BSI empfiehlt 200 km Sicherheitsabstand

Redundanz zwischen entfernten Rechenzentren meistern

| Autor / Redakteur: Johan van den Boogaart / Dr. Jürgen Ehneß

Im Leitfaden „Kriterien für die Standortwahl höchstverfügbarer und georedundanter Rechenzentren“ empfiehlt der BSI für georedundante Rechenzentren einen Mindestabstand von 200 Kilometern.
Im Leitfaden „Kriterien für die Standortwahl höchstverfügbarer und georedundanter Rechenzentren“ empfiehlt der BSI für georedundante Rechenzentren einen Mindestabstand von 200 Kilometern. (Bild: ©Sergey - stock.adobe.com)

Die neue Empfehlung zum Mindestabstand redundanter Rechenzentren des BSI stellt Unternehmen vor neue Herausforderungen: Die Latenz zwischen den Rechenzentren wird beim neuen Mindestabstand von 200 Kilometern zu hoch, um Unternehmen mit traditionellen Hochverfügbarkeits- und Backup-Lösungen gegen Systemausfälle und logische Fehler wie etwa Ransomware-Attacken zu schützen.

Das BSI (Bundesamt für Sicherheit in der Informationstechnik) schickte im Dezember vergangenen Jahres eine Schockwelle durch die Branche: Es erhöhte den empfohlenen Mindestabstand für georedundante Rechenzentren drastisch von fünf auf 200 Kilometer. Da hierzulande sehr viele Rechenzentren über so genannte „HA-Systeme“ synchron gespiegelt sind, betrifft die neue Empfehlung sehr viele Unternehmen.

Für Betreiber von vom Gesetzgeber als „kritische Infrastrukturen“ angesehenen Rechenzentren ist die Entscheidung sogar bindend, genauso wie für alle Bundeseinrichtungen. Auch zahlreiche Branchenverbände, wie etwa der Bankenverband BAFIN, empfehlen ihren Mitgliedern, den Direktiven des BSI zu folgen. Somit müssen Tausende von Organisationen auf den neuen Mindestabstand reagieren. Welche Optionen haben Unternehmen nun, um Ihre IT bei dieser Entfernung mit minimalem Datenverlust und Ausfallzeiten zu sichern und wiederherzustellen? Und welche Technologien können bei Planung und Migration helfen?

5 Gründe, die das Risiko Kritischer Infrastrukturen erhöhen

Schutz Kritischer Infrastrukturen (KRITIS)

5 Gründe, die das Risiko Kritischer Infrastrukturen erhöhen

10.09.19 - Der Schutz Kritischer Infrastrukturen (KRITIS) vor Cyberangriffen ist eine besonders heikle Aufgabe, da bei erfolgreichen Cyberangriffen darauf nicht nur die öffentliche Ordnung bedroht ist und gravierende Störungen von vielen Lebensbereichen eintreten werden, sondern auch ganz konkret Menschenleben in Gefahr sind. lesen

Empfehlung hat direkte Folgen für BC/DR

Die Empfehlung des BSI ist auch deshalb eine Zäsur, weil Unternehmen nicht nur in weiter entfernte Rechenzentren investieren, sondern gleichzeitig ihre bisher genutzten Technologien für BC/DR (Business Continuity/Disaster Recovery) überdenken müssen. Denn wenn die bislang verwendeten Technologien nicht mehr funktionieren, bedeutet dies im Umkehrschluss für Unternehmen, dass sie nach einer neuen Methode suchen müssen, ihre VMs zukünftig mit minimalem Performanceverlust und geringen RPOs (Recovery Point Objective) zu schützen. Die neue Empfehlung kann somit komplette DR- und Backup-Strategien auf den Kopf stellen. Denn diese wurden explizit auf Basis der bisherigen Richtlinien erstellt.

Synchrone Spiegelung ist über weite Distanzen nicht möglich

Die Entfernung bisheriger georedundanter Rechenzentren liegt im Allgemeinen zwischen den bisher mindestens geforderten fünf und maximal rund 35 Kilometern. Oft liegen sie sogar in einem anderen Brandabschnitt auf demselben Betriebsgelände, oder sie befinden sich in der unmittelbaren Nähe. Diese geringe Entfernung ist auch nicht zufällig: Bei synchron gespiegelten Systemen muss jeder Schreibvorgang repliziert und bestätigt werden, bevor die I/O geschrieben wird.

Für schreibintensive Applikationen wie beispielsweise bei SAP- oder SQL-Datenbanken ist eine niedrige Latenzzeit deshalb eine absolute Voraussetzung. Aufgrund der neuen Entfernung von 200 Kilometern ist es jedoch in diesem Set-up physikalisch unmöglich, die notwendig niedrige Latenz zu erreichen. Unternehmen stehen deshalb nun vor gleich zwei Problemen: Sie müssen in einen neuen Standort investieren und gleichzeitig ihre BC/DR-Strategie anpassen.

Snapshot-Technologie kommt bei weiter Entfernung an ihre Grenzen

Ein weiteres Problem beim Thema BC/DR ist die oft genutzte Snapshot-Technologie, die nicht nur Manpower, Bandbreite und Speicherplatz verschlingt, sondern auch die Komplexität erhöht und Performance-Overheads verursacht. Die hohe Komplexität rührt daher, dass in der Praxis meist Storage-Snapshots auf LUN-Ebene und Snapshots auf VMDataStore-Ebene kombiniert werden. Abgesehen von der potenziell hohen Anzahl von Snapshots ist auch deren Verwaltung eine Herausforderung. IT-Manager müssen entscheiden, wann und wo Snapshots erstellt, gelöscht oder konsolidiert werden müssen.

Auch die Abhängigkeiten der VMs sind bei der Wiederherstellung mit Snapshots zu beachten. Bei einer Anzahl von etwa 200 produktiven VMs nehmen die Komplexität und der Performance-Overhead der Snapshot-Technologie exponentiell zu. Dies führt dazu, dass man VMs noch kaum effektiv mit Snapshots über eine Entfernung von 200 Kilometern schützen und replizieren kann. Um dies zu erreichen, wird eine Lösung benötigt, die keine Snapshot-Technologie mehr verwendet, sondern journalbasierte Checkpoints einsetzt.

Wie man die Zuverlässigkeit eines Anbieters beurteilt

Trust-Ratings in der Security

Wie man die Zuverlässigkeit eines Anbieters beurteilt

26.02.19 - Sicherheitsmängel bei Zulieferern und Dienstleistern dürfen Unternehmen nicht hinnehmen. Zum einen können sich die Mängel auf die eigene Datensicherheit auswirken. Zum anderen sieht der Datenschutz vor, dass ein Unternehmen Verantwortung für Datenschutzverletzungen der Auftragsverarbeiter übernehmen muss. Benötigt werden Trust Ratings für die Sicherheit bei Geschäftspartnern. lesen

CDP mit asynchroner Replikation

Wie können es Unternehmen schaffen, ihre Applikationen unter den neuen Voraussetzungen mit minimalem Datenverlust, Ausfallzeiten, Performance-Overhead und Bandbreitennutzung effektiv und effizient zu schützen? Prinzipiell haben Unternehmen drei Optionen, um den neuen Abstand einzuhalten:

1. Das Auseinanderziehen des Synchronen Spiegels auf über 200 Kilometer und Umstieg auf asynchrone Replikation

Unternehmen können ihr bestehendes HA-System auf die gewünschte Entfernung „auseinanderziehen“ und auf asynchrone Replikation umstellen. Ein Problem bei dieser Option ist, dass die Migration bei der Verschiebung des Rechenzentrums nicht ohne Risiko ist. Dauert eine Migration etwa zehn Tage, so wären die Unternehmensdaten zehn Tage nicht abgesichert – für kritische Applikationen ein nicht hinnehmbares Risiko.

2. Umstieg auf asynchrone Replikation und CDP, Aufbrechen des Clusters und Migration an einen neuen Standort

Der Umstieg auf asynchrone Replikation mittels einer Replikationssoftware ist relativ einfach. Für die Migration an den neuen Standort repliziert die Lösung die Umgebung vorübergehend in die Cloud, um das Rechenzentrum während des Wechsels zu schützen.

Der Synchrone Spiegel kann dann aufgebrochen werden. Ist die Hardware am neuen Standort installiert, repliziert die Software mit One-to-many-Replikation auf den zweiten Standort. Das Ergebnis ist ein Cluster in zwei weit entfernten Rechenzentren mit asynchroner Replikation und CDP, aufbauend auf Journaling-Technologie. Diese Lösung garantiert RPOs innerhalb weniger Sekunden, benötigt deutlich weniger Speicherbedarf als Snapshots und bietet bei der Wahl einer fortschrittlichen Lösung die zusätzliche Orchestrierung der Wiederherstellung.

3. Umstieg auf asynchrone Replikation und CDP, Migration in die Cloud und komplette Auflösung des DR-Rechenzentrums

Für Unternehmen, die schon länger planen, ihr DR-Rechenzentrum komplett aufzulösen, bietet die neue Empfehlung des BSI eine ideale Gelegenheit dazu. Anstatt in ein neues Rechenzentrum als DR-Standort zu investieren, nimmt man einfach die Cloud als DR-Ziel. Nach der Installation der neuen Replikations-Software und der Wahl des passenden Cloud-Anbieters repliziert die Software in die Cloud und bietet fortan Disaster Recovery und Backup aus der Cloud. Das DR-Rechenzentrum wird einfach abgeschaltet.

Schutz vor logischen Fehlern

Da alle drei Optionen voraussetzen, dass der zweite Standort mindestens 200 Kilometer entfernt liegt, ist es nicht möglich, das klassische DR-Rechenzentrum einfach in ein neues, 200 Kilometer entferntes zu migrieren. Da Synchrone Spiegelung aufgrund der Distanz keine Alternative mehr darstellt, kommt nur noch asynchrone Replikation in Frage. Berücksichtigt man möglichen Datenverlust, Latenz, die Größe von Snapshots, Bandbreite und den Performance-Overhead, bleibt nur Continuous Data Protection (CDP) mit Journaling und asynchroner Replikation, um auf diese Entfernung Redundanz zu gewährleisten. Asynchrone Replikation bietet RPOs in Sekunden, ist günstiger, weniger aufwändig in der Verwaltung und schützt neben Ausfällen der Hardware auch vor logischen Fehlern.

Fazit

Unternehmen, die auch weiterhin auf ein zweites physisches Rechenzentrum setzen wollen, können dies mit asynchroner Replikation auch bei einem Abstand von mehr als 200 Kilometern erreichen. Die asynchrone Replikation mit CDP und Journaling hat im Vergleich zur Replikation mit Snapshots zahlreiche Vorteile. Außerdem werden minimale Investitionen in weitere Hardware wie etwa Proxy-Server, Netzwerk oder dedizierte Hosts benötigt.

Johan van den Boogaart, Regional Sales Manager bei Zerto.
Johan van den Boogaart, Regional Sales Manager bei Zerto. (Bild: Zerto)

Die Replikation auf Basis von Journaling erfordert darüber hinaus eine minimale Nutzung von Bandbreite und bietet gegen Datenverlust RPOs von nur wenigen Sekunden anstatt von Stunden. Unternehmen, die sich mit dem Themenkomplex befassen, ihr georedundantes Rechenzentrum an einen neuen Standort zu migrieren, sollten sich genau mit den Alternativen befassen und die asynchrone Replikation mit CDP und ohne Snapshots in ihre Liste an möglichen Optionen aufnehmen.

Über den Autor: Johan van den Boogaart, Regional Sales Manager bei Zerto.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46094441 / Risk Management)