Backup w chmurze może uratować twoją karierę (a na pewno czas)

dodał 25 marca 2019 o 08:29 w kategorii HowTo  z tagami:
Backup w chmurze może uratować twoją karierę (a na pewno czas)

Posiadanie dostępnej, aktualnej i zweryfikowanej kopii bezpieczeństwa kluczowych danych uratowało niejednego administratora, kierownika i firmę. Dzisiaj opowiemy o tym, jak zrobić taką kopię w chmurze Aruba Cloud.

Tym artykułem zaczynamy nowy cykl wpisów omawiających różne usługi chmurowe. W każdym znajdziecie bardzo precyzyjną instrukcję wdrożenia opartą na konkretnym przypadku, wraz z filmem przedstawiającym cały proces. Mamy nadzieję, że zainspirujemy Was do przemyślenia (i być może poprawienia) stosowanych przez Was rozwiązań.

Kilka słów wstępu

Bezpieczeństwo danych powinno zawsze stanowić priorytet. Niezależnie od tego, czy prowadzisz jednoosobową działalność gospodarczą, jesteś kierownikiem działu IT w średniej wielkości przedsiębiorstwie czy po prostu piszesz pracę dyplomową – dane, za które jesteś odpowiedzialny, stanowią realną wartość. A jak mówi popularne powiedzenie informatyków, ludzie dzielą się na dwie grupy: tych, którzy robią kopie zapasowe i tych, którzy będą je robili.

Zdefiniujmy zatem, czym w zasadzie jest backup. Czy jest nim kopia zapasowa zdjęć z wakacji przechowywanych na zewnętrznym dysku USB? A może prawdziwy backup to tak naprawdę druga kompletna serwerownia wyposażona w zautomatyzowaną bibliotekę taśmową i ogniotrwałe sejfy?

Patrząc na to zagadnienie z biznesowego punktu widzenia, udzielenie jednoznacznej odpowiedzi będzie względnie trudne. Właściwe planowanie obejmujące bezpieczeństwo danych musi skupiać się na jak najlepszym określeniu naszych potrzeb. Pierwszy element zawsze stanowi rozmiar danych oraz miejsce i sposób ich składowania. I tutaj pojawia się podstawowy problem – o ile w danym momencie możemy dość łatwo policzyć rozmiar naszych aktualnych danych, to ich wielkość po upływie kolejnych kilkunastu miesięcy może być niemożliwa do oszacowania.

W dużym uproszczeniu – backup służy przede wszystkim do uchwycenia (zabezpieczenia) stanu danego zbioru danych i związany jest z koniecznością zdefiniowania kilku istotnych parametrów:

  • harmonogram – jak często, w jakim okresie i o jakich porach zadanie backupu ma być wykonane,
  • retencja – jak długo i w jakim modelu kolejne kopie naszych danych mają być przechowywane oraz automatycznie kasowane (tzw. rotacja),
  • replikacja – ustalenie dodatkowego celu przechowywania kopii zapasowych.

Zarówno komercyjne, jak i otwartoźródłowe rozwiązania do backupu są też często wyposażone we wbudowane mechanizmy kompresji i deduplikacji. Pozwalają one zaoszczędzić przestrzeń przeznaczoną do składowania kopii zapasowych.

Archiwizacja jest natomiast wykorzystywana do przenoszenia starych i niewykorzystywanych już zbiorów danych na inne nośniki, sama w sobie również używa kompresji i deduplikacji, ale często nie obejmuje jej żaden harmonogram czy retencja.

Wykorzystanie obu mechanizmów w praktyce najlepiej widać na przykładzie serwera pocztowego. W wielu organizacjach poczta jest podstawowym narzędziem pracy, a nawet najkrótsza jej niedostępność będzie związana ze stratą finansową. Wiele wiadomości zawiera załączniki, zarówno biznes, jak i przepisy prawa wymagają często długiego ich przechowywania, stąd też baza danych systemu pocztowego osiąga coraz częściej rozmiar kilkudziesięciu terabajtów. W związku z tym:

  • backup nie może być wykonywany zbyt często,
  • długość przechowywania i liczba poprzednich kopii będzie zawsze mocno ograniczona,
  • w razie awarii całego systemu pocztowego utracone zostaną wiadomości, jakie dotarły do serwera w okresie między kolejnymi ,,oknami backupowymi”.

Stąd też równoległa archiwizacja poczty pozwala na:

  • uchwycenie i odłożenie w ,,bezpiecznym miejscu” integralnej kopii każdej wiadomości, jaką obsłużył nasz serwer,
  • odciążenie serwera – baza danych poczty zawiera jedynie aktualne wiadomości, reszta jest w archiwum, do którego często użytkownicy mają bezpośredni dostęp,
  • zabezpieczenie się przed złośliwym działaniem użytkownika (celowe kasowanie wiadomości).

Oczywiście samo archiwum również należy poddać procedurze backupu. A kopie zapasowe zaraz po ich wykonaniu powinny być replikowane, czyli przesłane do innej lokalizacji. Poza zagrożeniami utraty danych związanych z awarią oprogramowania czy sprzętu, dobry backup powinien być też odporny na zagrożenia fizyczne. Na nic nam kopia na nośnikach w ogniotrwałym sejfie, jeśli – na przykład – w naszą serwerownię uderzy meteoryt.

Nie każdy jednak ma drugą lokalizację czy choćby nawet inne pomieszczenie, w którym mógłby uruchomić kolejne rozwiązanie do backupu. Często też budżet nie pozwala nam na zakup drugiego urządzenia. Stąd też na rynku coraz popularniejsze stają się rozwiązania umożliwiające replikację lub bezpośrednie wykonywanie backupu do chmury.

Cloud Backup – dla kogo?

Chmura publiczna świetnie sprawdzi się tam, gdzie liczy się przede wszystkim wysoka skalowalność, dostępność i wygoda użytkowania. Firma Aruba posiada w swojej ofercie produkt, jakim jest Cloud Backup. Rozwiązanie jest w całości dostarczane w postaci usługi, a jej model kosztowy działa w oparciu o przestrzeń, jaką chcemy przeznaczyć na nasze kopie zapasowe. Jest idealnym rozwiązaniem wszędzie tam, gdzie nie jesteśmy w stanie przewidzieć, ile dokładnie przestrzeni na backup będzie nam potrzebne w przyszłości. A jak jest z bezpieczeństwem? Wiele zależy od warunków i umowy na świadczenie takiej usługi, warto jednak zauważyć, że:

  • połączenie pomiędzy agentem backupu a celem składowania danych (Storage Vault) jest zabezpieczone bardzo silnym algorytmem szyfrowana AES-256 (,,data in transit” encryption),
  • każdy backup jest zaszyfrowany, a klucz szyfrujący jest generowany na podstawie hasła, które definiuje użytkownik końcowy (,,data at rest” encryption),
  • agent backupu kompresuje i deduplikuje dane przed ich wysłaniem do chmury, a kolejne zadania dla tej samej kopii są realizowane jako przyrostowe.

Ponadto firma Aruba dla swojej usługi Cloud Backup zapewnia najwyższe standardy dostępności SLA, pełną zgodność z rozporządzeniem RODO i oczywiście polskojęzyczne wsparcie techniczne.

Backup w chmurze w mniej niż 15 minut

Do skorzystania z usługi niezbędne jest posiadanie konta Aruba Cloud. Jeżeli do tej pory go nie miałeś, to instrukcja jego założenia znajduje się tutaj. Po ukończeniu rejestracji należy zalogować się do panelu administracyjnego, z którego będzie możliwa aktywacja usługi Cloud Backup.

Sam proces należy rozpocząć od zdefiniowania danych logowania w postaci nazwy konta i hasła. Zadbaj o właściwe zabezpieczenie danych logowania – będą one później wykorzystywane w procesie wdrożenia agenta backupu. Na tym etapie możliwy jest również wybór regionu, czyli po prostu fizycznej lokalizacji centrum danych (data center).

Ostatni krok kreatora stanowi wybór planu taryfowego, w ramach jakiego usługa będzie działać. Do przetestowania Cloud Backupu wystarczający będzie model ,,Pay-as-you-go”. Jeżeli posiadasz jednak konkretny zbiór danych, który będziesz chciał od razu zabezpieczyć, wybierz plan ,,Cloud Backup” o adekwatnej wielkości:

Wybór taryf jest bardzo szeroki – zaczynając od 50 GB w cenie 30 zł miesięcznie, aż po prawie 50 TB z możliwością zainstalowania nawet 50 000 agentów.

Uwaga: pakiety obejmują przestrzeń ,,dostępną do wykorzystania”. Twoje dane źródłowe będą często zajmować w chmurze mniejszą przestrzeń niż na dysku fizycznym. Nie zapominaj jednak o potrzebie uwzględnienia bezpiecznego zapasu na kolejne kopie przyrostowe i zachowanie optymalnej dla Ciebie retencji. Rozważ też ewentualny scenariusz przekroczenia limitu przestrzeni – do wyboru masz następujące opcje:

  • nadmiarowe zasoby zostaną opłacone w formacie pay-per-use,
  • konto zostanie automatycznie przełączone na wyższy plan taryfowy,
  • konto oraz powiązane usługi zostaną wyłączone.

Po wykonaniu powyżej opisanych kroków nasza usługa może zostać aktywowana – klikamy na przycisk tworzenia konta:

Po chwili od zakończenia kreatora konfiguracji pojawi się nowy widok panelu, z którego od razu możliwe jest pobranie agentów backupu oraz logowanie do dedykowanego panelu zarządzania całym systemem.

Wdrożenie agenta sprowadza się do jego pobrania i instalacji na systemie docelowym. Wspierane jest pełne spektrum systemów operacyjnych Windows oraz najpopularniejsze serwerowe dystrybucje Linuksa. Po pobraniu przystępujemy do instalacji – w przypadku platformy Windows jest to klasyczne ,,dalej, dalej, zainstaluj”. Krok, na którym należy się zatrzymać, to podanie parametrów połączenia z wcześniej utworzoną instancją Cloud Backup:

Parametry, jakie należy wprowadzić w polach ,,Network Address” i ,,Username”, znajdziemy we właściwościach usługi. Nazwa użytkownika będzie zawsze przyjmować postać uzytkownik@arubacloud.pl (domena jest dodawana automatycznie i jest zależna od wybranego regionu). Oczywiście hasło wprowadzamy dokładnie takie samo, jak podczas zakładania konta usługi.

Po pomyślnym ukończeniu procesu instalacji możemy zalogować się do odrębnego, dedykowanego panelu zarządzania usługą – EVault. Przycisk logowania do panelu został wyświetlony po ukończeniu kreatora usługi, niemniej jednak możemy w każdej chwili wykonać logowanie bezpośrednio z głównego widoku ustawień Cloud Backup:

Podczas pierwszego logowania może wyświetlić się komunikat dotyczący konieczności ustawienia hasła dla zadania backupu (Job).

Nasze dane są szyfrowane zarówno w locie, jak i podczas ich przechowywania w chmurze – stąd też właśnie potrzeba utworzenia hasła dla każdego zadania. Hasło należy właściwie zabezpieczyć, ponieważ jego podanie jest wymagane każdorazowo przy odtwarzaniu danych. Ze względów bezpieczeństwa nie istnieje również żaden mechanizm odzyskiwania, a więc utrata hasła oznacza brak możliwości dostępu do danych w backupie.

Do panelu EVault logujemy się z wykorzystaniem tych samych danych konta użytkownika i hasła, jakich użyliśmy podczas instalacji agenta:

Jeżeli proces instalacji Agenta został przeprowadzony poprawnie, to od razu po zalogowaniu i przejściu do zakładki ,,Computers” widoczny będzie klient backupu:

Klikając na strzałkę po prawej stronie, wywołamy rozwinięcie ustawień specyficznych dla konkretnego agenta backupu. W przypadku świeżej instalacji naszym oczom ukaże się kreator konfiguracji, jaka jest możliwa do przeprowadzenia w dwóch trybach: automatycznym i manualnym.

Jeśli skorzystamy z trybu automatycznego, elementy takie jak harmonogram czy polityka retencji danych zostaną od razu skonfigurowane z ustawieniem wartości domyślnych, sugerowanych przez producenta rozwiązania EVault. Tak naprawdę w tym wypadku cała konfiguracja sprowadza się do ustawienia hasła zabezpieczającego mechanizm szyfrowania backupu.

Finalnie możemy przystąpić do wykonania kopii zapasowej – w zaprezentowanym przykładzie będzie to backup ważnych dokumentów (jeden wskazany folder), niemniej jednak docelowo możliwe jest wykonanie kopii całych partycji lub nawet całego obrazu systemu (bare metal).

W celu zrealizowania backupu w modelu ,,na żądanie” zaczynamy od edycji utworzonego automatycznie zadania, klikając po jego prawej stronie na Select Action -> Edit Job

Domyślne zadanie wykonuje backup dysku C. Odznaczamy go z wyboru, a dodajemy tylko wybrany/wybrane katalogi:

Po zapisaniu zadania możemy od razu przystąpić do jego uruchomienia: Select Action -> Run Job -> Start Backup.

Postęp realizacji backupu jest wyświetlany na bieżąco:

Na poniższym filmie możecie zobaczyć cały powyższy proces tworzenia backupu nagrany krok po kroku.

Szybkie odtwarzanie danych

W przypadku awarii systemu najważniejszy jest czas, w jakim jesteśmy w stanie odtworzyć dane do stanu sprzed jej wystąpienia. W ujęciu biznesowym bardzo często nawiązuje się do dwóch parametrów: RPO (Recovery Point Objective) i RTO (Recovery Time Objective). Oba parametry muszą być właściwie określone podczas wdrożenia systemu do backupu. Akceptowalna przez nas wartość RPO będzie miała bezpośrednie przełożenie na to, jak wyglądają nasze harmonogramy i polityki retencji – a co się z tym wiąże – im RPO ma niższą wartość, tym przeważnie więcej przestrzeni będziemy potrzebować dla naszych backupów. Dostępność, wydajność i technologie zastosowane w posiadanym przez nas rozwiązaniu są natomiast nierozerwalnie związane z czasem, jaki jest potrzebny do przywrócenia systemu po awarii podobnie jak w przypadku RPO – im RTO ma mniejsze wartości, tym lepiej.

Korzystając z rozwiązania, jakim jest Aruba Cloud Backup, możemy wykonywać kolejne zadania po sobie nawet w kilkunastominowych interwałach. Agent backupu pierwsze zadanie wykonuje w formie pełnej kopii, podczas której buduje lokalny indeks bloków danych. Dzięki niemu możliwe jest realizowanie kolejnych kopii przyrostowych, co w praktyce oznacza znaczącą oszczędność przestrzeni.

Symulując zatem utratę naszych danych źródłowych, wykonamy odtworzenie danych na inny serwer. Całość procesu odtwarzania danych również przeprowadzamy z panelu administracyjnego EVault. Jeżeli dane mają być odzyskane z jednego systemu na drugi, to zadanie odtwarzania wykonujemy na systemie docelowym. W oknie tworzenia zadania dla wybranego agenta wybieramy opcję ,,Restore form Another Computer”:

W kolejnym kroku wskazujemy nazwę agenta i zadanie backupu, jakie stanowić będzie źródło odzyskiwanych danych.

Konfigurator zadania odtwarzania danych pozwala na przeglądanie wcześniej utworzonych kopii zapasowych. Jako że te przechowywane są w formie zaszyfrowanej, aby zrobić cokolwiek dalej, musimy wprowadzić poprawne hasło zabezpieczające mechanizm szyfrujący:

Po wprowadzeniu hasła w oknie ,,Select items” zostanie załadowana lista plików wraz ze strukturą katalogową znajdującą się w naszej kopii zapasowej. Zaznaczamy dane, jakie chcemy odzyskać i klikamy na ,,Include”. Uwaga: domyślnie zawsze wybrane jest ostatnio wykonane zadanie backupu – przed odtwarzaniem należy zweryfikować, czy na pewno chcemy przywracać dane z tego okresu. Rewizję naszej kopii zapasowej możemy zawsze zmienić, klikając ikonę kalendarza w sekcji ,,Safeset”.

W przypadku odtwarzania danych do innej lokalizacji zazwyczaj będziemy chcieli zapisać pliki backupu w ścieżce innej niż pierwotna. Oryginalna ścieżka jest często bardzo charakterystyczna (zawiera np. katalogi o nazwie profilu użytkownika), ponadto dane możemy odtworzyć nie tylko na lokalnym systemie plików, lecz również na dysku sieciowym. Takie działanie umożliwi nam wybranie opcji ,,Restore files to an alternate location” i wskazanie wybranej ścieżki:

Po skonfigurowaniu wszystkich parametrów zadania odtwarzania klikamy na ,,Run Restore” i czekamy na jego zakończenie:

Po zakończeniu całego procesu możemy też zweryfikować, czy dane zostały odtworzone poprawnie. W przypadku środowiska wykorzystanego w przykładzie katalog odtwarzania jest udostępniany przez sieć LAN. Do plików dostajemy się z innego klienta – oczywiście agent backupu zachowuje wszystkie oryginalne atrybuty pliku, tak więc daty utworzenia i ostatniej modyfikacji pliku zostają zachowane jak w oryginale. Na poniższym zrzucie zostało zawarte porównanie danych źródłowych i odtworzonych:

Poniżej zamieszczamy film demonstrujący odtwarzanie backupu.

Podsumowanie

Wybierając rozwiązanie do wykonywania kopii zapasowych, nie należy zapominać, że zagrożenia związane z utratą danych bardzo często przybierają różną postać. Oczywiście wszyscy możemy być mniej lub bardziej świadomi zagrożeń takich jak awarie oprogramowania, sprzętu czy wystąpienie klęski żywiołowej. Czy jednak jesteśmy w stanie przewidzieć każdy możliwy scenariusz? A co jeżeli osoba uprawniona w dostępie do danych przeprowadzi wrogie i celowe działania?

W przypadku usługi Aruba Cloud Backup nie mamy bezpośredniego dostęp do kopii zapasowych. Korzystając z portalu EVault, nigdzie nie znajdziemy opcji ,,Usuń”, a do samego zasobu nie podłączymy się korzystając z SMB, FTP czy SSH. Oczywiście w razie potrzeby skasowanie danych ze wskazanego zadania backupu jest możliwe, ale wymaga ono uprzedniego kontaktu ze wsparciem technicznym Aruba Cloud. Odtwarzanie danych może być natomiast wykonane tylko z wykorzystaniem dedykowanego agenta.

Niniejszy artykuł i zawarta w nim instrukcja dotyczy tylko pewnego, odgórnie założonego studium przypadku. Sam opis konfiguracji dotyka jedynie niewielkiej części możliwości usługi Cloud Backup. Dlatego dla chcących przetestować rozwiązanie w pełnym aspekcie jego możliwości polecamy zapoznanie się z pełną dokumentacja (w języku polskim), jaka została udostępniona w ramach dedykowanego portalu: https://kb.arubacloud.pl/pl/backup.aspx.

Jeśli macie pytania dotyczące backupu w Aruba Cloud – zadajcie je w komentarzach, a postaramy się na nie odpowiedzieć.

Zapraszamy na webinar z Adamem

Już w najbliższą środę i czwartek zapraszamy na webinar pod patronatem Aruba Cloud, który poprowadzi na żywo Adam Haertle. Tematem będzie „Dokąd zmierza bezpieczeństwo?”. Adam opowie o tym, czego nauczył się próbując od kilkunastu lat uchronić użytkowników i systemy przed atakami przestępców. Powie co działa, a co nie i zaproponuje, w którą stronę powinny zmierzać działania związane z zapewnieniem bezpieczeństwa w sieci, by rzeczywiście utrudnić działanie internetowych włamywaczy. Program wygląda następująco:

  1. Wstęp, czyli dlaczego mamy od 30 lat te same problemy.
  2. Jak na przestrzeni lat ewoluowały ataki przestępców.
  3. Dlaczego ataki na użytkownika zawsze są skuteczne.
  4. Co trzeba zrobić, by uratować użytkownika przed konsekwencjami jego decyzji.
  5. Podsumowanie.

Odbędą się dwie edycje webinara: w środę 27.03 o godzinie 20 oraz w czwartek 28.03 o godzinie 12.

Sponsorem artykułu jest firma Aruba Cloud.