Na redakční otázky k hlavnímu tématu odpovídá David Rusin, Channel Sales Manager, D-Link

1) Jednou otázkou je bezpečnost datového úložiště pro zálohování či archivaci, druhou pak bezpečnost dat při transportu do/z tohoto úložiště. Nejde o opomíjenou/neřešenou otázku?

Storage řešení naší společnosti jsou postavena zejména na technologie iSCSI SAN, která využívá pro komunikaci úložiště a serveru běžný Ethernet, ať už Gigabit nebo optický 10 Gigabit. SCSI komunikace je tak zabalena do TCP/IP protokolu. O integritu dat při přenosu se starají mechanizmy založené na sledování kontrolních součtů paketu, chybovost je tímto způsobem eliminována. Potenciálním rizikem může být ale i odposlech dat útočníkem na cestě mezi serverem a úložištěm, což je nevýhoda sdíleného prostředí, jakým LAN síť určitě je.

Z toho důvodu doporučuji dodržovat následující bezpečnostní zásady: SAN infrastruktura by měla být oddělena od LAN sítě. Toho lze docílit fyzickým oddělením, tedy použitím separátních switchů pro datovou komunikaci mezi servery a úložištěm, které nesmí být fyzicky ani jinak přístupné. Podniková LAN je pak použita pro komunikaci uživatelů se serverem, který se stará o distribuci dat z úložiště pouze autorizovaným uživatelům, ti úložiště samotné ani „nevidí”. Při nasazení do již existující infrastruktury lze oddělení docílit použitím VLAN, tedy virtuálních sítí. Uživatelé se pak ani nenachází na stejné síti jako úložiště, nicméně používají shodnou infrastrukturu, data z úložiště získávají opět výhradně přes server.

Dále by v síti měli být uplatněny přístupové politiky založené na identitě, definující, kdo s kým smí nebo nesmí komunikovat. Například musí být jasně definované, že jediný, kdo smí vidět IP adresu úložiště je IP adresa serveru, navíc mezi serverem a úložištěm může být vyžádána CHAP autentizace. Aby se nikdo nemohl za server vydávat, je změna IP adresy uživatelům zakázána bezpečnostními funkcemi switche. Vysoké bezpečnosti lze docílit správným nastavením přístupových switchů, ty obsahují funkce pro autentizaci, autorizaci a vymezení parametrů přístupu do sítě (ověření přes RADIUS, přiřazení ACL, VLAN, správa IP adres pomocí DHCP snooping a IP-Mac-Port Bindingu).  Jistě by se dalo udělat víc v oblasti šifrování komunikace mezi serverem a úložištěm. Nicméně v 90 % případů se úložiště umisťuje do stejné servrovny nebo dokonce do stejného racku, jako jsou servery, vše je tak pod jedním zámkem. A pro vzdálenou replikaci mezi úložišti lze použít bez obav VPN šifrování. Z mého pohledu jsou tak data rozumě zabezpečená.

2) Jak nejlépe kontrolovat zálohovací a archivační procesy?

Ideální je mít zálohovací a archivační procesy spravované automaticky, vše musí být navázané na reporting, v takovém případě je vyžadována interakce administrátora až v momentě, kdy je potřeba nějaká zálohovaná data obnovit nebo kdy se děje něco nestandardního. Například v našich zařízeních se můžete setkat s technologií snapshotu, kdy je vytvářena rozdílová záloha vždy, kdy je vytvořený nějaký nový záznam. Zálohy se tak vytvářejí průběžně a bez interakce administrátora. Dále existuje funkce Volume Clone, kdy máte možnost nechat storage klonovat jeden oddíl automaticky do jiného a v neposlední řadě používáme funkci vzdálené replikace dat na jiné úložiště, toto může též podléhat plánovači. Větší systémy pochopitelně vyžadují specializovaný software pro management.

3) Jsou osvědčené postupy zálohování použitelné i v oblasti dnešních moderních technologií, jako je třeba cloud computing?

Záleží na tom, čemu se říká osvědčený postup a čemu cloud computing. Zálohování rozsáhlých datových polí poskytujících soubory pro miliony uživatelů si na pásku nedokážu dost dobře představit. Naopak vzdálená replikace jednoho pole na jiné je schůdná představa.

4) Splňují dnešní rychle se rozvíjející ICT systémy podmínku trvalého uložení dat (jak vyžaduje např. Zákon o archivnictví)?

Na daný zákon nejsem odborník, navíc mám problém s definicí slova „trvalé“, protože jsem se za celý život ještě nesetkal s věcí, která by nebyla pomíjivá. Tuším, že to bylo CD-R o kterém se říkalo, že má životnost 100 let a přitom první jeho exempláře se zálohami se mi spolehlivě rozpadly po 5 letech. U současných technologií se také často bojuje mezi dostupností dat a trvanlivostí záznamu. Lze každopádně říci, že data na současných diskových systémech jsou dlouhodobě udržitelná.

5) Na co nesmíme při archivaci zapomenout, abychom měli elektronická data k dispozici i po letech?

Redundantní musí být vše, HDD, zdroje, řadiče a v neposlední řadě samotná úložiště. Ideální je mít zálohu zálohy. To platí, ať už uvažujete o zálohování domácích dat nebo dat společnosti s dvěma tisíci zaměstnanců.  Navíc se musí věnovat nemalé úsilí na servis / revitalizaci systému. Před vynálezem písma se předávala znalost z generace na generaci ústně, nyní se kopírují data z generace na novější generaci úložišť.

6) V čem je Vaše nabídka zálohování a/nebo archivace dat jiná, než v případě konkurence?

Naše systémy úložišť jsou na svoji cenu nebývale výkonné a vybavené, navíc jsou na ně navázány nadstandardní záruky. Obrazně řečeno nejsme v této oblasti Ferrari za několik milionů, nicméně nabízíme komfort Superbu za pár set tisíc. Nic neúčtujeme za SW funkce úložišť, jako je právě snapshot, volume clone nebo replikace. Po zakoupením našeho řešení má zákazník vše co potřebuje už v ceně a to i po HW stránce, stačí pouze osadit disky. I v tom necháváme uživateli volnost výběru, může si zakoupit naše certifikované HDD, lze ale osadit HDD i od jiných výrobců. Úroveň záruky, je pak také volitelná na míru. Předností našich řešení je hlavně vysoká dostupnost, redundance a bezpečnost dat, vysoká SW vybavenost a v neposlední řadě cena.