о безопасности:  

  • какое место СРК занимает в контуре безопасности нашей IТ-инфраструктуры?

  • надёжна ли наша IТ-инфраструктура?  

  • каковы риски возникновения нарушений её работы в результате атак?

  • как можно эти риски нивелировать — копировать часть информации в облако или на резервный сайт, либо повышать культуру IТ-безопасности на предприятии?  

Часто IТ-специалисты не могут ответить честно на эти вопросы. Но даже если могут, то встречаются со старой русской традицией у руководителей урезать расходы процентов на 40, чтобы стимулировать IT-персонал лучше думать (и вообще без этой вашей СРК компания не умрёт). Неумение правильно обосновать риски приводит иногда к последствиям, которые мы могли недавно наблюдать у таких известных крупных брендов, как СДЭК или «Верный». 

Если же Вы и есть руководитель и у Вас имеются обоснованные сомнения относительно выводов своих IТ-специалистов, а также о надёжности и эффективности СРК-системы, то я рекомендую (после прочтения этой статьи, конечно) обратиться за аудитом IТ-инфраструктуры и СРК-системы к профессиональным в этой области подрядчикам. Часто это самый надёжный и простой способ получить независимую и честную экспертизу состояния IТ для предприятий, где не требуется много специалистов и где не хотелось бы сильно отвлекаться от бизнес-задач, вникая в сферу, которая требует, несмотря на существующее предвзятое мнение, изрядных компетенций. 

Нужно досконально понимать, как именно и от каких угроз надо защищать ваши бизнес-сервисы. В высоконадёжных системах следует рассмотреть все способы защиты в совокупности: создание кластеров, резервных площадок, резервных копий для тестовых зон, применение двухфакторной аутентификации, PAM- и DLP-систем и так далее. По сему, строго не рекомендуется рассматривать систему СРК в отрыве от состояния остальной IT-инфраструктуры компании.

Я предполагаю, что даже у тех IT-специалистов и руководителей, кто способен на многое и кто, беззлобно посмеиваясь, сейчас читает это, но всё же хочет держать руку на пульсе, моя статья способна вызвать интерес. Возможно, она поможет придумать новую идею, рассмотреть проблему под неожиданным углом, отточить до блеска опыт, которого никогда не бывает много и который обязательно пригодится в дальнейших бесконечных модернизациях IТ-инфраструктуры.

Итак, мы уже прониклись пониманием, что подбор подходящей системы резервного копирования для предприятия — это важный процесс, который требует тщательного анализа потребностей бизнеса и оценки доступных технологических решений. Теперь давайте перейдём к практике. 

Несколько ключевых отчётов, которые следует подготовить перед тем, как модернизировать СРК

Вам стоит проанализировать и оценить:

  • Данные и приложения: определите, какие данные и приложения критически важны для вашего бизнеса и требуют защиты.

  • Уровень сервиса (SLA): определите требуемые уровни доступности и времени восстановления после сбоя (RTO), время сохранения данных (RPO).

  • Масштабируемость: убедитесь, что выбранная система может масштабироваться в соответствии с ростом объёмов данных. Если данные сложно собирать и считать, экстраполируйте ваши текущие объёмы примерно на 30% в год. Но вы должны понимать, что под новую систему потребуется минимум нового оборудования, однако брать его нужно с запасом, потому что вряд ли компания будет его закупать под ваши нужды каждый год.

  • Надёжность и безопасность: система должна обеспечивать высокий уровень защиты данных и быть устойчивой к сбоям и атакам. Не ограничивайте себя только СРК. В случае сомнений и размытости рисков, а также если данная информация критически важна для компании, используйте кластеризацию и резервные ЦОДы.

  • Соответствие нормативным требованиям: убедитесь, что система соответствует требованиям ФСТЭК или ФЗ-152 и иным отраслевым стандартам, если это необходимо.

  • Тестирование и восстановление: возможность регулярно тестировать процедуры восстановления — важный элемент надёжной СРК.

  • Стоимость: обязательно рассмотрите общую стоимость владения, включая начальные инвестиции и эксплуатационные расходы, а также затраты на обновление и обучение персонала. Для крупных компаний при планировании этот горизонт может достигать и десяти лет. Ведь только один переход на что-то новое может затянуться на годы.

  • Поддержку и обслуживание: выберите решение с качественной технической поддержкой на русском языке и наличием хорошей документации и комьюнити. Вряд ли вы сразу сможете познать все тонкости работы системы, так что комьюнити будет особенно полезно. В этот пункт можно также включить обучение работе с системой в учебных центрах вашего региона или удалённо.

После того как, вы определите эти параметры и рассмотрите различные варианты угроз, которые может и не может нивелировать ваш IT-отдел, стоит подумать над тем, каким образом их можно будет оптимально закрыть с учётом стоимости найденных вариантов решения. Надо строить только локальные решения, использовать облачные сервисы или гибридные системы?  

Здесь хорошо бы получить консультации IT-специалистов и провайдеров СРК, чтобы организовать презентации и пилоты отобранных вами решений и найти наиболее подходящий вариант для вашего предприятия.

И вот, наконец, когда вы уже стали лучше понимать состояние безопасности IT-инфраструктуры в компании, вы сможете определить функциональные и технические требования будущего ИБ-комплекса решений и средств — какие из них лучше использовать при закрытии той или иной угрозы, а какие, наоборот, будут излишними.

СРК для разных уровней бизнеса 

Чтобы сравнивать СРК между собой для подбора варианта на замену, надо понять, что вообще могут современные системы резервного копирования. Может быть, это прозвучит банально, но для начала надо будет определиться, к какому уровню относятся задачи вашей компании, а уже затем посмотреть и изучить функциональность лидеров СРК-рынка, и то, для каких ниш они предназначены. 

Исходя из размера и задач компании, определяют системы резервного копирования уровня предприятия и уровня малого бизнеса. Они отличаются по ряду параметров, включая масштабируемость, сложность, стоимость и функциональность. 

Приведём общепринятые критерии двух классов систем. Современные передовые СРК уровня предприятия (ENT) обладают рядом важных функций и возможностей, которые обеспечивают высокую степень защиты данных и оперативность восстановления. 

Характеристики СРК уровня предприятия:

  • Автоматизация. Полная автоматизация процессов резервного копирования и восстановления данных. Чем полнее автоматизация, тем меньше проблем с восстановлением данных будет связано с человеческим фактором. Это сложности, с которыми обычно сталкиваются пользователи условно-бесплатных систем уровня предприятия (например, таких, как Bacula) при написании конфигов, шаблонов и скриптов.

  • Дедупликация данных. Сокращение объёма хранимых данных путём исключения дубликатов.

  • Поддержка репликации. Непрерывное копирование изменений в данных в реальном времени или с требуемой задержкой.

  • Масштабируемость. Возможность расширения системы для поддержки растущих объёмов данных.

  • Поддержка различных сред. Совместимость с большинством сред, представленных на рынке: физическими, виртуальными и облачными.

  • Многоуровневое резервное копирование. Использование различных уровней хранения, включая локальное, облачное и гибридное.

  • Шифрование. Защита данных с помощью сильного шифрования во время передачи и хранения.

  • Соблюдение нормативных требований. Гарантия соответствия системы законодательным и отраслевым стандартам.

  • Интеграция с приложениями. Взаимодействие с различными бизнес-приложениями для обеспечения целостности данных.

  • Управление жизненным циклом данных. Автоматическое перемещение данных между различными уровнями хранения в зависимости от политики жизненного цикла.

  • Самообслуживание. Возможность для конечных пользователей самостоятельно восстанавливать данные без вмешательства IT-отдела.

  • Отчётность и аналитика. Расширенные инструменты для мониторинга и анализа эффективности системы резервного копирования.

Эти возможности позволяют предприятиям не только защитить свои данные от потерь и сбоев и круто выглядеть среди коллег, но и оптимизировать процессы хранения и управления данными, снижая общие затраты IТ-персонала, повышая эффективность их работы.

Вследствие потребностей лидеров рынка, современные системы резервного копирования уровня малого бизнеса (SMB) обладают похожими ключевыми характеристиками, но в меньшем количестве. Как говорится, давайте уберём «ненужное».

Характеристики СРК уровня малого бизнеса:

  • Масштабируемость. Системы разработаны для обработки небольших объёмов данных и поддержки небольшого числа пользователей и серверов. Как следствие, системы для малого бизнеса имеют ограниченную масштабируемость.

  • Сложность. Системы для малого бизнеса требуют менее сложной настройки и управления и иногда даже включают интеграцию с различными приложениями и базами данных. Эти СРК стремятся быть более простыми в использовании и настройке, потому что IT-специалист в малом бизнесе, как правило, «и швец, и жнец, и на дуде игрец», и у него, в отличие от узкого специалиста, просто нет времени нормально разбираться в тонкостях программы или обучаться. 

  • Функциональность. Малый бизнес может обойтись базовыми функциями резервного копирования и восстановления. Ему может оказаться проще нагрузить своего универсального админа, чем платить за использование расширенных функций, таких как непрерывное резервное копирование, дедупликация данных, шифрование, автоматическое управление жизненным циклом данных и т. п. Не те объёмы, не тот SLA, не тот уровень зрелости.

  • Стоимость. Эти СРК более доступны и часто предлагаются как сервис с ежемесячной оплатой. Надо ли говорить, что системы уровня предприятия более дорогие из-за своей масштабируемости, сложности и расширенной функциональности? Да и сверхзадач у малого бизнеса может не быть.

  • Техническая поддержка. Малый бизнес может обходиться стандартной поддержкой, а предприятия требуют круглосуточной техподдержки и более профессиональных услуг.

  • Безопасность и соответствие. СРК уровня предприятия часто должны соответствовать строгим нормативным и отраслевым стандартам безопасности, что может не быть столь критичным для малого бизнеса.

Как мы видим, выбор между этими двумя типами систем зависит от специфических потребностей бизнеса, его размера, требований к безопасности и доступного бюджета.

Но классификация систем была бы неполной без введения в неё ещё трёх сущностей, органично накладывающихся как на ENT, так и на SMB-уровни:

  • Платные СРК.

  • Условно-бесплатные СРК.

  • СРК, входящие в состав каких-либо программных решений по умолчанию, не требующие отдельных лицензий (или требующие, но за небольшие по меркам других вариантов деньги) — то есть «из коробки».

Да, отличия платных СРК от условно-бесплатных очевидны, но все же обычно такая информация находится далеко на периферии сознания, поэтому лучше повторю прописную истину в очередной раз. 

Отличия платных от условно-бесплатных СРК:

  • Функциональность. Платные системы часто предлагают более широкий спектр функций, включая продвинутые возможности дедупликации, шифрования, автоматического управления жизненным циклом данных и поддержки различных типов хранилищ.

  • Поддержка. Обычно включают профессиональную техническую поддержку и обновления ПО, а также наличие обширной документации и базы знаний, что может быть критически важным для бизнеса.

  • Надёжность и стабильность. Могут предложить более высокий уровень надёжности и стабильности, что особенно важно для критически важных бизнес-процессов.

  • Масштабируемость. Лучше подходят для масштабирования в соответствии с ростом объёмов данных и требований бизнеса.

  • Соответствие стандартам. Часто разрабатываются с учётом соответствия отраслевым и нормативным требованиям, что может быть обязательным для некоторых предприятий.

  • Интеграция. Быстрее и лучше интегрируются с существующей IТ-инфраструктурой и бизнес-процессами.

  • Стоимость владения и человеческий фактор. Задача современных платных СРК-систем заключается в том, чтобы исключить человеческий фактор при написании конфигов автоматизации или контроле СРК. Это позитивный тренд: мир сегодня развивается слишком быстро, и лучше перестраховаться, особенно когда есть ещё более важная задача — поддерживать на предприятии требуемый SLA. Если из-за неработоспособности СРК пострадает имидж компании, то это может послужить причиной потери доли рынка или инвесторов. Поэтому, даже несмотря на то, что платные решения стоят денег, в конечном итоге цена ведения бизнеса может выйти ниже именно благодаря платному софту.

Факторы перехода на платные и условно-бесплатные СРК-решения 

Существуют неочевидные факторы, которые тем не менее влияют на принятие решения о переходе на платное ПО. При этом они небанальные, но часто незаметны даже продвинутым платным мировым лидерам СРК, вероятно, в силу сложившейся корпоративной логики.

Первый и очень мощный фактор перехода на передовую отечественную платную СРК — это возможность миграции с ПО, принадлежащего брендам, ушедшим с российского рынка. Миграция, бесшовная или с минимальными задержками с одной системы виртуализации на другую, с одной ОС на другую, в нынешних реалиях — очень важная функция.

Второй факторзаключается в том, что даже условно-бесплатные и встроенные СРК могут быть хорошим выбором для индивидуальных или устаревших сервисов предприятия, не поддерживаемых платными решениями. Они позволяют экономить бюджет малому бизнесу при наличии невысоких требований к СРК или ограниченных требований к резервному копированию и восстановлению данных. Для таких компаний часто достаточно базовых функций резервного копирования, имеющихся именно в этом продукте (например, в системе виртуализации, к которой нет платного агента). 

Третий мощный фактор перехода на платные решения — это ФСТЭК. Так как сертификация стоит денег и часто ломает логику свободных и не только разработчиков, то ничего не стоить такое удовольствие, как вы понимаете, не может. Также имеет значение централизованное управление. У некоторых вендоров по виртуализации есть встроенные бэкапы, но они подходят только для резервного копирования их же VM. У СУБД тоже есть внутренний бэкап, но только для своей БД. Да, что-то можно бэкапить скриптами, но для централизованного резервного копирования нужно как раз купить СРК.

Четвёртый мощнейший фактор, без которого некоторые типы заказчиков вообще никуда не могут ехать — это реестр отечественного ПО. К чему, конечно, бесплатный софт отнести сложно, ведь соблюдение требований и попадание в реестр стоит каких-то денег. Также очевидно, что специалист-одиночка или группа из опенсорса не способны заниматься этим без поддержки команды и бизнес-составляющей проекта.

Да, условно-бесплатные решения имеют ограничения по функциональности, поддержке и масштабируемости и часто не соответствуют базовым принципам резервного копирования. Это, например, снапшоты, которые не являются собственно копией, ну у которых ноги растут из некой точки, удалив которую, потеряются и все так называемые бэкапы. Не говоря уже о том, что бесконечное количество снапшотов сделать невозможно, плюс их не желательно оставлять на долгий срок во избежание неприятных ситуаций, в том числе прямо или косвенно связанных с производительностью железа и софта. К тому же часто такие «копии» в силу ограниченности функционала бесплатной или встроенной СРК хранятся на той же СХД, что и продуктив. Надо ли говорить, что это мина замедленного действия, которую не стоит себе подкладывать?  

Тем не менее, часто бывает так, что, посчитав затраты, взвесив все «за» и «против», становится понятно, что целесообразно внедрить несколько систем резервного копирования, как платных, так и условно-бесплатных. Это оправдано в эпоху принудительного импортозамещения, особенно если очевидно, что этот процесс будет объёмным, с большим «зоопарком» и сопровождаемым редкими специалистами — выделенными СРК-администраторами или даже целыми департаментами резервного копирования (как, например, бывает в крупных компаниях федерального уровня). 

Поэтому повторюсь: перед выбором между платной и бесплатной СРК, важно тщательно оценить платёжный баланс и потребности компании, а также безопасность бизнеса, которая всегда стоила и будет стоить денег. Так сложилось, вероятно, потому, что история чаще беспощадна к тем, у кого безопасность в опасности, чем к тем, кто исповедует разумный подход. Что логично: чудес в IТ не бывает, а программисты едят свой хлеб не просто так. 

Основная идея использования бесплатного софта никогда не меняется — это желание не платить никому денег, но при этом жить хорошо. В тоже время парадигма использования платного софта выработана мировым сообществом давно и эффективно. За деньги ты получаешь инструмент, который нивелирует риски человеческого фактора, насколько это возможно и увеличивает автоматизацию процесса резервного копирования, что позволяет выдерживать SLA и делать неожиданности предсказуемыми. 

Для западного бизнеса репутация компании, повышение управляемости и предсказуемости процессов — настолько высокая ценность, что он готов платить за эффективное управление и постоянно внедрять инновационные инструменты. Но то, конечно, на западе. 

Размышления о российских решениях

У нас же часто репутация и управление во многих, особенно государственных, компаниях стоит далеко не на первом месте. Но даже если культура российского заказчика достаточно зрелая для реалий российского рынка, этот путь зачастую бывает ещё не пройден со стороны вендора. 

Российские СРК пока не дотягивают до мировых, но ситуация постепенно меняется. Нашим, как и западным разработчикам, очевидно, что платный софт обязан предоставлять заказчику удобные и быстрые инструменты развёртывания, сокращать время обслуживания и администрирования резервного копирования, повышать безопасность решения, предоставлять базовые отчёты для оценки загруженности, роста и развития. И конечно, со временем будут появляться и уже появляются инструменты для исследования и планирования в области всевозможных узких мест в системе и инфраструктуре. 

Не будем забывать и про круглосуточную быструю техподдержку. Если кто-то из вендоров думает, что она не обязательна, голосовать деньгами за его решение — то же самое, что стрелять себе в ногу. Западный мир давно это прошёл. Теперь пришла наша очередь наступать на грабли, но мы, основываясь на мировом опыте, хотя бы имеем возможность в некотором роде управлять этим процессом.

В российских реалиях сейчас наблюдаются разные тренды. В частности и такой, где компания по разным причинам готова срочно и формально закрыть нормативные требования, добавляя мужества своим айтишникам, сражающимся с ветряными мельницами. Однако все мы понимаем, что нормальный тренд — это чтобы платный софт умел всё то, что хочет заказчик, и чтобы заказчик за это всё был готов платить. 

Передовые производители российского ПО понимают, что конкуренция среди отечественных разработчиков в русле бурного развития рынка постепенно выводит их СРК-решения на новый уровень. Используя в качестве ориентира мировые лидерские решения, ответственные вендоры стремятся оперативно удовлетворить актуальные на рынке запросы заказчиков, которые в свою очередь готовы терпеть несовершенства вынуждено быстрой российской разработки. И хотя очевидно, что так будет не всегда, держать в уме горизонт событий хотя бы лет на 5 вперёд, необходимо.

Поэтому при выборе СРК и смежных с ней решений (поскольку СРК зависит от пропускной способности сети, мощности СХД, IТ-архитектуры используемого ПО и т. д.) следует исходить из возможностей рынка, перспективности тех или иных решений, наличия опыта, квалификации и загрузки IТ-персонала заказчика, процента сбоев из-за невыполнения РК и задач, а также бюджета заказчика.

Парадигма современного эффективного менеджмента ломается очень сложно. Мы видели беды СДЭКа и «Верного», видели, сколько подобных проблем госкомпаний выходило наружу или обсуждалось в кулуарах, в том числе утечку персональных данных… Что это? — каждый выживает, как может или что-то другое? Уверен, дочитав эту статью, вы сможете ответить на этот риторический вопрос самостоятельно.

Тем не менее, мы также видим, что государство постепенно начинает принимать новые законы и регулировать и ужесточать требования хотя бы в госсекторе. То есть осознание того, что придётся-таки делать правильно, чтобы эффективно развиваться, появилось. Частный бизнес тоже вынужден подтягиваться, хотя бы потому, что санкции мешают, а отечественный рынок уже сейчас может предложить что-то интересное, да ещё и по интересной цене. 

Возможно, вы задаётесь вопросом, кто же сейчас в лидерах среди отечественных СРК-решений? Я рекомендую приглядеться к «Кибер Бэкап» (это не реклама). У решения мощная информационная составляющая: много вебинаров, понятная документация, прозрачная ценовая политика. На сайте легко скачать дистрибутив для полноценного пилота в 1 ТБ без ограничений функций для проверки всех заявленных характеристик системы самостоятельно или бесплатно при поддержке партнёра (например, нас) — это немаловажно. И, хотя данное решение выросло из малого бизнеса, на текущий момент оно, пожалуй, единственное среди отечественных СРК, которое ближе всего к уровню предприятия. 

Также большим плюсом этого решения является то, что оно может полноценно работать с «ненавистной» Windows. Это важно для бизнеса, десятилетиями инвестировавшего в виндовую инфраструктуру. Кстати, есть предположения, что Windows будет ещё долго работать, так как заметны некоторые непубличные послабления от Microsoft: обновления качаются, дистрибутивы в свободном доступе на официальном сайте. При наличии лицензии, которую никто не блокирует, работать можно почти так же хорошо, как и раньше, при этом лицензионные затраты могут даже снизится (есть примеры, когда американский и европейский бизнес успешно «сидит» на десятилетних и более старших версиях ОС, решая возникающие проблемы в обход поддержки вендора). Тем более с учётом такого огромного российского бизнес-ресурса, как опытные Windows-айтишники, которые вынуждены переучиваться на Linux, но в Винде дадут IТ-инфраструктуре на Linux большую фору.

Что касается остальных решений СРК (отдельных или встроенных «бесплатно» в отечественные ОС и системы виртуализации), то каждое из них следует рассматривать профессионально, исходя из:

  • текущего IТ-ландшафта предприятия;  

  • планируемых задач;  

  • требований ИБ к бизнесу;  

  • нормативных и документов и регламентов, регулирующих деятельность заказчика;

  • оценки ИБ-угроз на предприятии. 

И, конечно, надо хорошо считать то, что считается и сравнивать то, что сравнимо по технологии, описанной в этой статье. 

Резюме

Подытожу всё вышесказанное в нескольких пунктах.

  1. Принимайте решение на основании точной информации из разных отделов и источников (минимально необходимый список отчётов — в начале статьи).

  2. Изучив вашу IТ-инфраструктуру объективнее, чем вчера, убедитесь в необходимости именно таких реформ. Далее составьте хотя бы предварительный план работ, прежде чем что-то ломать или строить. Чётко осознайте, какой уровень у вашей компании — предприятие или малый бизнес.  

  3. При выборе решения во время составления функциональных и системных требований к системе ориентируйтесь на мировых или отечественных лидеров.

  4. Выбирайте стратегии защиты в комплексе всех возможностей IТ, а не только возможностей одного продукта. Кластеризацию и второй ЦОД с облаком (возможно, частным) никто не отменял.

  5. Используйте разные стратегии — как платные, так и бесплатные. Конечно, если это не критично для компании и экономит её деньги, а ваш персонал уверен в себе.

  6. Будьте в курсе. Платите деньги за культуру, лучшие практики и безопасность — это окупается.

Это на сегодня всё, что я хотел рассказать про резервное копирование. Искренне надеюсь, что подобный материал поможет вам в лучшем понимании предмета и создании правильной IТ-культуры у себя в организации. Задавайте ваши вопросы в комментариях, пожалуйста. 

© Habrahabr.ru