Panoramica
Il ripristino informatico è una delle cinque funzioni descritte nel NIST Cybersecurity framework. È definito come lo sviluppo e l'implementazione di attività appropriate per mantenere i piani di resilienza e per ripristinare qualsiasi capacità o servizio compromesso a causa di un incidente di cybersecurity. Le altre quattro funzioni sono: identificare, proteggere, rilevare e rispondere.
Questa documentazione descrive due architetture di soluzioni che possono essere utilizzate per soddisfare i requisiti di ripristino informatico. Le architetture della soluzione utilizzano VMware Cloud Foundation for Classic - Automated e Veeam® Backup and Recovery per VMware vSphere®. Le due architetture di soluzione sono denominate Immutable backup e Isolated recovery environment.
L'architettura della soluzione di backup immutabile utilizza il design del repository temprato Veeam Linux® come repository di archiviazione immutabile all'interno dell'ambiente di produzione. Gli elementi chiave dell'architettura della soluzione comprendono:
- Un'istanza VCF for Classic - Automated che fornisce risorse di calcolo, storage e rete per le macchine virtuali.
- Il servizio Veeam che fornisce il backup delle macchine virtuali.
- Il servizio Veeam è potenziato con un repository Veeam Linux temprato, ospitato su un server IBM Cloud® bare metal.
- Opzionalmente è possibile utilizzare le tecnologie Veeam, come vPower NFS Service e Mount server per assistere le attività di cyber-recovery.
- L'architettura della soluzione non preclude nessuna delle opzioni VCF for Classic - Automated, come Caveonix, Entrust e VMware Aria® Operations™.
- Questa soluzione è adatta ai clienti che desiderano estendere il loro backup Veeam con l'immutabilità riducendo al minimo i costi e utilizzando i processi e le risorse esistenti.
L'architettura della soluzione di recupero isolata utilizza un'istanza VCF for Classic - Automated in un ambiente di recupero air-gapped separato dall'ambiente di produzione. La gestione e l'accesso sono affidati a un team separato di specialisti del cyber-recupero. Gli elementi chiave dell'architettura della soluzione comprendono:
- Un'istanza VCF for Classic - Automated utilizzata solo per attività di cyber-recupero, distribuita in un account IBM Cloud limitato alle attività di cyber-recupero.
- L'istanza VCF for Classic - Automated non ospita carichi di lavoro di produzione o di disaster recovery.
- L'istanza VCF for Classic - Automated include un cluster edge per ospitare appliance Juniper® vSRX per proteggere le reti dell'istanza VCF for Classic - Automated. Inoltre, fornisce un'intercapedine di rete tra l'ambiente di produzione e l'ambiente di ripristino isolato.
- Un'istanza Veeam in gestione separata utilizzata solo per il cyber recovery.
- Un repository immutabile basato sul repository temprato Veeam Linux ospitato su un IBM Cloud server bare metal.
- L'architettura della soluzione non preclude nessuna delle opzioni VCF for Classic - Automated quali Caveonix, Entrust e VMware Aria Operations.
- È possibile eseguire il provisioning delle sandbox utilizzando VMware segmenti di overlay NSX-T™ per fornire zone isolate dalla rete in cui montare i backup di cyber-recupero per l'ispezione da parte dei cybertoolset.
- I set di strumenti informatici sono strumenti forniti dal cliente che vengono eseguiti come macchine virtuali (VM) nell'ambiente di ripristino isolato.
- Gli amministratori informatici sono il personale del cliente autorizzato ad accedere all'ambiente di ripristino isolato.
- L'air gap consente la connettività di rete tra l'ambiente di produzione e l'ambiente di ripristino isolato solo quando necessario.
- L'architettura della soluzione:
- È indipendente dall'ubicazione dell'ambiente di produzione. Tuttavia, è necessaria la connettività di rete tra l'ambiente di produzione e il sito di cyber-recupero.
- È indipendente dalla soluzione di backup di produzione.
- Richiede che l'ambiente di produzione sia basato su vSphere.
- Richiede che i proxy di backup del cyber-recovery registrati nell'ambiente di cyber-recovery siano installati sugli host ESXi dell'ambiente di produzione.
- Richiede che l'infrastruttura di backup del cyber-recupero abbia accesso con privilegi sufficienti al vCenter di produzione e agli host ESXi.
- Questa soluzione è adatta ai clienti che desiderano copiare i dati critici lontano dall'ambiente di produzione. Inoltre, i sistemi di backup e il personale addetto al cyber-recupero sono separati dai processi di produzione e di disaster recovery.
Termini e definizioni
La presente documentazione utilizza i termini e le definizioni seguenti:
Termine | Definizione |
---|---|
VCF for Classic - Automated istanza | Un ambiente VMware vSphere ospitato su un minimo di tre IBM Cloud server bare metal e che include VMware NSX per fornire un overlay di rete virtuale. Un'istanza comprende un'appliance vCenter e Microsoft® Windows® AD/DNS. Per ulteriori informazioni, vedere VCF for Classic - Automated panoramica. |
Servizio Veeam | Un servizio Veeam è una distribuzione di Veeam Availability Suite associata all'istanza VCF for Classic - Automated. Per ulteriori informazioni, consultare Veeam Backup and Replication overview. |
Istanza del server | Un'istanza di server è un sistema operativo che utilizza risorse di calcolo, di archiviazione e di rete per ospitare applicazioni. |
macchina virtuale (VM) | Una macchina virtuale è un'istanza di server che viene eseguita su un hypervisor vSphere. |
Istanza server virtuale (VSI) | Un VSI è un'istanza di server che viene eseguita sull'hypervisor IBM Cloud. |
Server bare metal | Un server bare metal è un'istanza di server che viene eseguita direttamente sull'hardware IBM Cloud x86. |
Veeam Backup and Replication (BUR) | L'applicazione Veeam che consente il backup delle istanze server e la replica delle macchine virtuali. Sebbene il nome del prodotto Veeam includa "Replication", in queste architetture di cyber-recupero viene utilizzata solo la funzione di backup. |
Vuoto d'aria | Un air gap è un termine usato per indicare l'isolamento della rete in cui il repository di backup Linux non è accessibile direttamente dalle reti di produzione. Per il trasferimento di backup, il traferro viene sbloccato selettivamente e poi bloccato al termine del trasferimento. |
Ambiente di produzione | L'ambiente vSphere che ospita i dati di produzione. Per l'ambiente di ripristino isolato, l'ambiente di produzione può trovarsi in IBM Cloud o altrove. |
Sito di cyber-recupero | La posizione dell'ambiente di ripristino isolato. |
Dati di produzione | I dati di produzione si riferiscono in particolare alle immagini delle macchine virtuali (VMDK) delle macchine virtuali in esecuzione nell'ambiente di produzione. |
Dati di cyber-recupero | Copie delle immagini delle macchine virtuali di produzione (VMDK) nell'ambiente di ripristino isolato. |
Backup di ripristino informatico | Il backup dei dati di produzione nell'ambiente di ripristino isolato. Un backup di ripristino informatico è diverso da un backup di produzione. |
Set di strumenti per il cyber-recupero | I set di strumenti per il cyber-recupero sono applicazioni fornite dal cliente per essere utilizzate all'interno del sito di cyber-recupero per scansionare, analizzare o pulire i dati del cyber-recupero. |
Sandbox | Una sandbox è una zona isolata di una rete che consente di avviare il sistema operativo e le applicazioni senza impattare sui sistemi di produzione. In particolare, in queste architetture di soluzioni, uno o più segmenti NSX-T sono protetti da regole di firewall in cui è possibile accedere alle copie di backup o utilizzarle per avviare le macchine virtuali. |