Disaster Recovery as a Service (DRaaS): l’evo­lu­zio­ne del Backup

Le imprese oggi creano un raf­for­za­men­to delle in­fra­strut­tu­re TI sud­di­vi­den­do­le in ambienti cloud. Ciò è pratico, ma che avviene se qualcosa non va per il verso giusto? Il Disaster Recovery, come parte in­te­gran­te di una gestione della con­ti­nui­tà operativa, ha un ruolo im­por­tan­te nel sup­por­ta­re ad­di­zio­nal­men­te la stabilità e il man­te­ni­men­to dei processi aziendali. Con il Disaster Recovery as a Service (DRaaS) la copia di sicurezza di sistemi critici è tra­sfe­ri­ta ad un partner spe­cia­liz­za­to separato.

Il Disaster Recovery as a Service (DRaaS) è un servizio IT gestito (managed). DRaaS è una versione speciale del Disaster Recovery, cioè il ri­pri­sti­no dopo un “disastro” del sistema o un ri­pri­sti­no d’emergenza. L’espres­sio­ne “as a Service” riflette appunto la sua essenza di servizio offerto da operatori esterni spe­cia­liz­za­ti nel settore. Il Disaster Recovery as a Service è uno dei servizi TI preferiti e in rapida crescita del Cloud Computing.

Il Disaster Recovery è una parte in­te­gran­te del Business Con­ti­nui­ty Ma­na­ge­ment (BCM), cioè la “Gestione della con­ti­nui­tà operativa aziendale”. Il BCM comprende piani e processi pre­pa­ra­to­ri per il pro­se­gui­men­to dei processi aziendali nel caso avvenga un guasto parziale o completo di sistemi critici. La funzione del Disaster Recovery (recupero dal disastro) è il ri­pri­sti­no pro­gram­ma­to dello stato operativo normale, basato su un Business Con­ti­nui­ty Plan (BCP), che descrive gli elementi com­po­nen­ti e i processi del BCM. Os­ser­via­mo i tre elementi prin­ci­pa­li del BCP:

L’impiego del Cloud Disaster Recovery (Cloud-DR) integra la strategia Disaster Recovery e per­fe­zio­na la sua efficacia. Nel caso del Cloud-DR i dati necessari per il ri­pri­sti­no dei sistemi colpiti sono salvati nel cloud, invece che negli spazi fisici di memoria locali. Il Cloud Disaster Recovery rispetto ai metodi correnti di backup offre molti vantaggi e sta di­ven­tan­do uno standard.

La ca­rat­te­ri­sti­ca del Disaster Recovery (DR) consiste nel fatto che ad un’impresa è ne­ces­sa­rio solo in caso di dan­neg­gia­men­to. Se avviene un guasto, un DR completo è estre­ma­men­te im­por­tan­te. In momenti di normale ope­ra­ti­vi­tà, tuttavia, l’ipotesi di un dan­neg­gia­men­to è meno per­ce­pi­bi­le e l’im­por­tan­za del Disaster Recovery potrebbe essere sot­to­va­lu­ta­ta. Esiste quindi il pericolo di non con­si­de­ra­re il DR nella giusta misura, finché non se ne ha bisogno e non accadrà qualcosa al sistema.

Un Disaster Recovery non pia­ni­fi­ca­to ade­gua­ta­men­te co­sti­tui­sce un pericolo per l’azienda. Un guasto ad un sistema critico, significa, infatti, pagare con­se­guen­ze come dei costi molto elevati. Alcune va­lu­ta­zio­ni dell’industria hanno calcolato somme comprese tra $100.000 e $1.000.000 per ogni ora di blocco del sistema. Una serie di cause, inoltre, può produrre si­tua­zio­ni come il blocco del sistema o una perdita di dati. Guardiamo gli scenari più frequenti che po­treb­be­ro pre­sen­tar­si.

Le seguenti si­tua­zio­ni possono provocare delle pesanti in­ter­ru­zio­ni dei processi operativi aziendali, che rendono un Disaster Recovery as­so­lu­ta­men­te ne­ces­sa­rio:

• In­ter­ru­zio­ne elettrica nell’area aziendale
• Guasti dello hardware o del network
• Errori del software o nel sistema TI
• Guasti del proprio data center
• Attacchi alla sicurezza TI

Ciò può avere diverse cause:

• Errore umano
• Atti dolosi
• Ca­ta­stro­fi naturali e incendi
• Furto di ap­pa­rec­chi TI e supporti dati
• Hardware o software difettosi

In tutti questi casi, se non ci si è premuniti ade­gua­ta­men­te, l’azienda colpita deve af­fron­ta­re subito delle serie con­se­guen­ze.

La regola più im­por­tan­te riguardo al Business Con­ti­nui­ty Ma­na­ge­ment (BCM) e il Disaster Recovery connesso, consiste nella necessità di un’adeguata pia­ni­fi­ca­zio­ne pre­ven­ti­va. Può accadere, infatti, che nel momento in cui si verifica il danno, sia già troppo tardi per rimediare. Un semplice esempio: sul vostro computer portatile avete salvato delle foto alle quali tenete molto per ragioni sen­ti­men­ta­li. Se il computer sarà rubato, quelle foto andranno perdute. Solo la creazione pre­ven­ti­va e regolare di backup su un supporto esterno o nel cloud, al fine di pro­teg­ge­re i dati, può evitare ciò.

La procedura per la creazione di backup da molto tempo è la regola 3-2-1. Il metodo si basa sulla con­ser­va­zio­ne di tre versioni di tutti i dati: l’originale e due altre copie. Vale a dire, due doppioni oltre all’originale. Una copia viene con­ser­va­ta su un supporto dati separato ma sempre nello stesso ambito in cui è con­ser­va­to l’originale (On-site Backup). La seconda copia viene con­ser­va­ta in uno spazio fi­si­ca­men­te separato ed esterno (Off-site Backup).

Nel caso del Disaster Recovery as a Service la messa a fuoco è sulla costante pro­du­zio­ne di copie dei dati aziendali e del sistema. Ciò avviene tramite la semplice creazione di backup di dati e include tutta l’in­fra­strut­tu­ra critica, i sistemi, le ap­pli­ca­zio­ni e i dati. L’ob­biet­ti­vo è, nel caso di un arresto, di tornare allo stato operativo pre­ce­den­te il più ra­pi­da­men­te possibile. Il motivo è evidente, un arresto duraturo del sistema provoca dei costi piuttosto elevati.

Per definire gli approcci del DRaaS si sono stabilite due metriche. Il “Recovery Time Objective” (RTO) e il “Recovery Point Objective” (RPO) sono definiti in base alle esigenze della specifica azienda. In relazione a ciò, esistono due procedure adatte im­pie­ga­bi­li:

Per mantenere il Recovery Time Objective il più breve possibile, vengono impiegate le co­sid­det­te “Failover sites” in cui sono salvate una copia di sicurezza dei sistemi. Si tratta, infatti, di una replica speculare e completa di sistemi critici che viene attivata nel frattempo in caso d’arresto del sistema presso l’azienda. In questo modo, viene garantito il pro­se­gui­men­to dell’ope­ra­ti­vi­tà aziendale fino al ri­pri­sti­no della pre­ce­den­te capacità operativa del sistema ori­gi­na­rio.

Molti operatori oggi offrono il Disaster Recovery as a Service. In­di­pen­den­te­men­te dal fornitore del servizio DRaaS, le offerte possono essere suddivise in tre grandi categorie. La dif­fe­ren­zia­zio­ne consiste prin­ci­pal­men­te nel grado di con­nes­sio­ne tra il cliente e il fornitore del servizio:

Tutte le offerte DRaaS hanno in comune il fatto che il fornitore del servizio mette a di­spo­si­zio­ne degli strumenti speciali di Disaster-Recovery. Questi strumenti sono mirati anzitutto ad uno stretto rapporto con gli ambiti TI, incluso tutti i suoi com­po­nen­ti di cui sono speculari. Ciò include dati, ap­pli­ca­zio­ni, network e sistemi completi. Le pro­te­zio­ni ri­guar­da­no i server e i di­spo­si­ti­vi finali in­di­pen­den­te­men­te dai sistemi operativi e dai loro limiti; in esse sono compresi dati, database, macchine virtuali e container. I com­po­nen­ti così replicati, in caso di anomalie diventano di­spo­ni­bi­li ed uti­liz­za­bi­li, so­sti­tuen­do i sistemi bloccati e dan­neg­gia­ti.

I dati vengono messi al sicuro usando diversi tipici ob­biet­ti­vi di backup. In base alla regola 3-2-1 viene creato almeno uno dei backup fi­si­ca­men­te separato. A seconda del tipo di modello DRaaS da impiegare, nel caso di un backup ob­biet­ti­vo separato, si tratta di un da­ta­cen­ter locale oppure di un supporto di memoria basato sul cloud. Possono essere usati, inoltre, anche approcci ibridi. Come per il backup. il ri­pri­sti­no dei dati avviene in base al supporto di memoria, fisico, vir­tua­liz­za­to o nel cloud. I dati tra­sfe­ri­ti via network vengono crit­to­gra­fa­ti per l’espor­ta­zio­ne.

Le offerte di servizio DRaaS con­ten­go­no spesso, oltre al ri­pri­sti­no dei dati e dei sistemi dan­neg­gia­ti, anche altre funzioni es­sen­zia­li per mantenere la fun­zio­na­li­tà operativa aziendale. In caso di guasto o blocco, tramite i “Failover En­vi­ron­men­ts” basati sul cloud (“sistema per l’aumento della sicurezza contro gli arresti causati da anomalie”), viene attivato un sistema so­sti­tu­ti­vo al­ter­na­ti­vo. Gli utenti potranno così con­ti­nua­re a lavorare e le in­ter­ru­zio­ni saranno minime.

La maggior parte dei servizi DRaaS offerti sono dotati di in­ter­fac­ce di gestione (ma­na­ge­ment) per il mo­ni­to­rag­gio dei sistemi protetti, così come per il controllo dei Backup e del Failover En­vi­ron­men­ts. Si tratta di norma di ap­pli­ca­zio­ni web che possono essere usate tramite il browser. In tal modo, in caso di guasti è sempre possibile accedere a tali in­ter­fac­ce, anche tramite di­spo­si­ti­vi mobili. Alcuni servizi DRaaS, inoltre, com­pren­do­no anche una funzione VPN per accedere ai dati protetti in un backup e ad ambiti Failover.

Dai tempi dello sviluppo tec­no­lo­gi­co delle reti (network) e della con­nes­sio­ne dei server alle reti pubbliche come internet, si mol­ti­pli­ca­no gli attacchi alle in­fra­strut­tu­re TI delle aziende. Gli am­mi­ni­stra­to­ri e i tecnici hanno il compito di pro­teg­ge­re di norma da accessi non au­to­riz­za­ti e da attacchi Denial-of-Service. Negli ultimi anni è su­ben­tra­to, inoltre, un altro par­ti­co­la­re e pre­oc­cu­pan­te tipo di attacco: i cy­ber­cri­mi­na­li infettano i di­spo­si­ti­vi in­for­ma­ti­ci con i co­sid­det­ti ran­som­ware, co­no­sciu­ti anche come troiani “crypto”. Il software pe­ri­co­lo­so s’infiltra nei di­spo­si­ti­vi in­for­ma­ti­ci e cripta i dati contenuti in essi. Quando i dati sono stati criptati diventano inac­ces­si­bi­li, l’utente non può più usarli e viene richiesto il pagamento di una somma di denaro in cambio di una chiave con cui potrà de­crip­tar­li.

I troiani “crypto” co­sti­tui­sco­no oggi una seria minaccia. Neanche i normali backup offrono una pro­te­zio­ne, giacché anch’essi sono stati criptati come gli altri dati e pertanto saranno inu­ti­liz­za­bi­li.

Nell’ambito di queste nuove si­tua­zio­ni di pericolo e di minaccia, la pro­te­zio­ne dal ran­som­ware è diventata una ca­rat­te­ri­sti­ca in­trin­se­ca delle soluzioni DRaaS. Viene creata, inoltre, un’altra copia di tutti i dati di backup, che sarà marcata come “immutable” (“inal­te­ra­bi­le”). I dati, una volta scritti, possono essere sempre letti, ma non possono essere mai più mo­di­fi­ca­ti. Si parla anche di “Write Once, Read Many” oppure di modello WORM.

Prima dello sviluppo di DRaaS esi­ste­va­no già soluzioni come il Backup-as-a-Service (BaaS). Tuttavia, il solo e classico backup di dati, oggi non è più suf­fi­cien­te. È ne­ces­sa­rio, infatti, creare co­stan­te­men­te delle repliche dei dati e dei sistemi affinché essi siano sempre e im­me­dia­ta­men­te pronti per l’uso nel caso avvengano in­ter­ru­zio­ni dei processi operativi aziendali. Come avviene in tutti gli sviluppi di tec­no­lo­gie, esistono però anche per il DRaaS vantaggi e svantaggi. Li con­si­de­re­re­mo par­ti­co­lar­men­te in relazione alle classiche soluzioni di backup. Diamo un’occhiata dapprima ai vantaggi del Disaster Recovery as a Service.

Il Disaster Recovery as a Service è un approccio cen­tra­liz­za­to. Tutti i dati e i sistemi sono protetti co­stan­te­men­te. Come è ben noto, la maggior parte dei dati aziendali, i co­sid­det­ti Dark Data sono spesso poco usati dalle stesse imprese e quindi spesso non in primo piano, il DRaaS protegge tuttavia in modo globale, rilevando senza esclu­sio­ni la totalità di tutti i dati presenti. Pro­teg­ge­re i dati con metodi coerenti di­mi­nui­sce il pericolo, infatti, che i dati, sia alla creazione del backup, sia al ri­pri­sti­no, non siano rilevati e in casi di dan­neg­gia­men­ti vadano perduti. Poiché di norma saranno con­ser­va­te più versioni dei dati protetti da backup, il DRaaS è anche un passo im­por­tan­te per sod­di­sfa­re la sicurezza di verifica.

In base alla regola del 3-2-1 devono essere con­ser­va­te almeno tre copie di ciascun dato di cui uno come backup “Off-site”. Con l’uso del DRaaS e del cloud come ob­biet­ti­vo di memoria del backup Off-site si ottiene un Recovery Point Objective (RPO) più breve. Ri­cor­dia­mo che il RPO sta­bi­li­sce l’arco di tempo tra due backup degli stessi dati. Grazie all’impiego di sistemi Failover basati sul cloud, si produce nell’ambito del DRaaS un si­gni­fi­ca­ti­vo risparmio di costi. Per disporre di una capacità com­pa­ra­bi­le, infatti, do­vreb­be­ro essere mantenute ri­don­dan­ti risorse hardware tra­di­zio­na­li e so­sti­tu­ti­ve nel caso di un disastro.

Rispetto al Backup as a Service (BaaS), Disaster Recovery as a Service comprende non solo il backup dei dati, ma anche una replica del completo sistema. In par­ti­co­la­re, a tale esten­sio­ne fun­zio­na­le, ap­par­tie­ne il backup di pro­te­zio­ne di macchine virtuali e container di ap­pli­ca­zio­ni che co­sti­tui­sco­no le fon­da­men­ta delle moderne ar­chi­tet­tu­re TI. Tramite il ri­pri­sti­no di tutti questi singoli com­po­nen­ti viene ri­co­sti­tui­to l’intero sistema. Per ri­co­strui­re le in­ter­di­pen­den­ze dei singoli com­po­nen­ti in modo corretto, le soluzioni DRaaS per­met­to­no di stabilire esat­ta­men­te la sequenza dei singoli passi di ri­pri­sti­no. Ciò è es­sen­zia­le, in par­ti­co­la­re nel caso dell’ar­chi­tet­tu­ra mi­cro­ser­vi­ce, am­pia­men­te diffusa.

Diamo ora un’occhiata agli svantaggi del Disaster Recovery as a Service. Con­si­de­ria­mo dapprima la premessa che l’uso del DRaaS implica di norma costi maggiori rispetto all’impiego del Backup as a Service. Le soluzioni DRaaS offrono però net­ta­men­te di più e in tal caso il confronto dei prezzi diventa meno rilevante. Come in tutte le offerte di servizi X-as-a-Service anche nel caso del DRaaS bisogna tenere in conto il Vendor Lock-In. Affidando il controllo ad un operatore di servizi esterno, si diventa, infatti, di­pen­den­ti da esso. Anche la perdita della sovranità dei dati deve essere men­zio­na­ta come svan­tag­gio po­ten­zia­le delle soluzioni DRaaS. In questo caso, un ruolo im­por­tan­te è svolto dalla posizione della sede aziendale dell’operatore che offre il servizio DRaaS.

Il Disaster Recovery as a Service è di­spo­ni­bi­le presso molti fornitori di servizi cloud. Esistono, inoltre, fornitori di servizi par­ti­co­lar­men­te spe­cia­liz­za­ti in soluzioni di Disaster Recovery e di backup. Tra­di­zio­nal­men­te il Backup as a Service è offerto anche dai provider di managed service, o in casi speciali im­ple­men­ta­ti dalle system house.

Per trovare gli operatori più adatti che offrono il DRaaS è opportuno seguire questi passi:

1. Dapprima si effettua un in­ven­ta­rio in­for­ma­ti­co: si registra lo stato effettivo e si individua l’insieme dei dati e dei sistemi da pro­teg­ge­re.
2. Il passo suc­ces­si­vo consiste nella de­fi­ni­zio­ne delle esigenze e degli ob­biet­ti­vi: tra essi vi sono il Recovery Time Objective (RTO) e il Recovery Point Objective (RPO) per i dati, le ap­pli­ca­zio­ni e i servizi con­si­de­ra­ti.
3. Allorché si conosce la co­sti­tu­zio­ne della propria in­fra­strut­tu­ra e si sono definiti ob­biet­ti­vi ed esigenze, è possibile la selezione dei fornitori di servizi candidati. Oltre alle capacità tecniche e pro­fes­sio­na­li sono im­por­tan­ti la “com­plian­ce” (af­fi­da­bi­li­tà e con­for­mi­tà) dell’operatore, riguardo alle direttive stabilite, così come un ac­cet­ta­bi­le panorama di prezzi.
4. Dalla rosa di candidati trovati, si sceglie infine l’operatore più adatto. È questo il momento in cui è in­di­spen­sa­bi­le eseguire dei test al fine di con­trol­la­re fino in fondo le capacità tecniche dell’operatore scelto.

Guardiamo ora i servizi più im­por­tan­ti che i fornitori DRaaS do­vreb­be­ro offrire.

Per una soluzione DRaaS è fon­da­men­ta­le che la pro­te­zio­ne sia au­to­ma­ti­ca e costante con backup di dati e sistemi critici. La pro­te­zio­ne dovrebbe fun­zio­na­re al di là dei limiti del sistema operativo e includere tutti i tipi di file im­por­tan­ti. A tale gruppo ap­par­ten­go­no i dati, database, ambiti del server e ap­pa­rec­chi dell’utente, ambienti vir­tua­liz­za­ti, macchine virtuali e container. Con il Con­ti­nuous Data Pro­tec­tion (CDP) viene protetto lo stato di un intero da­ta­cen­ter con una gra­nu­la­ri­tà precisa al secondo.

I dati da pro­teg­ge­re, prima di essere tra­sfe­ri­ti all’operatore DRaaS devono essere au­to­ma­ti­ca­men­te criptati al momento del sal­va­tag­gio. I dati e i sistemi del backup devono essere co­stan­te­men­te con­trol­la­ti au­to­ma­ti­ca­men­te per ve­ri­fi­ca­re la presenza di errori o sco­sta­men­ti. Per il sal­va­tag­gio dei dati devono essere impiegati sistemi suddivisi in una serie di sedi di sal­va­tag­gio diversi, separati e creati in modo ri­don­dan­te.

In caso di dan­neg­gia­men­to, l’operatore DRaaS deve sod­di­sfa­re almeno due requisiti di servizio: il primo è ri­pri­sti­na­re i sistemi dan­neg­gia­ti. Il ri­pri­sti­no deve com­pren­de­re tutti i dati es­sen­zia­li, le ap­pli­ca­zio­ni e i sistemi. Nella scelta del fornitore del servizio si deve tener conto che è even­tual­men­te ne­ces­sa­rio un ri­pri­sti­no in ambienti multi-cloud. Il fornitore del servizio DRaaS. inoltre, deve attivare i sistemi Failover durante la fase di ri­pri­sti­no in modo che i processi aziendali pro­se­gua­no con in­ter­ru­zio­ni ridotte al minimo per l’utente.

Oltre a questi requisiti di base, è con­si­glia­bi­le, con­si­de­ran­do lo stato di pericolo attuale, scegliere un fornitore di servizio DRaaS che nella sua offerta includa anche una pro­te­zio­ne contro il ran­som­ware. I clienti con esigenze relative a grandi volumi di dati da salvare, devono con­si­de­ra­re tale aspetto nella scelta del fornitore del servizio. Il tra­sfe­ri­men­to di un’enorme mole di dati at­tra­ver­so internet, può ri­chie­de­re in casi estremi persino degli anni. Troppo, per un ri­pri­sti­no ra­gio­ne­vo­le e sod­di­sfa­cen­te. In questi casi sono necessari speciali supporti di memoria mobili per il dati, come lo speciale “Amazon Sno­w­mo­bi­le”: