隨著近年不斷上演的震撼教育,許多企業有所警覺,意識到除天災人禍外,舉凡勒索軟體攻擊,甚至地緣政治因素,皆可能導致主中心失效,意謂干擾正常營運的變數增多,驅使企業必須強化資料保護架構,力求最大限度縮短RTO(Recovery Time Objective)和RPO(Recovery Point Objective)。
在此前提下,若企業需從備份端倒回龐大資料量體,經過數天甚至數週才能恢復核心系統運行,時效上恐難迎合經營目標;畢竟臺灣企業處境特殊,往往位居全球供應鏈中重要位置,所以災難影響的不僅是自己、還包含上下游夥伴,茲事體大,絕對無法容忍過長的停機時間或過大的資料遺失部位。
足見唯有將勒索攻擊災後的復原時間縮短,才是資料保護的王道。以支援日誌型還原(Journal-Based Recovery)的HPE Zerto資料備援方案而論,有望讓災難復原時間驟降、幾分鐘內於異地端帶起高達100TB或更大資料,資料損失部份也僅限於5秒鐘,意謂企業就算遭遇勒索攻擊也不會傷筋動骨,投資價值顯而易見。
藉由日誌型保護,讓資料損失急縮為5秒
HPE數據服務暨儲存方案事業群技術經理吳銘哲表示,一般來說企業資料保護分為備援、備份、歸檔三個層次,長期以來最常見的資料保護態樣,比較偏向備份層次。
所謂備份,即是當企業發生問題時,可倒回備份資料,達到繼續營運目的。但問題來了,現今企業資料量動輒上百TB、甚至上千TB,若按「每秒倒回1~2 GB資料已算非常多」的速度換算,回復時間勢必漫長。唯今之計,企業需要建立的是災難備援架構,即使主中心出問題,都能迅速從備援端重啟營運,而Zerto的主要訴求正是如此;尤其越是渴望提高復原速度的企業,Zerto的運用價值就越高。
綜觀Zerto整體架構,其中蘊含兩大技術核心,一是「Orchestration & Automation」,不但支援Multi-Cloud、Multi-Workload,且在設定過程中,企業服務無需配合中斷。二是「Continuous Data Protection」(連續資料保護),不僅標榜所有資料皆可隨時進行同步抄寫、災難保護,更強調支援Journal-Based Recovery、Application Consistency Grouping,及長天期資料保留。
毋庸置疑,在上述核心技術中,最重要一環便是Journal-Based Recovery日誌型還原,意指它幾乎沒有還原時間點的限制。吳銘哲形容,傳統備份像是照相機,每隔4小時、12小時、24小時…拍一張相,間隔太長,導致資料損失頗大。反觀日誌型就如同錄影機或行車紀錄器,沿路執行記錄,假使10:00:00發生災難,便可在異地端倒帶至9:59:55狀態、就此重啟服務,資料損失僅5秒,不再是幾個小時或一整天。
難免有人認為,要做到日誌型資料保護,架構必定複雜,其實並非如此。Zerto架構當中只有兩個元件需要安裝 一是ZVM(Zerto Virtual Manager)、另一是VRA(Virtual Replication Appliance)。假使企業採用VMware虛擬化方案,則需在每台ESXi Server各自安裝一個VRA,再透過上層ZVM進行主控,一個VMware叢集,只需安裝一個ZVM。而Zerto軟體更新過程也非常簡單,假使今天有新版ZVM軟體問世,便在Zerto管理介面上出現對應提示,此時用戶僅需壓下更新按鍵,即可輕鬆完成線上更新。
數據安全方舟,守護最後一道防線
HPE數據服務暨儲存方案事業群,資深技術經理吳銘哲提醒用戶,執行資料保護的同時,務須確保「應用有效性復原」;切記縱使將資料抄寫到異地,也不保證服務一定起得來。例如今天AD意外失效,若想回復至昨日狀態,結局往往失敗,係因AD系統的還原點、與資料庫要透過AD認證的還原點不一致,導致服務帶不上來。
為此Zerto以群組方式來包裝應用服務、並予以統一管理。假設某一核心服務涵蓋AP、Web、DB、File等多台虛擬機,Zerto可將這些虛擬機一併包裝為單一群組,執行同步抄寫,以消弭彼此時間落差,防止「資料看得到、服務卻帶不起來」的現象發生。
其餘技術重點,還包括了不在異地端顯示虛擬機,一來讓駭客看不到,無法進行破壞,達到更高安全性;二來因異地端平時不顯示虛擬機,等到災難回復時才帶起虛擬機,故可與主中心端共用同一個VM授權,省卻一半成本。此外包含支援pRDM(由虛擬機直接存取Disk)、不採用VAIO(不採用VMware原生的I/O異動過濾模式)、日誌不落本地(前端有異動,就直接複製到異地端),加上加密行為偵測、支援多雲備援(含即時進行資料格式轉換)、任何時間皆可發動災難演練、可依標定順序開啟各項服務…等,都可謂亮點特色。
另值得一提,HPE基於Zerto打造Cyber Resilience Vault數據安全方舟計畫,標榜能實現幾近100%的勒索軟體防護。其架構分Production、Replication Target、Vault三大塊;Production環境的資料會經由公用網路傳到中繼的Replication Target災難備援區,在此執行加密偵測後,再透過底層Alletra Storage MP加密傳輸到Vault隔離區。
Vault隔離區平時無對外網路,每隔4小時定時打開網路一次,藉由底層儲存Alletra Storage MP接收中繼區傳來的虛擬機與資料,完成後便關閉網路,據此構成一個安全的資料封閉環境;未來進入災難復原階段,此Vault才會開啟網路,接替Production環境直接提供服務。
數據安全方舟計畫– 防駭客勒索軟體偵測及資料隔離保護
目前HPE已推出多種數據安全方舟配置,小從100 TB資料、100個VM起跳,大到1PB資料、1,000個VM規模。若企業要保護的虛擬機量較少,即便採用上述最小配置,仍有Over Spec之虞,便可考慮採用由HPE與中華電信合作推出的災難備援方案,它屬於多租戶架構,即便企業僅想保護較少虛擬機,都在適用範圍之內。
實際案例參考 : 零售通路業者導入HPE Zerto 快速提升資料保護與災難復原韌性https://www.ithome.com.tw/pr/163751
Zerto影片介紹 : HPE Zerto 強化企業資料中心災難復原能力的最佳選擇 https://www.youtube.com/watch?v=lgsN55SvDJg
敦新科技為HPE伺服器及儲存設備的專業代理商,提供IT投資解決方案幫助客戶轉型數位化業務,協助HPE經銷夥伴專業銷售,凝聚從基礎架構建置到儲存設備,以及資料安全到專業服務的全面銷售能力。最新各種機種及HPE專業服務,歡迎洽詢HPE事業部: 02-8978-5386,或造訪: www.dawningtech.com.tw。
.png)
熱門新聞
2025-01-13
2025-01-15
2025-01-14
2025-01-14
2025-01-13
