Showing all posts tagged Veeam Cloud Connect

Jaki jest koszt nienaruszalności kopii zapasowych?

Posted on
Jaki jest koszt nienaruszalności kopii zapasowych?

Gdy znamy metodykę ataku malware i mamy świadomość, że celem pierwszoplanowym są kopie zapasowe, motywacji do aktywnej ochrony infrastruktury backupu zwykle nie brakuje. Pozostaje kwestia, jak się do tego zabrać, aby osiągnąć zadowalający efekt i jakie to wygeneruje nakłady? Warto pamiętać, że bezpieczeństwo kopii zapasowych jest funkcją wielu działań, a nie jednego czynnika. Mimo to przedstawię drogę na skróty, która na początek daje najwięcej korzyści. Mowa będzie o nienaruszalnych repozytoriach na kopie zapasowe.

Czym jest nienaruszalność kopii zapasowych?

„NIENARUSZALNOŚĆ backupu to zdolność systemu kopii zapasowych do zagwarantowania, że utworzone kopie pozostaną integralne (niezmienione), nieusuwalne i gotowe do odtworzenia przez cały wymagany okres retencji (przechowywania) – niezależnie od awarii sprzętowych, błędów ludzkich czy celowych ataków.”

Źródło definicji: https://viability.pl/blog/nienaruszalna-kopia-zapasowa/

Skoro kopie zapasowe mają być de facto nietykalne przez zadany czas, pozostaje pytanie, jak to w praktyce zrealizować?

Kluczowe czynniki sukcesu w bezpieczeństwie backupu

Bezpieczeństwo backup osiąga się poprzez synergię 4 obszarów:

  1. Architektura systemu. Właściwe zaprojektowanie i wykonanie systemu backupu zgodnie z podejściem Secure by Design, gdzie bezpieczeństwo jest fundamentem projektu, a nie dodatkiem po fakcie. Kluczowa jest segmentacja, czyli wydzielenie systemu backupu i repozytorium do osobnych stref sieciowych, tak by zminimalizować powierzchnię ataku i ograniczyć zasięg ewentualnego włamania.
  2. Bezpieczne repozytorium. Czyli pamięć masowa, którą dzisiaj może być serwer lub usługa chmurowa, honorująca politykę retencji naszych zadań backupu. Istotne w tym jest, by mechanizm niezmienności był natywny, a więc wbudowany w system plików, storage lub API, a nie zapewniony wyłącznie przez oprogramowanie backupowe (które można odinstalować).
  3. Ograniczanie uprawnień. Stosowanie zasady minimalnych przywilejów i polityki Zero Trust. W praktyce oznacza, że tworzymy konta z uprawnieniami wystarczającymi do działania. Nadto, zakładamy z góry, że naruszenie bezpieczeństwa nastąpi, więc każdy dostęp wymaga weryfikacji, a krytyczne operacje jak usunięcie kopii powinny wymagać zgody dwóch osób (zasada czterech oczu).
  4. Testowanie backupu. Cykliczne odtwarzanie kopii zapasowych i weryfikacja integralności danych plus profilaktyczne skanowanie silnikiem antywirusowym.

Bezpieczne repozytorium, czyli co?

Repozytorium dla backupu musi zapewniać niezmienność danych najczęściej przez mechanizm WORM (Write Once Read Many) lub równoważny. Rzecz jasna, nie w nieskończoność, lecz zgodnie z naszą polityką backupu. A konkretnie to retencja określa nam jak długo mamy przechowywać kopie zapasowe. Jeśli masz 30-dniową retencję, możesz wrócić do stanu danych sprzed miesiąca. Jeśli incydent bezpieczeństwa lub błąd wykryjesz po 31 dniach, tego stanu danych już nie ma.

No dobrze, to teraz jakie repozytorium najlepiej, przy rozsądnym budżecie zrealizuje nasze cele. Oto przykłady, które różnią się modelem kosztowym: lokalne to głównie CapEx (sprzęt i licencje), a chmurowe to OpEx (subskrypcja). Obie ścieżki prowadzą do tego samego celu.

  1. Repozytorium lokalne (on-prem):
    • Veeam Hardened Repository (uniwersalne).
    • Scality ARTESCA (uniwersalne).
  2. Repozytorium chmurowe (cloud):
    • Object Storage – AWS S3 lub Azure Blob (uniwersalne),
    • Veeam Data Cloud Vault (dla Veeam).
    • Veeam Cloud Connect (dla Veeam).

Jak zacząć, żeby szybko zyskać dużo?

Najwięcej rezultatów przy minimalnych nakładach osiągniesz przechowując backup lokalnie na niezmiennym repozytorium (immutable storage), a dodatkowo kopiując backup do repozytorium poza siedzibą (Off-site Backup). W ten sposób dane będą zabezpieczone przed sporą grupą typowych wektorów ataków.

Gdy Twój system backupu pochodzi od Veeam, masz do wyboru natywnie wspierany Veeam Cloud Connect (usługi realizowane przez partnerów Veeam), albo Veeam Data Cloud Vault (usługa oparta na AWS i Azure oferowana przez Veeam). Jeżeli masz system backupu od innego producenta, to zawsze możesz skorzystać ze zdalnego magazynu obiektowego w chmurze (S3 Object Storage). Która opcja jest najtańsza i którą warto wybrać? O tym w następnym akapicie.

Ile kosztuje bezpieczeństwo backupu?

Backup to de facto nadmiarowość w zakresie danych, czyli tworzenie kopii zapasowych to dublowanie stanu danych produkcyjnych i obsługujących je systemów. Jeżeli uwzględnić czas przechowywania, a nawet osiągnięte oszczędności z tytułu deduplikacji i kompresji kopii to może okazać się, że backup i tak wymagał będzie 2 lub nawet 3 razy więcej miejsca na pamięci masowej niż dane podstawowe.

Czas na wyliczenia. Przyjmijmy założenie, że mamy 20 TB danych produkcyjnych, co przy retencji 30 dni pozwala przyjąć, że wystarczy nam 50 TB repozytorium na backup. Poniżej opcje spełniające te warunki.

Repozytoria lokalne (on-prem):

🟪 Veeam Hardened Repository | Podstawowy serwer z kontrolerem macierzowym (RAID6) z 5 dyskami SAS 18 TB, co daje nam 54 TB przestrzeni na backup. Licencja na system jest bezpłatna | Przeciętny koszt: 43 000 zł netto, co przy amortyzacji na 3 lata daje22 zł/1 TB/ m-c + koszt energii*.

🟪 Scality ARTESCA (S3 Object Storage) | W przypadku tego magazynu obiektowego musimy zastosować 12 dysków SAS 6 TB, aby zagwarantować dalszą rozbudowę oraz o wiele droższą konfigurację sprzętową (między innymi – 256 GB RAM) ze względu na technologię zapisu danych (erasure-coding). Miejsce na backup ok. 55 TB. Licencjonowanie rozliczane jest za każdy TB | Przeciętny koszt: 87 000 zł netto, co przy amortyzacji na 3 lata daje 44 zł/1 TB/m-c + koszt energii*.

    Repozytoria chmurowe (cloud):

    🟦 S3 Object Storage – AWS S3 / Azure Blob (uniwersalne) | Oferta w zakresie obiektowej pamięci masowej jest bardzo bogata. Analizując ceny przyjąłem usługi typu „rzadki dostęp”, co limituje wolumen odtworzeni danych z backupu i przyjąłem, że nie nastąpi rozliczenie za egress. | Średni koszt usługi: 45 zł netto/1 TB/m-c.

    🟦 Veeam Data Cloud Vault (dla Veeam) | Natywnie rozwiązanie dla Veeam Backup & Replication w dwóch wariantach:

    1. Veeam Data Cloud Vault Foundation (Core Region) | Niezawodność na poziomie „11 dziewiątek”. Odtwarzanie limitowane, więc mogą się pojawić koszty dodatkowe. | Koszt usługi: 34 599 zł netto za rok, co daje ok. 58 zł/1 TB/m-c.
    2. Veeam Data Cloud Vault Advanced (Core Region) Niezawodność na poziomie „12 dziewiątek”. Odtwarzanie bez limitów. | Koszt usługi: 59 199 zł netto za rok, co daje 99 zł/1 TB/m-c.

    🟦 Veeam Cloud Connect (dla Veeam) | Ceny są zróżnicowane, bo zależne są od polityki cenowej partnerów programu VCSP. Zwykle mamy dwa składniki cenowe: storage i licencja połączeniowa rozliczana za VM/serwer (do kalkulacji przyjąłem 50 VM i 50 TB). | Koszt usługi: 5 150 zł netto/m-c, czyli103 zł /1 TB/m-c.

      Wnioski końcowe

      Jak widać, najtańszą formułą na pozyskanie nienaruszalnego repozytorium jest lokalny Veeam / Linux Hardened Repository. W dodatku, gdy użyjemy jakiegoś starszego, wycofanego z użytkowania serwera, inwestycja sprowadzić się wyłącznie do kosztu zakupu dysków HDD + koszt energii elektrycznej. Uzyskanie immutable storage w cenie 22 zł/1 TB jest najtańszą możliwą opcją (dla block storage).

      Jeżeli Capex odpada albo zależy nam na uruchomieniu nienaruszalnego repozytorium w ciągu godziny, wówczas do wyboru mamy chmurę z dość powszechną ofertą w zakresie S3 Object Storage. Cena repozytorium tego typu, przyjmując typowe użytkowanie pod backup nie powinna przekroczyć 45 zł/1TB m-c.

      * Mały serwer może generować 250W ciągłego poboru, co przy polskich cenach prądu (~1,00 zł/kWh) daje ok. 108 zł/miesiąc (w przykładzie podnosi to cenę storage o ok. 2 zł / 1 TB / m-c).

      O pozostałych środkach, które prowadzą do wzmocnienia bezpieczeństwa backupu, a więc zwiększenia cyberodporności poczytać można w moim artykule na blogu firmowym.

      Made by human BRAIN

      Chmura na kredyt, czyli jak płynność finansowa usługodawcy może zagrozić ciągłości działania Twojej organizacji

      Posted on
      Chmura na kredyt, czyli jak płynność finansowa usługodawcy może zagrozić ciągłości działania Twojej organizacji

      Wybór dostawcy usług chmurowych w przypadku znanych marek sprowadza się zazwyczaj do analizy funkcjonalności usługi i ceny, za to niezwykle rzadko badamy finansowe fundamenty usługodawcy. Wynika to z zaufania do marki i założenia, że światowi liderzy są stabilnymi i wiarygodnymi partnerami w interesach. Okazuje się, że przyzwyczajeni do określonych standardów, projektujemy to zaufanie także na pozostałych usługodawców chmurowych, w tym dostawców aplikacji w modelu SaaS, czy też lokalnych operatorów centrów danych. Niestety, ta ufność może skutkować poważnymi zakłóceniami w ciągłości działania naszych organizacji.

      Płynność finansowa dostawcy chmury publicznej

      Każdy, kto prowadzi biznes wie, że problemy z cash-flow potrafią położyć każdą firmę. Wiadomo też, że poziom wrażliwości na problemy z płynnością jest zależny od rodzaju biznesu. Upraszczając, zwykle tam, gdzie inwestycje początkowe są duże, ROI jest rozciągnięte w czasie, a jednocześnie działalność operacyjna generuje wysokie koszty stałe, wrażliwość na problemy z płynnością dramatycznie wzrasta.

      Typowy dostawca chmury publicznej (Service Provider) to podmiot szczególnie czuły na zakłócenia płynności finansowej. Ten trudny stan powoduje kilka czynników:

      • Początkowe, duże inwestycje w infrastrukturę muszą amortyzować się przez wiele lat, gdyż są fundamentem wszelkich usług. Zwykle te inwestycje kredytowane są przez banki, co oznacza stałe finansowe miesięczne obciążenia.
      • Wysokie koszty stałe wynikają z konieczności utrzymywania obiektu oraz sporego zespołu inżynierów, w tym całodobowego help-desku, a także ponoszenia opłat licencyjnych, zapewnienia nieprzerwanych dostaw energii elektrycznej – która w przypadku centrów danych jest znaczącą pozycją w kosztach – kosztów utrzymania certyfikacji itd.
      • Architektura rozwiązań nastawiona na obsługę „wielu najemców” nie pozwala osiągać korzyści skali, gdy klientów jest mało. Rentowność pojawia się, gdy klientów liczymy w setkach (przy wysokim ARPU) lub w tysiącach, gdy średni przychód miesięczny na jednego użytkownika jest raczej niski.

      Wiem, że powyższe punkty absolutnie nie wyczerpują tematu, chodziło tylko o przybliżenie istotniejszych obszarów.

      Czarny scenariusz. Czyli co się stanie, gdy usługodawca chmury przestanie płacić swoim dostawcom?

      Powiedzmy, że co miesiąc – jak większość uczciwych klientów – płacisz rachunek za swoją usługę. Tymczasem, Twój dostawca wskutek jakichś problemów, czy też po prostu niedbalstwa lub złego zarządzania finansami, przestaje płacić swoje rachunki. Rzecz jasna, problem nie ujawni się od razu. Jednocześnie, skutki będą zależne od tego, co konkretnie nie zostało opłacone. Jest jednak kilka obszarów krytycznych dla działalności operacyjnej dostawcy „as a Service”, które bez finansowania doprowadzić mogą do zatrzymania usług.

      1. Opłaty licencyjne. Co jest charakterystyczne dla usług chmurowych (architektura wielu najemców), Twój usługodawca także rozlicza się z producentami technologii zależnie od faktycznego użycia licencji w cyklach miesięcznych. Dotyczy to wielu rożnych technologii niezbędnych do prawidłowego funkcjonowania zaplecza usługi. Rozliczenie odbywa się najczęściej za pośrednictwem lokalnych dystrybutorów, za sprawą których środki trafiają do producentów. Zwykle, nieuregulowanie należności za 3 kolejne okresy rozliczeniowe powoduje zerwanie kontraktu. Zależnie od programu, oznaczać to może natychmiastową lub odsuniętą w czasie dezaktywację kluczy licencyjnych. Dla dostawcy usługi oznacza to utratę zdolności technicznych do świadczenia usług, a dla klientów – niespodziewane wyłączenie usługi. Zwykle też nie ma prostej drogi powrotu do programu partnerskiego, nawet w sytuacji zapłaty zaległych należności.
      2. Wynagrodzenia. Niewpłacenie wynagrodzeń na czas rozpoczyna spiralę bardzo negatywnych w skutkach zmian w każdej organizacji. Szybko spada morale zespołu i pojawia się niepewność. Ciągły lub powtarzalny strach o byt z czasem wywołuje zachowania atawistyczne – konflikty, unikanie odpowiedzialności itd. Przekłada się to na jakość wszelkich procesów w firmie, w tym na zarządzanie zasobami jak i poziom obsługi klientów. Z czasem najbardziej wartościowa kadra odchodzi, zabierając ze sobą know-how oraz czyniąc część procesów niemożliwymi do utrzymania.
      3. Energia elektryczna. Bardzo ważny punkt programu, bo wpływa de facto na możliwość kontynuowania działalności. Jednocześnie, wielkość rachunków w tej branży często stanowi kwoty sześciocyfrowe. Gdy Service Provider z jakiegoś powodu nie ureguluje rachunku za dwa okresy rozliczeniowe, rozpoczyna się proces mający na celu wyegzekwowanie zapłat. Procedura ta będzie różna, zależnie od dostawcy energii oraz zapisów kontraktu. W praktyce, odłączenie od dostaw energii elektrycznej stanowi ostateczny krok. Zwykle strony starają się wypracować rozwiązanie pozwalające uniknąć takiego scenariusza, na przykład rozkładając zaległe zobowiązania na raty. Dostawca energii rozumie, że odłączenie Service Provider’a od dostaw energii elektrycznej oznacza, że nie odzyska już swoich należności, gdyż jego klient utraci zdolność do prowadzenia działalności operacyjnej i zarabiania pieniędzy.

      Reasumując, najszybciej efekty niepłacenia swoich zobowiązań Service Provider odczuje w obszarze licencji. Można przyjąć, że skutki w postaci zerwanych programów partnerskich będą odczuwalne już po 4 miesiącach. W kilku programach partnerskich oznacza to również natychmiastowe wygaśnięcie kluczy licencyjnych, a więc zatrzymanie usług.

      Jak zabezpieczyć się przed nieuczciwym dostawcą?

      Jedną z najczęściej pomijanych praktyk w doborze dostawcy usług jest jego weryfikacja. Stara zasada ,,ufaj, ale sprawdzaj” ma w tym przypadku kluczowe znaczenie. Na szczęście, w erze cyfrowej mamy cały szereg narzędzi, które ułatwią nam to zadanie.

      1. Zaczynamy od sprawdzenia danych rejestrowych w KRS lub CEIDG.
        • Krajowy Rejestr Sądowy (KRS). Jeśli kontrahent jest spółką (np. spółka z o.o., spółka akcyjna, itd.), można sprawdzić jego dane w KRS online. Znajdziesz tam informacje o statusie spółki, zarządzie, kapitale zakładowym czy ewentualnych postępowaniach upadłościowych.
        • Centralna Ewidencja i Informacja o Działalności Gospodarczej (CEIDG). Dla firm w formie jednoosobowej działalności gospodarczej dane sprawdzamy w CEIDG.
      2. Następnie zerkamy do baz dłużników kilku biur informacji gospodarczej, których oficjalna lista znajduje się w serwisie rządowym.
        • Krajowy Rejestr Długów (KRD). Można tu uzyskać syntetyczny raport na temat potencjalnego kontrahenta stanowiący jego ocenę scoringową wygenerowaną na podstawie publicznych rejestrów. W raporcie znajdziesz informacje o zaległościach płatniczych i zadłużeniu. Na dedykowanej stronie załatwisz to online! Raport podstawowy kosztuje 49 zł. Jest także możliwość zamówienia raportu rozszerzonego, który obejmuje szczegółową liczbę zobowiązań, nazwy wierzycieli oraz kwoty, na jakie dany podmiot jest zadłużony.
        • Giełda wierzytelności EBOF. Jest to platforma umożliwiająca obrót wierzytelnościami i monitoring dłużników. Oferuje dostęp do bazy danych firm z problemami płatniczymi oraz możliwość sprawdzenia potencjalnych kontrahentów pod kątem wypłacalności. Przedsiębiorcy mogą tutaj również wystawić własne wierzytelności na sprzedaż. EBOF udostępnia różne poziomy raportów z informacjami o zadłużeniu, historii płatności oraz ryzyku współpracy. Koszt podstawowego raportu to 39 zł. Warto zaznaczyć, że system EBOF współpracuje z innymi rejestrami, co zapewnia kompleksową ocenę kondycji finansowej podmiotu gospodarczego.
        • Biura Informacji Gospodarczej (BIG). Podobnie jak w KRD, także BIG może dostarczać informacji o nieuregulowanych wierzytelnościach podmiotu gospodarczego. W biurach informacji kredytowej znajdują się zobowiązania przeterminowane powyżej 30 dni. Uwaga – wpisu do BIG dokonuje pierwotny wierzyciel, zatem w rejestrze mogą znaleźć się zobowiązania kwestionowane – wówczas zawierają stosowne oznaczenie, na które warto brać poprawkę.
      3. Gdyby informacji było za mało, mamy jeszcze raporty z wywiadowni gospodarczych. Firmy takie jak Dun & Bradstreet, Coface, czy Bisnode Polska oferują szczegółowe raporty na temat sytuacji finansowej kontrahenta. Raporty te mogą zawierać dane o obrotach, zadłużeniu, opóźnieniach w płatnościach, a także scoring kredytowy. Znacznie wyższy koszt oznacza też o wiele lepszą jakość wywiadu i wpływ na formę raportu.
      4. Warto też sprawdzić co nieco w Monitorze Sądowym i Gospodarczym (MSiG). MSiG publikuje informacje o upadłościach, postępowaniach restrukturyzacyjnych i innych ważnych zmianach dotyczących statusu i struktury podmiotu gospodarczego. Możliwa jest zatem weryfikacja tego, czy kontrahent nie jest objęty takimi postępowaniami.
      5. Dobrą praktyką jest też zwrócenie się do kontrahenta z prośbą o zaświadczenia o niezaleganiu z płatnościami w ZUS i Urzędzie Skarbowym, co może potwierdzić jego sytuację finansową. Takie zaświadczenia są w wielu firmach zawsze „pod ręką”, gdyż są obligatoryjnym dokumentem składanym w większości postępowań przetargowych sektora publicznego.
      6. Jeśli kontrahent jest spółką kapitałową, można przeanalizować jego sprawozdania finansowe, które są dostępne w KRS lub wyszukiwarce danych z KRS (np. Rejestr.io – podstawowy plan abonamentowy z dostępem do sprawozdań spółki – 99 zł netto). Sprawozdania te można samodzielnie przeanalizować lub zlecić to księgowemu lub doradcy finansowemu, a zapewniam, że mogą dostarczyć bardzo ciekawych informacji o przedsiębiorstwie.

      Dzięki tym krokom ocenisz, czy współpraca z wybranym usługodawcą chmurowym niesie ze sobą ryzyko zatrzymania usługi wskutek problemów z płynnością finansową dostawcy.

      Co zrobić, gdy mój dostawca stracił płynność finansową?

      Jeżeli po weryfikacji okazało się, że Twój dostawca ma problemy finansowe, a do tego usługa, z której korzystasz, podtrzymuje procesy krytyczne w organizacji, trzeba działać natychmiast. Nawet jeżeli, masz abonament na CRM w chmurze albo Backup as a Service (BaaS) i tak trzeba zaplanować migrację. Na szczęście, większość Service Providerów posługuje się tymi samymi technologiami, co powinno znacznie ułatwić zadanie.

      Upraszczając, zaczynasz od znalezienia nowego usługodawcy, którego usługa chmurowa spełnia oczekiwani funkcjonalne. Przykładowo, jeżeli korzystasz z usługi Backupu na bazie technologii Comvault lub Veeam, wówczas sprawdzasz na stronach producenta listę certyfikowanych dostawców chmurowych z Polski. Spośród tych dostawców wybierzesz nowego partnera biznesowego. Pamiętaj jednak, aby zweryfikować standing finansowy! Gdy masz już wyłonionego Service Providera kupujesz usługę – podpisujesz umowę i zaczynasz konfigurację. Gdy chodzi o BaaS, zwykle sprowadza się to do podmiany kluczy licencyjnych w aplikacji oraz podmiany repozytorium chmurowego.

      Trzeba będzie także zmodyfikować wszystkie backup copy joby i przekierować je na nowe repozytorium chmurowe. A co z kopiami zapasowymi, które leżą u poprzedniego dostawcy? – zapewne zapytasz. Póki usługa działa, masz do nich dostęp. Ważne, aby jak najszybciej rozpocząć tworzenie nowych kopii backupu u nowego usługodawcy, tak aby utrzymać realizację reguły 3-2-1, czyli mieć zabezpieczony off-site backup.

      Co w przypadku, gdy masz akurat usługi krytyczne na bazie usługi Infrastructure as a Service? Czeka Cię większa robota. Na szczęście, dostawców pracujących w tej samej technologii masz bez liku, a narzędzia do migracji są dostępne w modelu abonamentowym – czyli można na przykład wypożyczyć na miesiąc, użyć i nie odnawiać abonamentu. Całość trzeba dobrze zaplanować, uwzględniając najmniej kolizyjny termin przełączenia na nowego dostawcę, co związane będzie najprawdopodobniej z przerwą w działaniu środowisk IT.

      W biznesie, jak w kuchni – najważniejsze jest to, czego klient nie widzi*

      Nie wiem jak Wy, ale mnie osobiście bardzo często zaskakuje poziom wyparcia decydentów biznesowych w obliczu różnych materializujących się zagrożeń. Zawsze wtedy dla zracjonalizowania, muszę przypomnieć sobie, że jesteśmy tylko ludźmi.

      Budując oferty u różnych Service Providerów w Polsce wiele widziałem. Zapewniam też, że niektóre „widoki od kuchni” mogłyby Was na dobre odstraszyć od korzystania z usług „as a Service”. Najczęściej, w naszych oczach dostawca chmurowy urasta do rangi restauracji z jedną albo nawet dwoma gwiazdkami Michelin. Niestety, bardzo często rzeczywistość skrzeczy i oszczędzę Wam szczegółów, abyście mimo wszystko nie stracili apetytu. 😉 Kontynuując analogię, poddam Wam jeszcze jeden trop. Myślę, że najlepsze restauracje to te, w których szef kuchni nie boi się, że klient zajrzy na zaplecze – stąd idea otwartych kuchni. 😊

      A Ty, kiedy ostatnio sprawdzałeś(aś) kondycję finansową swojego dostawcy usług chmurowych?

      * cytat od Anthony Bourdain

      Made by human BRAIN