企業網路應用的安全議題: 異地備援
作者/李明駿
前言
由於時代的進步,企業儲存的資料也有了大幅的改變,從以前利用紙張做記錄一直到現在的使用電腦來做記錄,對於某些以資料為核心的公司而言,他們所有的經營命脈都在這些硬碟之中。但是企業有時會碰到一些無法預期的天災人禍,或是一些不可抗力,導致這些儲存資料的設備損害,進而導致企業有重大的損失。而根據專家分析,企業假如沒有將資料進行備份,資料毀損後,兩年內公司幾乎都會面臨倒閉。所以對於公司而言資料便是一切,硬體毀了可以再買,但是資料一旦毀了,想要重新再造的可能性可說是相當困難。
所以如何確保這些資料能夠在遇到天災或是不可抗力時有最低的風險,異地備援(Disaster Recovery)便是一個解決辦法。所謂的Disaster Recovery,對組織事業而言,是災難發生時,有系統地採取相關的必要措施,以部份或完全復原組織既有的營運及相關服務,稱為災難復原計畫。而對IT技術而言,是建置IT異地備援中心,並可於災難發生時,在一定時間內將系統及資料回復,並能繼續提供服務,稱為災難復原系統。
而在 DR1.0 的時代,企業有一個主要營運系統,而工作人員每天把資料備份起來,用車子把磁帶運送到備援中心存放;如果主要營運系統出問題,重建資料系統大約需要幾天的時間。到了 DR2.0,則是除了主要營運系統外,也有另一備援中心作為測試開發之用,並有分區辦公的概念;且隨著網路頻寬單位價格的下降,開始運用即時連線的方式來進行備份,但若要在主系統當機後才進行回復,則時間縮短至 2~4 小時。一直到現在的 DR3.0的時代,基礎建設上的光纖架構已成熟,加上硬碟的功能與效能增加,發展出雙中心的架構來運作,也就是兩地都擺放主機,且皆處於正常運作狀態,沒有哪一邊是備援的。如此一來,只要其中一邊出問題,可以馬上轉換系統到另一邊,以維持企業 IT 設備完全不中斷。所以企業如何保證在系統遇到問題時,能迅速上線,讓整個公司能夠繼續順利營運,這就是每個企業必須要思考的問題,也是異地備援這個觀念的來源。
對企業的影響
美國911事件,讓資料備援系統同時分置在雙子星大樓的企業,資料頓時毀於一旦;台灣汐止東帝士大樓大火,讓受災企業的資料全數付之一炬,MIS只能重頭再來;橫掃美國田納西州的強烈颶風,也讓許多企業的資料隨風而逝。
在商業競爭激烈的今日,時間就是金錢,所以對企業而言,當伺服器或儲存設備需要更新,或是遇到不可抗力導致資料遺失,如何能夠縮短停機時間甚至不停機直接在線上進行設備更新與備份,這對於企業就是一個很大的挑戰。根據NetApp所提供的資料顯示,各行各業每小時停機所造成的損失營收相當可觀,舉例來說,金融業如果停機每小時將損失905萬美元,零售業如果停機每小時將損失9萬美元,航空業每小時將損失8.95萬美元,媒體業每小時將損失6.9萬美元。除此之外,根據美國明尼蘇達大學Bush-Kugel一項「企業存活機會(Enterprise Chance of Survival)」的研究報導指出,當發生重大災害時,傳統產業可容忍的最長停機時間是3.3天,大型企業為5天,保險業為5.6天,金融業只有2天。從這些數字就可得知,這些資料與服務對企業而言是多麼重要,而且更嚴重的話,將會讓企業無法繼續存活。
在這邊,我們以某家企業為例(在此稱為x公司),來談有關異地備援的重要性。在某個颱風侵襲的夜晚,城市中某間銀行裡地下室也被大雨淹沒了,而保險箱也滅頂在茫茫大水之中。而隔天,x公司的資訊部門引起一陣騷動,在颱風侵襲的夜晚,x公司放在銀行保險箱裡的幾卷磁帶就這樣隨著地下室淹水,也全部銷毀了。x公司資訊部門主任表示,資料是企業的命脈,淹掉了磁帶,也就等於讓公司的資料像是泡在水裡的廢紙,如同字跡糊成一片,就算把紙拿起來晒乾了,再也看不到原本寫在紙上的資訊是什麼了。磁帶平常就需要注意不要受潮,以免讀不出資料,更何況是泡在水裡。對x公司而言,處在競爭激烈的零售業而言,更需仰賴IT技術來提昇競爭力,且因為分店眾多,商品種類繁多,商品價格關係到市場競爭優勢,這些資料若不見了,對零售業的打擊相當嚴重。但x公司受到此災害並沒有受到太大的影響,主要原因是在x公司的備份政策上,他們每日的重要資料都做完整備份,每日與每月的月結報表都有固定產出,AD目錄也完整備份至緊急應變中心。並且,啟用雙備援機制,設置雙不斷電系統,雙網路迴路,任何一端網路斷線,可有另外網路連線以接續備份。硬體部分,設置有熱拔插的功能,一旦硬碟毀損,立刻抽換硬碟,系統仍可正常運作,無需中斷或關機,因此所有的運作都在線上(on-line)完成備份與備援,而在建置異地備援系統時,備援的地點也選擇在地勢較高,非地震常發生的地點,最後異地備援演練相當重要,IT部門都會定期舉行異地備援之演習,平時將狀況進行微調,就可以在有狀況時,因應得宜。這也就是他們能夠用很短的時間,在災難中進行復原的關鍵因素。
在現今的市場之中,企業也越來越依賴利用電子資料作儲存。而這些資料代表的可能就是公司的整個財產,像是金融業,假如某天資料遺失的話,他怎能知道客戶的存款,貸款,又怎能繼續營運。所以資料對於企業而言是多麼重要,有可能一場大火就會燒掉企業的命脈,一場大雨就會摧毀整個企業的系統,這也就是為什麼異地備援是如此的重要,而遠水救不了近火的觀念也不適用在此,因為對於企業而言,異地備援就是他們用遠水來救火的重要關鍵,畢竟天災過後,企業仍要繼續營運,但假如你沒了資料,又要怎麼繼續提供服務呢? 這也就是異地備援對於企業的一個重要影響。
現有的解決方案
那在規劃異地備援之前,我們必須要了解怎樣的備分方式最符合企業的需求,所以就要先評估兩項指標-RPO(Recovery point objective)以及RTO(Recovery time objective)。而所謂的RPO指的是當災難發生時,企業能夠接受資料遺失的多寡,也就是資料遺失的時間長短。舉例來說,應用程式A所能容忍資料遺失的時間是0時,就代表資料非常重要,不能有任何的遺失。應用程式B可以承受資料遺失的時間是幾分鐘、甚至幾小時,這代表了資料的重要性相較之下比較低,就算遺失了幾分鐘、幾小時,也不會對企業造成嚴重的影響。因此,應用程式A的異地備援頻率(也就是本地端與異地端資料傳送的頻率)要比應用程式B高,才能夠應付突發的狀況。而異地備援的頻率又因為資料異動量的大小、備援兩端的距離及頻寬而有所限制,而通常RPO為0時,就需規劃為同步傳輸,而為1~10分鐘的誤差時,通常規劃為非同步傳輸,最後假如為2~36小時內的資料誤差時,使用磁帶備份即可。而所謂的RTO指的是當災難發生時,將資料完全復原所需花費的時間。重要的應用程式可能必須在幾秒鐘之內完成資料復原動作,有時甚至快到連使用者都感覺不到;而某些不重要的應用程式能夠容忍的資料回覆時間可以長達幾分鐘、甚至幾小時。所以需要愈少時間的RPO及RTO代表所需花費在異地備援的成本愈高,因此,當企業在規畫異地備援前,就必須先將應用程式的重要性作評估,進而根據不同RPO及RTO來做適切的規劃。
在評估之後,就必須要選擇最好的備份方式,因為並不是所有的資料都需要完整備份。所以為了要兼顧時間、頻寬、金錢與效率的情況下,就要有不同的策略。而基本上在進行複製有許多種方法,主要的有同步線上即時複製,非同步複製以及週期性複製來因應資料的重要度來做備份。以下分別解釋這3種不同方式的複製的差異性:
一、同步線上即時複製(Synchronous Replication):
同步線上即時複製就是資料與系統同步從本地端備份至遠地端,本地端有任何更改,遠地端隨時更改,因此備存在遠地端的資料與系統,基本上與本地端是一模一樣的。萬一本地端系統一旦毀損,遠地端可以立即上線接手,這也是資料零漏失。
二、非同步複製(Asynchronous Replication):
資料與系統備份至遠地端時是非同步的,有時間差的備份,這多半的原因是取決於網路頻寬的緣故,因此,當本地端的系統毀損,資料可能有部份會漏失。
三、週期性複製(Periodic Replication):
資料與系統是定期複製到遠地端,例如一個星期一次,或者每隔兩天一次的完整備份。這類型的複製則針對非關鍵性的資料,但若是較關鍵的資料,最好採用上述同步線上即時複製或「非同步複製」的方式。
除了資料的備份之外,還需要注意系統營運,而為了防止主系統毀損之後進而造成無法營運的情況發生,就要利用伺服器叢集的方式來做備援。而伺服器叢集就是為了隨時保持系統的可用性,並可分享儲存資源,即使遭受到災害時,也有替代性方案可以解決。伺服器叢集的方式包括本地端的伺服器叢集(local cluster)、區域網路的伺服器叢集(Metropolitan Disaster Recovery)、廣域網路的伺服器叢集(Wide Area Disaster Recovery)。以下分別解釋這3種不同的應用狀況:
一、本地端的伺服器叢集(local cluster):
本地端的伺服器叢集通常都是在同一個建築或是機房中,多增加一個伺服器系統。假如主伺服器系統硬碟因為一些因素損毀,就可以讓另一台伺服器系統馬上接手運作。但這並不能算異地備援,因為基本上在同一棟建築物,假如該建築物遭地震樓塌,或者火災等狀況,主系統與次系統都會一起毀損。
二、區域網路的伺服器叢集(Metropolitan Disaster Recovery):
區域網路的伺服器叢集有兩種解決方式,並根據備援的距離長短而有不同的網路頻寬路線。
1.採用遠端鏡射(remote mirror)-如果備援地點在100KM以內,成本足夠,可採用光纖網路的方式,將本地端的系統以「鏡射」(mirror)的方式,備援至遠地端,並在遠地端設置另一個次伺服器系統的叢集。
2.採用IP網路複製(Replication)-如果備援的兩點間相距非常遠,考慮到成本的緣故,採用乙太網路方式,將本地端的伺服器系統備援到遠地端的主伺服器系統,遠地端的主伺服器系統會再複製一份到遠地端的次伺服器系統。
三、廣域網路的伺服器叢集(Wide Area Disaster Recovery):
這類型的伺服器叢級是不同的兩個區域網路,採用光纖或IP乙太網路相互串連,因此,當主區域網路毀損時,另一個遠地端的區域網路可以馬上接手。例如:在美國東岸為A公司的總部,伺服器叢集備援至亞太區的新加坡,在新加坡另外設置一個相同的伺服器系統,將美國東岸的伺服器系統備份至新加坡的伺服器系統。
這3種方式,都是為了維護系統運作,讓公司能夠提供不間斷的服務。而企業也要根據自己的內部預算與設備,來選擇最適合自己的備份複製方式,此外異地備援的距離限制也關係備援安全性的問題。備份據點要距離多遠才最安全?並沒有一定的答案,但至少不要在同一個地區,舉例而言,美國某家企業的異地備援就近放在雙子星的兩棟大樓裏,1棟各放1個,相互備援,可是誰知911炸碎雙子星大樓,也摧毀了該公司的備援系統,這也表示該公司的資料備援政策不夠週延。所以異地備援的本地端與遠地端配置,基本上還是不要挑選太近的地點,以美國許多企業的例子,1家位於美國東岸的公司,一般會在美國西岸設置1個備援地點。以台灣來說,台北公司可能會在中部或南部,選擇1個備援地點。例如,國泰金控就是台北、高雄兩地進行備援。
除了一般的異地備援外,而由於現今雲端的概念的盛行,有廠商也開始提供雲端備援的服務,像是國內的軟體廠商推出MailCloud雲端備援的服務,企業導入此服務後,平時只需定期向MailASP服務定期同步帳號、密碼等資料,當企業郵件系統或郵件防護系統無法運作時,只需更改DNS設定便能立刻啟用備援的服務。除此之外Verizon與IBM也合作推出雲端異地備援服務Managed Data Vault,來協助企業安全可靠地儲存大量資料,而IBM和Verizon對於他們的客戶定位是"對於安全和性能有需求的全球性企業",包括金融,零售和醫療行業,而這項服務最初將在紐約提供,而價格是基於每GB還有數據保留期和服務等級來決定。 IBM也聲明這項服務提供了一系列廣泛的數據保護功能,不僅是針對文件,還有大型的資料儲存和交易數據的內容,Managed Data Vault就是一個幫助用戶找回文件、恢復設備以及從嚴重中斷事故中恢復正常的安全解決方案。雖然雲端異地備援的服務開始慢慢提供,但對於某些大型企業而言,資料代表的是他們的核心,假如資料在雲端被盜取無疑對他們是一個很大的損失。除此之外,對於某些較為特殊的企業,雲端異地備援是否能提供他們符合的伺服器與硬體,也將是提供雲端備援服務廠商的重要議題。
結論
由於電子化的盛行,對於企業而言,資料就相當於是他們的命脈,備份是相當基本的工作,但為了預防災難造成原來的系統損毀與服務中斷,所以就需要做異地備援的工作,而企業也必須依照自己內部的需求還有可行的設備來評估異地備援的方式,進而找到最佳的解決辦法。在不斷改變的環境中,時間就是金錢,除了積極的搶佔商業先機,也要對營運停擺的風險作投資,畢竟有時營運停擺所造成的不只是金錢損失,可能還有商譽損失,更可能會造成公司倒閉,因此異地備援對於企業將會是不可缺少的重要觀念。
參考資料
1.薛怡青,DigiTimes電子時報,2005,『異地備援專題』,11月9日。
2.IBM藍色觀點,2007,『外部備援,企業營運不中斷』,7月號 Vol.27。
3.李沛祥,異地備援系統的規劃與建議。
4.許洪俊,2009,異地備援規劃探討,No.117。
5.劉啟民,2011,資料庫異地備援的虛擬化策略及其效能評估:以Oracle系統為例。