Business-Continuity und Disaster-Recovery
Eine ganzheitliche Strategie für Business-Continuity und Disaster-Recovery ist entscheidend, wenn Sie die Cloud im richtigen Maß verwalten. Diese Empfehlung erweitert die Business-Continuity-Empfehlungen aus dem IBM Cloud -Framework für Finanzdienstleistungen und bietet einige zusätzliche Spezifikationen, die die allgemeine Disaster-Recovery-Strategie von IBM Cloud erweitern.
Wichtige Punkte aus IBM Cloud Framework for Financial Services:
- Sicherungsspeicher in einer geografisch getrennten Region von der Workload erstellen, die gesichert wird
- Durchführung regelmäßiger und häufiger Sicherungen aller Informationen, die für die Wiederherstellung des Systembetriebs erforderlich sind
- Überwachung von Sicherungen und Testwiederherstellungsprozeduren, um den Erfolg sicherzustellen, wenn eine Wiederherstellung erforderlich ist
- Schutz der Vertraulichkeit, Integrität und Verfügbarkeit von Sicherungsinformationen an Speicherpositionen
- Erstellung von Notfallplänen, die Prozeduren zur Validierung einer erfolgreichen Wiederherstellung und Rekonstitution der ursprünglichen Konfiguration enthalten
Hochverfügbarkeitsimplementierungen
Für Hochverfügbarkeitsimplementierungensollten zusätzliche Kopien der Infrastruktur und Anwendungen in demselben Workloadkonto und in denselben Projekten wie die primäre Infrastruktur implementiert werden. Dies macht es einfacher, sicherzustellen, dass zusätzliche Regionen synchronisiert bleiben, und vereinfacht die Konfiguration des Zugriffs für DevOps -Teams.
Infrastructure as Code
"Infrastructure as Code" sollte verwendet werden, um zusätzliche Implementierungen für Hochverfügbarkeit zu erstellen, unabhängig davon, ob es sich um Aktiv/Aktiv, Aktiv/Standby oder Aktiv/Passiv handelt. Dadurch wird sichergestellt, dass zusätzliche Regionen, die für Hochverfügbarkeit erstellt werden, mit den primären Regionen synchron bleiben und alle anderen Sicherheits-, Compliance-und Governance-Vorteile bieten, wenn die Infrastruktur als Code verwendet wird.
Aktiv/Passiv
Wenn Sie eine Aktiv/Passiv-Strategie (Cold Standby) verwenden, ermöglicht Infrastructure as Code Notfallpläne, die die Verwendung von Automatisierung zur bedarfsgerechten Erstellung der Infrastruktur beinhalten. Dies ermöglicht sehr kostengünstige Aktiv/Passiv-Konfigurationen, da eine teure Infrastruktur nicht gewartet werden muss. Angesichts der geringen Kosten dieses Ansatzes kann eine Aktiv/Aktiv-oder Aktiv/Standby-Hochverfügbarkeitsstrategie mit Aktiv/Passiv kombiniert werden, insbesondere für wichtige Workloads.
Stellen Sie sicher, dass Automatisierungscode wie Terraform, implementierbare Architekturen und zugehörige Konfigurationen in den Daten enthalten sind, die gesichert und hoch verfügbar gemacht werden.
Vorbereitung auf Aktiv/Passiv
Es gibt Kompromisse zwischen der Geschwindigkeit der Wiederherstellung und den Kosten. Da die Einrichtung der physischen Netzkonnektivität ein langsamer Prozess ist, sollte die Direct-Link-Konnektivität zu mindestens einer alternativen Region auch für Aktiv/Passiv-Konfigurationen (Cold Standby) als Minimum eingerichtet werden.
Sobald Netzkonnektivität verfügbar ist, kann die Wiederherstellungsstrategie für jede BU oder jede Workload angepasst werden. Bei der kostengünstigen, langsamen Wiederherstellung des Spektrums wird die gesamte erforderliche Infrastruktur in der alternativen Region aus der Infrastruktur als Code neu erstellt. Am anderen Ende des Spektrums wird eine Kopie der gesamten Infrastruktur mit aktiven Anwendungen verwaltet, um eine nahezu sofortige Wiederherstellung zu ermöglichen. Dazwischen befinden sich Optionen, bei denen die Bootstrap-Infrastruktur verwaltet wird, z. B. Transit Gateways und Schematics Agents, um die Wiederherstellungszeit zu verkürzen. In allen Fällen werden Daten aus der Sicherung wiederhergestellt, nachdem die Infrastruktur verfügbar ist, bevor die passive Implementierung aktiviert wird.
Alternative Region aktivieren
Sollte ein regionaler Ausfall auftreten, kann eine alternative Region nach vorab festgelegten und getesteten Verfahren aktiviert werden. Diese Prozeduren können die Implementierung der Infrastruktur in der Region umfassen, indem Projektkonfigurationen verwendet werden, die zuvor erstellt und getestet wurden, sodass fehlerfreie Implementierungen problemlos durchgeführt werden können. Wenn bereits vorhandene Projekte nicht verwaltet werden, können Projektkonfigurationen aus der Sicherung wiederhergestellt und geändert werden, um die alternative Region als Ziel zu verwenden.
Plattformservices wie Unternehmenskonten, Konten, IAM und Katalog sind global und daher nicht von regionalen Ausfällen betroffen. Die Unternehmenskontenhierarchie, private Kataloge und die gesamte IAM-Konfiguration können während eines Disaster-Recovery-Prozesses unverändert verwendet werden. Regionale Serviceinstanzen, zu denen Netzbetrieb, VPC, verschiedene Rechenressourcen, Speicher und Datenbanken gehören, müssen in der neuen Region wiederhergestellt werden.
Sicherungen
Sicherungen müssen in einer anderen Region als die Workload und idealerweise in einem separaten Sicherungskonto gespeichert werden. Diese Trennung in Standort und Managementdomäne (Konto) minimiert die Wahrscheinlichkeit, dass ein Ausfall, ein Betriebsfehler oder ein Sicherheitsverstoß, der sich auf die Workload auswirkt, sich auch auf die Sicherung auswirkt. Sicherungsregionen sollten IBM Cloud -Regionen mit mehreren Zonen oder hoch verfügbare Satellite -Regionen sein. Jede Familie von Services in IBM Cloud verfügt jedoch über einen eigenen Sicherungsmechanismus, der einige Einschränkungen einführt, die sich auf diese Gesamtstrategie auswirken. Weitere Informationen finden Sie unter Hinweise zum Service.
Außerdem sollte ein "Disaster-Recovery-Kit" außerhalb von IBM Cloudentwickelt und gespeichert werden. Das Disaster-Recovery-Kit ist ein ausgelagerte und geschütztes Repository, das sichere Hardware-, Software-und Systemkonfigurationen, einmalige Schlüssel und den Disaster-Recovery-Plan enthält. Verwenden Sie dieses Disaster-Recovery-Kit während einer Reaktion auf Vorfälle, um Services wiederherzustellen.
Infrastructure as Code
Infrastructure as Code stellt sicher, dass bewährte Sicherungsverfahren unternehmensweit einheitlich implementiert werden. Implementierung von Sicherungen als Teil implementierbarer Architekturen einschließen. Halten Sie die Sicherungskonfiguration nahe am Bereitstellungscode, damit Sie einfacher sicherstellen können, dass Sicherungen bei Änderungen des Informationssystems angepasst werden. Sicherungskonten als Code erstellen und konfigurieren.
Accounts sichern
Jede BU-Kontogruppe sollte einen separaten Sicherungsaccount enthalten und ein zusätzlicher Sicherungsaccount sollte für die zentralen Accounts verwendet werden. Diese Sicherungsaccounts bieten eine zusätzliche Schutzebene für die Vertraulichkeit und Integrität der gesicherten Daten. Wenn Berechtigungsnachweise für ein Quellenkonto beeinträchtigt werden, sollte es nicht möglich sein, diesen Zugriff zu verwenden, um Sicherungen zu manipulieren.
Zur Unterstützung dieses Aufwands sollte die Berechtigung zum Sichern von Daten im Sicherungskonto Service-zu-Service oder Service für vertrauenswürdige Profilberechtigungen verwenden, sofern dies möglich ist. Verwenden Sie andernfalls die sichere Speicherung von Berechtigungsnachweisen mit Zugriff mit geringster Berechtigung.
Wenn Sie Cloud Object Storage für die Sicherung verwenden, verwenden Sie mindestens separate Buckets für die Sicherung unterschiedlicher Workloadkonten. Verwenden Sie außerdem separate Sicherungsberechtigungsnachweise für jedes Bucket, in dem Service-zu-Service-Richtlinien nicht möglich sind. Verwenden Sie Cloud Object Storage -Versionierung oder nicht veränderbare Buckets für maximale Sicherheit.
Services, die integrierte Sicherungsfunktionen bereitstellen, haben möglicherweise Einschränkungen in Bezug auf Sicherungskonten.
Servicespezifische Aspekte
IBM Cloud Databases
IBM Cloud Databases bieten automatische tägliche Sicherungen, die in demselben Konto und derselben Region gespeichert werden. Sicherungen werden normalerweise im regionsübergreifenden Speicher gespeichert und sollten daher immun gegen einen Ausfall einer einzelnen Region sein. Diese Funktion ist zuverlässig und praktisch, unterstützt jedoch derzeit keinen Sicherungsspeicher in einer angegebenen alternativen Region oder einem angegebenen Konto. Backups können jedoch in einer anderen Region oder in einem anderen Konto wiederhergestellt werden, sodass die Wiederherstellung in einer passiven Bereitstellung (Cold Standby) unterstützt wird.
Es ist auch möglich, datenbankspezifische Clients (z. B. pg_dump für PostgreSQL) zu verwenden, um IBM Cloud Databases mithilfe der Kundenautomatisierung in beliebigen Speicher zu sichern. Bei Verwendung sollten diese Sicherungen in Cloud Object Storage in einer alterativen Region und im Sicherungskonto gespeichert werden, wie unter Sicherungskontenbeschrieben.
Virtuelle Server
Sowohl Datenträgermomentaufnahmen als auch Veeam sind für die Sicherung virtueller Server verfügbar. Veeam wird für umfangreiche Feature-Sets und seine Fähigkeit zur Sicherung von Anwendungsworkloads bevorzugt. Veeam erfordert jedoch die Implementierung eines Agenten, um Workloads zu sichern, die nicht auf VMWare gehostet werden. Der Veeam-Server, der für Sicherungen verwendet wird, sollte sich in einer anderen Region und im Sicherungskonto befinden, wie unter Sicherungskontenbeschrieben.
Red Hat OpenShift / Kubernetes
Red Hat OpenShift -und Kubernetes -Cluster in IBM Cloud können über PX-Backupgesichert werden. Der Portworks-Server, der für Sicherungen verwendet wird, sollte sich in einer anderen Region und im Sicherungskonto befinden, wie unter Sicherungskontenbeschrieben.
Secrets Manager
Der Manager für geheime Schlüssel kann mithilfe der IBM Cloud -CLI gesichert und eine vom Kunden bereitgestellte Automatisierung sein. Diese Sicherungen sollten in einer Sicherungsinstanz des Managers für geheime Schlüssel in einer alterativen Region und im Sicherungskonto gespeichert werden, wie in Sicherungskontenbeschrieben.
Cloud Object Storage
Cloud Object Storage -Buckets können regionsübergreifend, regional oder in einem einzigen Rechenzentrum gespeichert sein. Darüber hinaus können Cloud Object Storage -Buckets mithilfe der Bucketreplikationgesichert werden. Diese Sicherungen sollten in einem Cloud Object Storage -Bucket in einer alterativen Region und im Sicherungskonto gespeichert werden, wie in Sicherungskontenbeschrieben.
Cloudant
Cloudant ist eine hoch verfügbare NoSQL -Datenbank, die mit Replikaten in mehreren Regionen konfiguriert werden kann. Darüber hinaus können Cloudant -Sicherungen mithilfe des CouchBackup -Clients erstellt werden, der die vom Kunden bereitgestellte Automatisierung verwendet. Diese Sicherungen sollten in Cloud Object Storage in einer alterativen Region und im Sicherungskonto gespeichert werden, wie unter Sicherungskontenbeschrieben.
Event Streams
Event Streams ist ein hoch verfügbarer Kafka als Service. Angesichts der Art von Ereignissystemen sind zeitpunktgesteuerte Sicherungen wahrscheinlich von geringem Wert. Für die Disaster-Recovery wird jedoch die Spiegelung in eine zweite Region empfohlen.
Weitere Services
Weitere Informationen zu Sicherungen finden Sie in der servicespezifischen Dokumentation.
Zugehörige Steuerelemente in IBM Cloud Framework for Financial Services
Die folgenden Kontrollmechanismen von IBM Cloud Framework for Financial Services beziehen sich am meisten auf diese Anleitung. Führen Sie jedoch zusätzlich zu den Anweisungen hier Ihre eigene Due-Diligence-Prüfung durch, um sicherzustellen, dass Sie die Anforderungen erfüllen.
| Familie | Kontrollmechanismus |
|---|---|
| Notfallplanung (CP) | CP-2 Notfallplan |
| CP-6 Alternativer Speicherstandort | |
| CP-7 Alternative Verarbeitungssite | |
| CP-9 Information System-Sicherung | |
| CP-10 Wiederherstellung und Wiederherstellung des Informationssystems |