Presentatie van 30 september 2016 voor Syntra West's IT club @ DCO datacenter. Het bevat een korte introductie en tips en trucks om ervoor te zorgen dat de kritische ICT-infrastructuur en bijhorende data ten allen tijden beschikbaar blijft.
4. Wie ben ik ?
•
Jan Guldentops (°1973)
•
Dit jaar bouw ik 20 jaar server en netwerk infrastructuren
•
Oprichter ULYSSIS (°1994), Better Access (°1996) en BA
(°2003)
•
Open Source Fundamentalist (na mijn uren)
•
Sterke praktische achtergrond op het vlak van ICT
beveiliging
•
Ben toevalling terechtgekomen in de securitywereld
•
1996 beroepskrediet
•
Breng veel tijd door in het labo / R&D
5. Nieuwe tijden
● Informatietechnologie is overal
● We kunnen niet meer zonder...
● Bedrijven en organisaties zijn lam, blind en doof
zonder hun ICT-infrastructuur
● Essentieel hart van de business
● Steeds minder analoge backupprocedures
● We hebben data niet meer analoog
● Paperless office en procedures
8. Bevattelijker
● Een gemiddelde pornosite : 50-200TB aan data
● 1PB =
● 223000 DVD's
● 746.000.000 3,5 inch floppies
● Google
● 20 Petabytes aan images
● 15 exabyte total storage
● Internet archive : 15pb
10. Data Excess
● We produceren steeds meer data ;
● Foto's, documenten, filmpjes, etc.
● Klasseren / sorteren niet meer
● Zijn rotverwend qua opslagcapaciteit :
– € 10 / maand unlimited storage bij google drive
– 4TB disk kost € 100
● Digital Dark Ages
● Classificatie
● Bewaren
11. Beschikbaarheid
● Van data en bijhorende ict processen in
● In tijden van terrorisme ;
● In tijden van cryptolockers en andere
cybercriminaliteit ;
● In tijden van besparing en cost cutting ;
● Het overleven van business en vaak ook
mensenlevens hangen er vanaf...
12. BC / DR Plan
● Business Continuity
● Disaster Recovery
● Plan for the worst
13. Wat wil/moet je bereiken?
● Allereerste stap is zwijgen over technologie !
● Management laten vastleggen wat je moet
bereiken :
● Wat zijn de noden ?
– Voor de business
– Voor de investeerders
– Wettellijk
– Regulatory
14. Iets technischer
● Recovery Time Objective (RTO)
● Hoe lang mag de applicatie plat liggen ?
– Tussen 30 seconden en 2 weken
● Recovery Point Objective ( RPO)
● Hoeveel data in tijd mag je maximaal verliezen ?
– Tussen 30 seconden en 1 maand
● Retentietijd
● Hoe lang moet je terug kunnen gaan in de tijd ?
● Welke minimale dienst ( performance) heb je nodig ?
15. Maar
● Dit is niet hetzelfde voor alle processen !
● Bepaal het per proces !
● Inventariseer de risico’s en hoe waarschijnlijk het is
dat dit optreedt !
● Risk = probability x consequence
● Risk = impact x likelyhood
● Probeer te berekenen wat je te verliezen hebt ( helpt
ook je budget te bepalen)
● Maak een volledige inventaris en zet het in een plan...
16. Bouw je infrastructuur
volgens je behoeftes
● Ruimte voor je infrastructuur ( servers, netwerken,
etc.)
● Fysieke beveiliging, stroom, klimaat, brand,
omgevingsvariabelen
● Gebruik je verstand: serverruimte niet als bergruimte
gebruiken!
● Bouw een degelijk netwerk
● Voldoende redundant / performant
● Veilig opgezet en up-to-date ( regels van de kunst)
17. Bouw je infrastructuur
volgens je behoeftes
● Maak redundant wat nuttige / betaalbaar is
● Dataverbindingen
● Netwerken / cloud
● Uplinks
● Voedingen
● Redundantie kan ook = reservemateriaal
● Degelijk servermateriaal ;
● Degelijke storage ;
● Denk ook aan clients / werkplekken / printers!
18. Papieren tijgers
● Dek ook alles contractueel juist af
● Supportcontracten
● SLA’s
● Maar :
– Snap ook wat er in die contracten staat en wat dit
inhoud !
● bv. Next Business Day
– Sluit geen contracten onmogelijk zijn volgens de
natuurwetten.
19. Onderzoek nieuwe
technieken
● Virtualisatie is een zegen !
● Nu ook microcontainer en applicatie virtualisatie
● Snapshot technologie
● Nieuwe backup en business continuity technologieën
● VEEAM
● NAKIVO
● Wet van Moore voor opslag zorgt voor betaalbare
grote volumes, ook voor backup
20. Kennis / Documentatie
● Zorg dat je in noodgevallen kennis en competentie bij
de hand hebt :
● Mensen
– In house
– Extern
● Documentatie
● Procedures
● Zorg dat ze beschikbaar zijn !
– Papier
– USB
21. Backups
●
Hier zitten we met grote uitdagingen !
● 24/7 business
●
Volumes zijn geëxplodeerd
●
Geen onderscheid tussen belangrijke en triviale data
● RPO steeds kleiner
● Steeds complexere applicatieve backups
●
Backup alles wat je nodig hebt niet alleen de data !
● bv. Configs van switches / firewalls
●
Datamodel, software, etc.
●
Verschil tussen backups / archivering en preservatie !
●
Pas ook op met cloud applicaties !
22. Betere technologie
● SAN’s hebben veel mogelijkheden
● Snapshots, deduplicatie, tiered storage,
compressie, etc.
● Virtualisatie / VEEAM-achtigen
● Maar ook gevaren :
– Is de data van je applicatie wel correct gebackuped ?
– Applicatieve integriteit
23. Nog lagere RTO/RPO
● Cluster-technologie
● Active / active
– Bv VMWare continuous availibility
● Active / passive
– Bv VMWare HA
● Maar complexe technologie die ook downtime en dataloss kan
met zich meebrengen
● Replicatie
● Synchroon
● Asynchroon
24. ● Wat als ... het kot afbrandt ?
● Offsite backups en/of infrastructuur
● Naar een eigen tweede locatie
– Maar zorg dat de afstanden groot genoeg zijn !
●
Eigen infrastructuur in datacenter
– Maar: probleem is vaak goeie connectiviteit
● IAAS infrastructuur leveranciers voor backup en zelfs volledige virtuele failover infrastructuur
● Offline
● Goede ouderwetse tape
– Goedkoopst qua volume
– Gaat het langste mee
●
Wat als je een cryptolocker op je VEEAM server hebt ?
25. Proof of the pudding is in
the eating
● Test je BC / DRP plannen regelmatig
– Elke zes maand
– Om zeker te weten of ze werken
– Verbetertraject
● Verifieer regelmatig je backups door een restore te
doen !
27. ISO 22301
● Onderdeel van 27001
● Business Continuity Management
● Positief
● Goeie leiddraad dat je niks vergeet
● Negatief
● Gezond verstand verzopen in documenten
28. In mensentaal (1)
● NEEDS
● Legal
● Regulatory
● Organisation
● Business
● SCOPE
● LEADERSHIP
● PLANNING
29. In Mensentaal (2)
● SUPPORT
● Tijd, resources en geld
● Responsabiliseer
● Communiceer
● Documenteer
30. In Mensentaal (3)
●
Plan
● Wat zijn de risico’s ?
● Wat is de impact ?
● Wat zijn de prioriteiten ?
● Wat heb je nodig om dit te bereiken
● Risico en impactanalyse
●
Ontwikkel / Implementeer
● Procedures
● Incident Response en communicatie structuur
● Test en oefen de plannen
● Controlleer
● Monitor
● Test
● Onderhoud
● Pas aan en verbeter continue
31. Conclusies
● Of je het nu beschrijft met dure woorden, een moderne
organisatie heeft een business continuity plan nodig.
● Als de organisatie ervaring heeft met Quality of Security iso normen
is iso 22301 een goed startpunt.
● Dit plan vertrekt van de behoeftes van de organisatie voor
business, legal, regulatory en wordt bepaald door het
management niet door techniek.
● Op basis daarvan kan je met een veelvoud van technieken en
mogelijkheden om dat plan en zijn doelstellingen te
realiseren.
● Zorg ook dat alles regelmatig getest wordt !
Belangrijk om te onthouden :
2 manieren waarop wij werken met lokale besturen :
Leveren van volledige oplossingen
Leveren van huurlingen : consultants die tijdelijk de kennis van de ict-manager aanvullen
Leveren van technische ondersteuning en troubleshooting
Leveren oplossingen aan lokale besturen sinds 1996