¿Todavía necesito una copia de seguridad si tengo un sistema de almacenamiento reductor con capacidades de reversión?

32

Mi organización compró recientemente un sistema de almacenamiento. Tiene 1.5Petabyte, con RAID6, y hay un espejo sincronizado en línea en una ubicación física diferente.

El sistema permite la reversión / recuperación de archivos, por defecto permite hasta 30 días, pero esto se puede aumentar.

Se está discutiendo si necesitamos algún tipo de copia de seguridad adicional para los datos que viven solo en el almacenamiento.

El sistema tiene un muy buen nivel de redundancia, tiene redundancia geográfica y permite hasta cierto punto la reversión, lo que significa que podemos recuperar hasta el tiempo definido (30 días por defecto) datos antiguos o datos borrados accidentalmente.

Dado este escenario, ¿todavía tiene sentido tener una copia de seguridad "tradicional"? Por tradicional, me refiero a un sistema de respaldo dedicado, con instantáneas que podemos recuperar en caso de que algo salga mal.

¿Realmente lo necesitamos? ¿Me estoy perdiendo de algo? ¿Estoy pensando de la manera tradicional y siendo demasiado celoso?

nsn
fuente
Si también le permite replicar las instantáneas en otro dispositivo, puede superar los problemas que Sven menciona en su respuesta.
Drifter104
44
Definitivamente relacionado, pero quizás no un duplicado absoluto debido a la separación geográfica y la capacidad de reversión de instantáneas: ¿Por qué RAID no es una copia de seguridad?
un CVn
Mientras también elimine la tecla "eliminar" de cada teclado en el lugar, estará dorado ;-)
Tom Newton
1
Ciertamente mejor que no tener eso. Todavía preferiría que las copias de seguridad vivan en un medio alejado de los "errores de personas" en vivo. Aún así, conoce la respuesta a su pregunta, pero implica poner un precio a sus datos. Buena suerte.
Tom Newton
77
¿Su capacidad de "reversión" también cubre los cambios en los volúmenes? Por ejemplo, ¿podrá recuperarse si alguien elimina todos los volúmenes?
vhu

Respuestas:

40

Lo que describe es esencial un RAID distribuido geográficamente y un RAID nunca fue una copia de seguridad .

La sincronización en línea generalmente significa que todo lo que haces en el almacenamiento primario se replica inmediatamente en el sistema de respaldo, incluidas las operaciones como la eliminación de (todas) las instantáneas y / o volúmenes por parte de un atacante o simplemente un error de administrador.

Sven
fuente
3
O, dado que ambos almacenamientos probablemente usan el mismo sistema operativo, un error de software podría destruir los datos. No es probable, un error de administrador es más probable, pero posible.
Sunzi
8
Cierto. El objetivo es que nadie pueda administrar las instantáneas automatizadas. Eso debería dar el nivel de resistencia contra los errores. Por supuesto, también se puede eliminar una copia de seguridad por error.
nsn
2
@nsn hay muchas otras fallas correlacionadas, como errores en el software del dispositivo o errores en los scripts de administración. Sin una copia de seguridad en otro lugar, está confiando su trabajo al proveedor ... ¿Está dispuesto a hacer eso? También cuantifique el daño en caso de pérdida. Quizás la respuesta depende de cuán valiosos sean los datos. ¿Se ha ido la compañía sin ella?
Usr
2
@ nsn > Por supuesto, también se puede eliminar una copia de seguridad por error. < - sí, pero se vuelve mucho más difícil cuando la copia de seguridad se desconecta y se coloca en un almacenamiento seguro fuera del sitio, por ejemplo.
Rob Moir
7

La reversión de 30 días es una gran capacidad, pero ¿y si "críticamente importante-archivo-xyz" se corrompió / dañó y esto no se detectó hasta más de 31 días después? Esta situación es la diferencia entre los programas de respaldo y de archivo, pero en su descripción, este último no se menciona. Los sistemas de archivo generalmente se almacenan en cintas de muy bajo costo. Además, no hay información disponible sobre si la empresa tiene requisitos reglamentarios u otros para retener datos durante más de 30 días, lo que es frecuente.

Si este no es el caso de su situación, entonces debería ser bueno.

Victor marquez
fuente
3
Si verdad. El 30 es solo el valor predeterminado, podemos establecer otros valores. De todos modos, el almacenamiento fuera de línea también cuesta dinero y no se queda para siempre. Siempre habrá un día n + 1
nsn
2
Me gusta tener 30 días consecutivos, más mensualmente durante el último año, más un año. He tenido una cantidad de archivos (que eran importantes y antiguos) desaparecen y no se detectan dentro del período de tiempo continuo. Las copias de seguridad anuales pueden ser salvavidas.
Brian Knoblauch
@BrianKnoblauch: Sí, ese tipo de esquema es una buena idea, ya sea para instantáneas en línea o copias de seguridad fuera de línea.
Ben Voigt
6

Tener máquinas separadas geográficamente, ambas con los datos es bueno.

¿Qué sucede cuando tiene múltiples fallas que involucran ambos o todos sus sitios? ¿Un incendio en uno, el robo de los servidores en el otro? ¿O hay un problema con la línea entre ellos, entonces el servidor de la ubicación principal se apaga y el controlador HD se vuelve mono y escribe basura? ¿O alguna información privilegiada realiza actos maliciosos en ambos? O el FBI confisca sus servidores en ambas ubicaciones debido a sospechas (nunca lo haría, pero tal vez esté cohospedado en un centro de datos con idiotas). O ... Me acuerdo de varias interrupciones de alto perfil en la "nube" donde todo era redundante, analizado en el enésimo grado, pero, aún así, las cosas pueden salir mal. Te concederé que todo esto es poco probable, pero has reconocido que pueden suceder cosas poco probables.

Entonces, ¿se trata de cuán importantes / valiosos son esos datos? ¿Qué hará la organización si termina desaparecida?

David J. Davison
fuente
3
Si tiene dos ubicaciones y pierde ambas, probablemente también haya perdido sus copias de seguridad. La mayor parte de esta respuesta es un argumento para la replicación en más de dos sitios, no un argumento a favor de la copia de seguridad.
Ben
2
Eso va para siempre. Cada vez que agrega un nivel de redundancia, siempre puede esperar que falle (ya sea geográfico o solo discos). Si tiene n discos redundantes, siempre puede preguntar "qué pasa si n + 1 se rompe". Puede tener un incendio en su sala de servidores y también en su sala de respaldo. Un trabajo interno también puede atacar a ambos. No hay sistemas 100% seguros. Lo importante aquí es saber si dicha configuración puede ser equivalente a un servidor "tradicional" + copia de seguridad
nsn
1
Creo que @nsn hace un gran punto, pero también creo que la lección de muchas de estas respuestas es que tener su copia de seguridad en una infraestructura tecnológica separada de sus medios de almacenamiento es una buena idea, porque hace que sea mucho más difícil para un técnico no se propaga, y es más difícil para un actor malicioso infectar a ambos (pero simplemente más difícil). Regularmente vemos errores en sistemas redundantes que causan fallas en cascada. Tener una solución / proveedor diferente involucrado ayuda. Esta cobertura aún continúa, pero considero que ese nivel de separación tecnológica es una precaución razonable en la mayoría de los casos.
Nick
@ Nick, creo que tienes un comentario muy válido. Yo lo haría una respuesta.
nsn
4

La pregunta aquí parece ser sobre cuán desconectada y geográficamente distinta debe ser una copia replicada de sus datos antes de que sea una infraestructura de respaldo y no de alta disponibilidad / redundancia. Mi instinto es que estás cerca, pero aún necesitas una copia de seguridad.

Para reunir algunos pensamientos en las otras respuestas y comentarios, puede ir muy lejos en el camino de "bueno, la tecnología X no cubre el escenario de desastre Y, por lo que no es una copia de seguridad", y en algún momento debe decidir qué es razonable para usted, que parece ser la razón por la que pregunta. Mi opinión sobre esto, y creo que la sensación de muchos de los comentaristas, es que su copia de seguridad debe existir en una infraestructura tecnológica separada de sus datos en uso para que las fallas, accidentes y acciones maliciosas no puedan propagarse o tener un obstáculo mucho más alto para cruzar. Un ejemplo dado en los comentarios es que alguien está eliminando los volúmenes, que en mi opinión es un escenario válido, no en el cielo. Pero además, un ejemplo del mundo real de mi trabajo. La universidad para la que trabajo (pero afortunadamente no t administrar esta infraestructura para) tiene una infraestructura de virtualización seria de alta disponibilidad que soporta muchas de las instalaciones del campus. Está en varios sitios, pero todos se ejecutan en la plataforma de un proveedor. Un error oscuro surgió un día que causó una cascada de fallas que primero derribó un solo servidor, luego, cuando la carga cambió, eliminó el resto de ese sitio, y luego, cuando la carga cambió nuevamente, eliminó los otros sitios que alojaban esa infraestructura (Creo que han resuelto este problema desde entonces). Los datos no se perdieron en este caso, pero es factible imaginar un escenario que involucre sus datos donde estaban. Un error oscuro surgió un día que causó una cascada de fallas que primero derribó un solo servidor, luego, cuando la carga cambió, eliminó el resto de ese sitio, y luego, cuando la carga cambió nuevamente, eliminó los otros sitios que alojaban esa infraestructura (Creo que han resuelto este problema desde entonces). Los datos no se perdieron en este caso, pero es factible imaginar un escenario que involucre sus datos donde estaban. Un error oscuro surgió un día que causó una cascada de fallas que primero derribó un solo servidor, luego, cuando la carga cambió, eliminó el resto de ese sitio, y luego, cuando la carga cambió nuevamente, eliminó los otros sitios que alojaban esa infraestructura (Creo que han resuelto este problema desde entonces). Los datos no se perdieron en este caso, pero es factible imaginar un escenario que involucre sus datos donde estaban.

Desea que su copia de seguridad sea inmune a todo eso, e incluso accesible mientras esa infraestructura esté inactiva. Si los datos no están disponibles durante una semana mientras se reconstruye su RAID, es bueno poder recuperar documentos críticos del negocio de la copia de seguridad (aunque no es obligatorio). Si su RAID desaparece, luego se replica en su otro sitio, realmente querrá que esa copia de seguridad sea de un proveedor separado o en algunos medios aislados como cinta.

Dicho todo esto, repetiré nuevamente que su copia de seguridad debe estar en una infraestructura separada de sus datos. Aquí hay muchos niveles de aislamiento, pero creo que cualquier cosa conectada a través de la replicación directa está demasiado cerca para ser una copia de seguridad. Querrás algo además.

Mella
fuente
1

Supuesto: el sistema de almacenamiento será utilizado por muchas aplicaciones.

Considero que le irá mucho mejor con un sistema de respaldo separado.

RAID y la duplicación no son copias de seguridad, pero la función de reversión integrada puede reemplazar un sistema de copia de seguridad tradicional.

PERO:

Prefiero que las políticas de recuperación se basen en aplicaciones / datos y no en almacenamiento porque:

  1. las aplicaciones tienen diferentes requisitos relacionados con la recuperación y la pérdida aceptable de datos (algunos de ellos impuestos por diversas regulaciones: medios de solo lectura, cifrado, mantenimiento de los últimos X años, etc.),
  2. algunas aplicaciones tienen (muy) buenas herramientas de respaldo y recuperación (oracle, mssql) integradas y son una forma recomendada de hacer la parte de respaldo / recuperación (como Oracle DBA, prefiero y haré todos mis respaldos relacionados con Oracle con rman).
  3. crecimiento, su uso del espacio puede crecer mucho más rápido de lo esperado, ahora este sistema puede acomodar 30 días de datos de reversión, esto no está garantizado en el futuro
  4. más barato, el costo de usar cintas más grandes para acomodar las políticas de respaldo / recuperación, después de varios años de crecimiento, será menor que el costo de comprar discos nuevos y más grandes para respetar la misma ventana de reversión que ahora
valentin
fuente