Essential Guide

Notfall-Management mit Business Continuity und Disaster Recovery

Eine umfassende Auswahl von Artikeln, Videos und mehr, die von unseren Redakteuren gewählt wurden.

Cloud-Optionen für Disaster Recovery richtig evaluieren

Disaster Recovery- und Business Continuity-Dienste aus der Cloud stellen gerade für KMUs eine interessante Alternative zu klassischen Modellen dar.

Cloud-Service-Anbieter für Disaster Recovery (DR) und Business Continuity (BC) in Anspruch zu nehmen, ist eine sinnvolle Überlegung für jede Organisation, auch wenn man natürlich die Preisgestaltung genauer prüfen muss. Die schnelle Verbreitung von Cloud-Services hat dazu geführt, dass nun auch Disaster Recovery- und Business Continuity-Funktionen zu Verfügung stehen. Solche Cloud-Dienste können für viele Organisationen – insbesondere für kleine und mittelständische Unternehmen (KMU) – eine gute Möglichkeit zur Implementierung eines Backup- und Recovery-Plans sein. Investitionen in eigene Rechenzentren oder Ausweich-Kapazitäten entfallen dann.

Es ist wichtig und unabdingbar, bestehende Angebote der Cloud-Service-Provider (CSP) gründlich zu prüfen, wenn man ein Cloud-basiertes DR/BC-Konzept in Erwägung zieht.

Bevor man sich für einen bestimmten Cloud-DR- und BC-Anbieter entscheidet, sollten alle in Frage kommenden Angebote evaluiert werden, damit ein wirklich passender Service für die jeweiligen Anforderungen gefunden werden kann. Dabei gibt es mehrere Faktoren zu beachten.

Cloud-basierte Serviceprozesse für Disaster Recovery

Bevor Sie eine Geschäftsbeziehung zu einem CSP eingehen, sollten Sie wissen, wie dessen Prozesse für Backups und Continuity und  seine Technologien aussehen. Zum Beispiel werden bei SaaS-CSPs (Software as a Service) nur Daten gespeichert. Deshalb sollten DR-/BC-Pläne von SaaS-Anbietern mit Fokus auf Storage und Backups analysiert werden – denn als Kunde haben Sie nur geringe oder gar keine Kontrolle über die Kontinuität der Daten, wenn diese erst einmal dort sind. Zusätzlich sollte die Kontinuitätsplanung des Providers für seinen internen Betrieb berücksichtigt werden. Aspekte sind hier Redundanzen von Netzwerk-Ressourcen und System-Backups sowie Anwendungskonfigurationen, die für den ununterbrochenen Geschäftsbetrieb essenziell sind.

PaaS-Providern (Platform as a Service) können neben den Daten auch Code-Repositories und -Pflege gemeinsam übernommen werden. Die Infrastruktur liegt jedoch nach wie vor in der Verantwortung des Providers, was dessen internen Planung berücksichtigt werden sollte. Bei IaaS-Anbietern (Infrastructure as a Service) können Kunden komplette virtuelle Maschinen (VMs) verwalten. Für die Verwaltung der physischen Infrastruktur ist auch hier der Provider zuständig. Deshalb kann man in diesen Fällen gewissermaßen von einer geteilten Verantwortung für die DR- und BC-Strategie sprechen.

Wenn Unternehmen die Dienste von Cloud-Anbietern nutzen möchten, dann existieren hierzu bereits eine ganze Reihe an Anwendungsfällen für Cloud-basierte DR- und BC-Services als Orientierungshilfe. Der erste ist Online-Datenspeicher, was letztlich nichts anderes ist als ein einfaches Backup-Szenario. Typische Kunden sind KMUs, allerdings entdecken auch Großunternehmen zunehmend diese Möglichkeit. Der zweite Anwendungsfall ist das Backup von VMs oder spezieller Datentypen, selbst wenn schon ein DR-/BC-Konzept auf Unternehmensseite vorhanden ist. Eine weitere Option ist das Backup und der Betrieb kompletter Anwendungsfarmen oder einzelner wichtiger Dienste aus der Umgebung eines CSP heraus.

Kriterien für Cloud-basierte Disaster Recovery-Diensten

Sobald die Prozesse und Anwendungsfälle für Cloud-basierte DR-Dienste berücksichtigt wurden, müssen Unternehmen die einzelnen CSPs genau unter die Lupe nehmen, um sicherzustellen, dass sie bestimmte Standards einhalten. Es ist wichtig und unabdingbar, bestehende Angebote der Cloud-Service-Provider (CSP) gründlich zu prüfen, wenn man ein Cloud-basiertes DR/BC-Konzept in Erwägung zieht. Zu den Punkten, die bei einem solchen Assessment bedacht werden sollten, gehören unter anderem:

  • Erfahrung des CSPs: Wie lange ist er bereits im Geschäft? Welche Referenzen kann er vorweisen?
  • ISO 27001, SSAE 16 und ähnliche Normen für DR/BC: Hat der CSP irgendwelche Standards für Implementierungen umgesetzt?
  • Betriebliche Ressourcen des CSPs für DR/BC: Verfügt der CSP über genügend Mitarbeiter und entsprechende Technologien, um die Verantwortlichkeiten für DR/BC für Ihre Organisation in Ihrem Sinne zu führen?
  • Vertragliche Regelungen zu SLAs (Service-Level-Agreements) und Wiederherstellungs-Ressourcen: Deckt das zugesagte Angebot Ihre Anforderungen ab?

Der nächste Schritt bei der Bewertung von DR- und BC-Möglichkeiten in der Cloud ist die Abstimmung von Zielvorgaben. Hier geht es um die Konzepte RTO – Recovery Time Objective – und RPO – Recovery Point Objective. RTO entspricht der Frage "Wie lange kann Ihr Unternehmen ohne seine wichtigsten Services arbeiten?". RPO definiert dagegen einen kritischen Punkt, ab dem zu viele Daten verloren gegangen sind, um den Geschäftsbetrieb noch aufrechterhalten zu können. In einem ausgereiften DR-/BC-Plan sollten derlei Konzepte bereits intern definiert sein. Beide Faktoren sollten vor Beginn der Evaluierung eines CSPs entsprechend verstanden und konkretisiert bzw. umgesetzt werden.

Die Cloud Security Alliance gibt ebenfalls eine Reihe von Empfehlungen heraus, wie man Cloud-basierte DR-/BC-Services auswählen kann:

  • Kunden sollten möglichst Vor-Ort-Inspektionen beim jeweiligen CSP durchführen.
  • Kunden sollten die DR-/BC-Pläne des CSPs genau unter die Lupe nehmen. Dies sollte zudem ein fester Bestandteil regelmäßiger Audits durch den Kunden und von standardisierten SSAE 16-Berichten sein.
  • Kunden sollten physische Abhängigkeiten und Zusammenhänge in der Infrastruktur des CSPs erkennen. Dies ist wichtig, da die Zuverlässigkeit des CSPs letztlich das Fundament für die Implementierung des DR-/BC-Programms des Kunden darstellt.
  • Verträge sollten eindeutig die Verpflichtungen für Sicherheit, Wiederherstellung von Daten und Zugriffe umfassen.
  • Der CSP sollte die RTOs des Kunden verstanden haben und diese in die Verträge einfließen lassen.
  • Eine BC-Richtlinie des CSPs sollte vorhanden und vom Vorstand des CSP abgesegnet sein. Dies kommt einer Bewertung der internen Governance des CSPs gleich.
  • Die BC-Programme des CSPs sollten aktiv sein und sich idealerweise an Standards wie ISO 25999 (jetzt ISO 22301) orientieren, die grundlegende Anforderungen für Business Continuity festlegen.

Zahlreiche CSPs bieten Cloud-basierte DR- und BC-Dienstleistungen an. Allerdings sollten gerade deutsche Unternehmen sehr genau auf den Anbieter schauen und vor allem, wo dieser seine Rechenzentren hat, in die die Daten fließen. Viele Unternehmen haben nämlich sehr genaue Compliance-Vorschriften darüber, wo die Daten gesichert werden dürfen. In den meisten Fällen dürfen persönliche und andere wichtigen Geschäftsinformationen nicht im Ausland abgelegt werden, einige dürfen auch den lokalen Standort der Firma nicht verlassen. Hier gilt es, die eigenen Richtlinien genau zu kennen und die Datenbestände für die Cloud entsprechend zu organisieren und zu strukturieren. Ebenso sollten genaue Vorgaben, Richtlinien und eventuelle Regressansprüche für den Fall eines Datenverlustes vertraglich festgehalten werden.

Organisationen sollten sich stets vergewissern, dass ihre interne DR-/BC-Kriterien zu denen des potenziellen CSPs kompatibel sind. Anschließend sollte der CSP dahingehend bewertet werden, ob er zuverlässig ist und über interne Kontrollen verfügt. Über diese sollte er auch bereitwillig Auskunft geben, beispielsweise zu SSAE 16 oder ISO-Zertifizierungen.

Bereiten Sie sich auf den Notfall vor

Auch wenn das Verlagern von Disaster Recovery und Business Continuity in die Cloud anfangs Neuland ist: Die Vorteile von Cloud-basiertem DR- und BC-Diensten machen sie zu einer sinnvollen Option. Hinzu kommt, dass Cloud-Provider stets neue Ressourcen und Dienstleistungen auf diesem Gebiet anbieten. Zur Auswahl der richtigen Cloud-basierten DR-Serviceoption müssen Sie CSPs lediglich die richtigen Fragen stellen, um einen zu finden, dessen Angebot zu Ihrer Organisation passt.

Zu den oben aufgeführten Kriterien kommt noch die Kostenfrage hinzu. Ein Cloud-basiertes DR-/BC-Kostenmodell ist insbesondere für kleinere Unternehmen häufig günstiger. Trotzdem kann der Betrieb eigener Rechenzentren und Anlagen Vorteile haben, die größere Unternehmen nicht einfach ignorieren können. Hier spielen Anforderungen hinsichtlich Bandbreite, der Bedarf an Rechenleistung und auch die Flexibilität eine Rolle. Loten Sie sämtliche Optionen aus und verwerfen Sie nicht gleich eine Cloud-basierte DR-/BC-Alternative, wenn Sie langfristig planen.

Über den Autor:

Dave Shackleford ist Senior Vice President of Research und Chief Technology Officer (CTO) von IANS, sowie SANS-Analyst, Dozent und Schulungsautor. Er hat hunderte von Organisationen im Bereich von Sicherheit, regulatorischer Compliance, Netzwerk-Architektur und -Technik beraten. Shackleford ist VMware vExpert und verfügt über umfassende Erfahrungen bei Design, Entwerfen und Konfiguration sicherer virtualisierter Infrastrukturen. Früher hat er als CSO für Configuresoft, CTO für das Center for Internet Security sowie als Security-Architekt und Manager für diverse Fortune 500-Unternehmen gearbeitet. Shackleford ist Autor des Sybex-Buchs Virtualization Security: Protecting Virtualized Environments und Co-Autor des ersten vom SANS-Institut veröffentlichten Kurses zum Thema sichere Virtualisierung. Er gehört aktuell zum Vorstand des SANS Technology Institute und ist an der Leitung des Chapter Atlanta der Cloud Security Alliance beteiligt.

 

Artikel wurde zuletzt im August 2014 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Essential Guide

Notfall-Management mit Business Continuity und Disaster Recovery

0 Kommentare

Älteste Beiträge 

Passwort vergessen?

Kein Problem! Tragen Sie Ihre E-Mail-Adresse unten ein. Wir werden Ihnen eine E-Mail mit Ihrem Passwort schicken.

Ihr Passwort wurde an die folgende E-Mail-Adresse gesendet::

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close