评估基于云计算的灾难恢复服务选项

日期: 2013-01-07 作者:Dave Shackleford翻译:滕晓龙 来源:TechTarget中国 英文

对于所有的公司来说,灾难恢复(DR)和业务连续性计划(BCP)服务都是需要重点考虑的。但是,这些服务的价格都不便宜。至少,到目前为止都是如此。云计算革命的一个幸运的结果就是可通过云计算实施DR/BCP。

事实上,对于一些企业尤其是那些中小型企业(SMB)来说,使用云计算是实现备份和恢复操作的一大神器,它无需对数据中心或备用网站进行任何追加投资。   在真正实施基于云计算DR服务或BC之前,公司应当彻底地评估所有潜在的云计算服务供应商(CSP)以确保这是一个较好的选择。现在,让我们来讨论一下应当考虑的因素。   基于云计算的灾难恢复服务流程   首先,在与任何CSP开展业务工作之前,了解其备份和连……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

对于所有的公司来说,灾难恢复(DR)和业务连续性计划(BCP)服务都是需要重点考虑的。但是,这些服务的价格都不便宜。至少,到目前为止都是如此。云计算革命的一个幸运的结果就是可通过云计算实施DR/BCP。事实上,对于一些企业尤其是那些中小型企业(SMB)来说,使用云计算是实现备份和恢复操作的一大神器,它无需对数据中心或备用网站进行任何追加投资。

  在真正实施基于云计算DR服务或BC之前,公司应当彻底地评估所有潜在的云计算服务供应商(CSP)以确保这是一个较好的选择。现在,让我们来讨论一下应当考虑的因素。

  基于云计算的灾难恢复服务流程

  首先,在与任何CSP开展业务工作之前,了解其备份和连续性流程和技术是非常重要的。例如,对于安全即服务(SaaS)CSP来说,只存储数据。因此,应当关注存储和备份来对SaaS供应商的DR/BC计划进行分析,这是因为消费者很难或几乎无法控制数据的连续性。此外,供应商内部运作中的连续性计划还应当包括对业务运行至关重要的网络设备冗余、系统和应用程序配置备份。

  对于平台即服务(PaaS)供应商来说,代码库、维护操作以及数据都是可以共享的。但是,基础设施仍然是供应商的关注重点,它应当被包括在其自有内部计划中。对于基础设施即服务(IaaS)供应商来说,消费者可以管理整个虚拟机(VM),但是供应商仍然管理着基础设施。因此,在这些情况下DR与BCP的战略和责任都是共享的。

  当公司希望利用云计算服务供应商,尤其是他们基于云计算的DR和BCP服务时,有一些可识别的用例可作为指导。第一个就是在线数据存储,对于某些组织来说这就是一个简单的备份场景。中小型企业通常都会使用这一方法,但在大型企业中这也是具有一定吸引力的。第二个用例是虚拟机或特定数据类型的备份,即便是一个企业级的DR/BCP程序。另一个选项是备份和运行整个应用程序集群或者是云计算服务供应商环境中的特定关键服务。

  基于云计算的灾难恢复服务考量

  一旦将基于云计算DR服务的流程和用例纳入考虑之中,公司必须评估潜在的CSP以便于确保他们满足某些标准。无论考虑与哪一家CSP进行基于云计算备份与DR/BCP用例实践时,采取合适的评估都是非常关键的。在一次评估中应当考虑的因素包括:

  • CSP的成熟度:他们从事该业务的时间有多长?其以往记录如何?

  • 用于DR/BCP的ISO 27001、SSAE 16等:在实施中CSP是否采用了何种标准?

  • DR/BCP的CSP运行资源:CSP是否拥有足够的团队和技术以便于充分地为你的组织承担DR/BCP责任?

  • 服务等级协议和恢复能力的合同语言:合同中是否提供了一个适当水平的覆盖范围?

  在云计算中评估DR和BCP可能性的下一步就涉及了匹配恢复时间对象(RTO)和恢复点对象(RPO)的概念。咋看之下,RTO回答了这个问题,即“在缺乏某些关键服务的情况下,我们的组织能够正常运行多长时间?”RPO定义了一个“触发点”,它是指连续业务失去太多数据的那一时刻。在一个成熟的DR/BC计划中,这些概念应该已经被内部定义了。在开始CSP评估之前,应当深刻理解和充实这两个指标。

  云计算安全联盟还提供了一些选择基于云计算DR/BCP服务的建议:

  • 在可能的情况下,客户应当对CSP进行现场检查。

  • 客户应当检查CSP的DR/BC计划,这些都应当成为客户发起的审计和标准SSAE16报告的标准部分。

  • 客户应当在CSP基础设施中确定物理上的相互依存关系。这是合乎逻辑的,CSP的弹性能力是客户实施DR/BCP计划的基础。

  • 合同应当明确地说明安全性、恢复和访问数据的责任。

  • CSP应当了解客户的RTO,并将它们写入合同之中。

  • 应当有一个CSP的BCP政策,并得到CSP董事会的赞同。这都是内部的CSP管理评估。

  • CSP BCP计划应当积极地(在理想情况下)坚持诸如ISO 25999(新ISO 22301)这样的标准,该标准介绍了一套业务连续性需求的标准。

  有很多的CSP提供了基于云计算的DR和BCP服务。一个是Nirvanix公司,这是一家在分布式数据中心模式中提供存储和通用备份功能的公司。另一家提供DR/BCP服务的CSP是iLand公司。这是一家提供全功能DR服务、测试和复制服务的公司。SunGard公司是一家更为传统的备份和DR公司,它提供了广泛的数据中心服务。SunGard公司已为新的客户和现有的客户提供了基于虚拟化的备份和恢复选项。

  一家希望实施基于云计算DR/BCP或确保现有CSP拥有充分灾难恢复服务的的公司应当确定其内部DR/BCP指标与那些潜在CSP的DR/BCP指标是相兼容的。然后,必须对CSP进行评估以确保它具有充分的强壮性,并能够对共享信息通过SSAE 16或ISO认证进行控制维护。

  对灾难做好准备

  虽然采用基于云计算的灾难恢复和业务连续性服务似乎是一个令人不安的选择,但是这一选择所带来的好处却令其具有不可抗拒的吸引力,而云计算供应商也时时刻刻在这一领域提供着新功能和服务。选择正确的基于云计算DR服务的关键在于向潜在的CSP提出正确的问题,并最终找到一个真正适合本组织的CSP。

  除了上述提及的步骤,另一个需要考虑的重要因素是成本。而基于云计算DR/BC成本模型往往是有利可图的,尤其是对于那些小型企业,它们在大型企业也无法忽视的维护独立数据中心和设施方面具有明显的优势,这取决于带宽需求、计算需求和灵活性。当进行长期规划时,应当探究所有的选项并不打折扣地实施基于云计算的DR/BC。

作者

Dave Shackleford
Dave Shackleford

Dave Shackleford是Voodoo安全有限责任公司的所有人和咨询师、IANS资深导师、SANS研究院分析师、高级讲师和课程作者。他已为数百个组织在安全、法规合规性以及网络架构与工程领域提供了咨询服务,是具有丰富安全虚拟化基础设施设计和配置经验的VMware vExpert。Dave之前是Configuresoft公司的CSO、互联网安全中心的CTO、并曾出任多家财富500强公司的安全架构师、分析师和经理。Dave是Sybex一书的作者,虚拟化安全:保护虚拟化环境,以及信息安全课程技术的合作设计者。最近,Dave为SANS研究所合作设计了第一个虚拟化安全课程。目前,Dave在SANS技术研究院担任董事一职,并协助领导云计算安全联盟的亚特兰大分部。

相关推荐