Güvenlik, IBM, Storage

Safeguarded Copy Planlaması Hakkında

pexels-photo-430208 Safeguarded Copy Planlaması Hakkında
Photo by Scott Webb on Pexels.com

Safeguared copy planlaması hakkında okuyacağınız bir yazı hazırlamaya çalıştım sizlere. Bu arada merhaba sevgili okuyucu, 2022 çok güzel başlamasına rağmen devam eden ayları bazı sağlık sorunlarını getirdi ve maalesef 1.5 ay gibi bir süre ara vermek zorunda kaldım yazılara ama umarım tekrar sorunlar yaşamayız ve artık kesintiler olmadan sizlerle olurum. Bu yazı içerisinde IBM Safeguarded Copy’nin planlaması yapılırken nelere dikkat etmemiz gerektiği hakkında sizlere bilgi vermeye çalışacağım.

Planlama Konuları

İlk önce planlama konuları ile ilgili genel bir değerlendirme yapmak gerekir ise, karşılıklı bağımlılık düzeyi çevreden çevreye değişse de, genellikle birbirine bağlıdır. Örneğin, erişim kısıtlaması, ağ izolasyonu ve süreç entegrasyonu ile ilgili güvenlik, düzenleyici ve iş gereksinimleri tarafından yönlendirilir. Karşılıklı bağımlılıklar da yineleme ve iç içe geçme eğilimindedir. Bunlara örnek olarak erişim kısıtlaması ve ağ izolasyonu verilebilir. Bu hususlar, BT altyapısının tüm yönlerine yayılmıştır. Bu nedenlede planlama düşünürken dengede olmalı ve bir çok yönden planlama ele alınmalıdır.

Düzenleyici Gereksinimleri

Her sektör, veri koruma ve mahremiyetle ilgili ayrıntılara uzanan özel bir kılavuza sahiptir. Örneğin KVKK, 27001 gibi. Yaygın olanlar sektörler sağlık ve finanstır. Düzenleyici kılavuzlardan ve gereksinimlerden ek özelliklerin ayrıntılarını vermek yerine, bunların genellikle uygulama kararlarının ve iş gereksinimlerinin arkasındaki itici güç olduklarını bilmek yeterlidir.

İş Gereksinimleri

Düzenleyici gereksinimler genellikle uygulama kararlarını yönlendirir. Buna ek olarak, finansal maliyet, mevcut süreçlerle entegrasyon ve diğer birçok hususun uyum içinde dengelenmesi gerekir. Ancak, bu kararların ortak temaları aşağıdaki kavramlar etrafında dönmektedir:

  • Recovery Point Objective (RPO): Zaman (saniye, dakika, saat) cinsinden ölçülen, işletmenin tolere edebileceği veri miktarını veya işlem kaybını tartışmak için ortak terminoloji. Bu, alınması gereken yedeklemelerin sıklığını belirler ve ayrıca çoğaltılan ortamları ve çoğaltılan verilerin birincil site ile ne kadar agresif bir şekilde senkronize olması gerektiğini dikkate alır.
  • Recovery Time Objective (RTO): Bir kesinti olayı meydana geldikten sonra işe geri dönmek için gereken süreyi tartışmak için ortak terminoloji. Bu, zaman (saniye, dakika, saat ve muhtemelen gün) cinsinden ölçülür. Bu düşünce birkaç faktörü yönlendirir. Başlıcaları, yedekleme depolama ortamının hızı, uygulama tutarlılığı ve iş işlevselliğinin geri yüklenmesinde yer alan ardışık adımların sayısı ve süresidir. İşe geri dönmek için kaç adım gerekiyor ve bu adımlar ne kadar sürüyor? Bu, teknolojiden büyük ölçüde etkilense de, yerleşik iş süreçlerini ve personelle ilgili hususları dikkate almanın da önemli olduğunu unutmayın.
  • Network izolasyonu yada Airgap: Bu gereklilik, normal uygulama kullanımı veya idari işlemlerin yürütüldüğü yollarla erişilmesi zor veya imkansız olan izole bir ortamda korunan yedekleme varlıklarını “kasaya atma” arzusu olarak ortaya çıkar. Spectrum Virtualize için Korumalı Kopyalama durumunda, bu, değişmez kopyaların bir ana bilgisayar tarafından monte edilememesi ve süper kullanıcı dışında bir kullanıcı tarafından silinememesi ve birim üzerindeki son kullanma tarihinin değiştirilememesi gerçeğiyle karşılanabilir. Ancak bazı işletmeler, Korunan kopyaların birincil birimlerden çoğaltılan verileri alan ayrı bir depolama aygıtına alınmasını gerektirebilir.

Copy Services Manager

8.4.2.0’da tanıtılan Spectrum Virtualize Korumalı Kopyalama işlevi, çözümün aşağıdakiler gibi birçok yönünü düzenlemek ve otomatikleştirmek için Copy Services Manager 6.3.0 veya üstünü gerektirir:

  • Yedeklemelerin programlanmış yürütülmesi işlemi.
  • Bir birim grubundaki belirli bir birim kümesi için yedekleme zaman noktalarının görselleştirilmesi.
  • Kurtarma ve geri yükleme işlemleri.
  • Uzaktan kopya çoğaltmanın yönetilmesi

gibi işlemler için Copy Services Manager’a ihtiyacımız bulunmaktadır.

Copy Services Manager için gereklilikler;

Donanım Gereksinimleri:

Disk Alanı: 10 GB MinimumMemory: 1280 MB MinimumCPU: 4 Core işlemci veya üstü tavsiye edilir.

Port Gereksinimleri:

  • GUI: 9559
  • CLI: 9560
  • Active/Standby: 9561
  • Authentication: 9562

Desteklenen Diller:

  • Chinese – China (zh-CN)
  • Czech (cs)
  • French (fr)
  • German (de)
  • Hungarian (hu)
  • Italian (it)
  • Japanese (ja)
  • Korean (ko)
  • Polish (pl)
  • Portuguese – Brazil (pt-BR)
  • Russian (ru)
  • Spanish (es)
  • English (eng)

Süreç Entegrasyonu

Korumalı Kopya, tam kapsamlı kurumsal veri koruma ortamındaki bir özelliktir. Birçok ortam ayrıca aşağıdakilerden bazılarını ve muhtemelen tümünü kullanır:

  • Teyp veya sanal teybe yazabilen Spectrum Protect gibi yedekleme yazılımı
  • Standart anlık kopyalar (Korumalı olmayan), anlık görüntüler veya tam kopyalar
  • Uzaktan kopya çoğaltma

Bu nedenle, Korumalı Kopya bir boşlukta değil, diğer mevcut süreçlerle birlikte uygulanmalıdır. Bu, başlangıçta belirlenenden frekans gereksinimlerinin belirlenmesine veya değiştirilmesine yardımcı olabilir.
Yedeklemeler sırasında birincil birimleri yoğun okumalardan yalıtmak için tam kopya FlashCopies zaten alınıyorsa, bu birimler, RPO ve RTO gereksinimlerini karşıladığı varsayılarak, Korumalı Kopya kaynak birimi için daha iyi adaylar olabilir.


Son olarak, veriler ikincil bir siteye çoğaltılırsa, çoğaltılan birim Korunan Kopyalar için kaynak olarak hizmet etmek için daha iyi bir yer olabilir. Çoğaltma hacmi aynı zamanda birincil hacimden fiziksel bir hava boşluğu da sağlayacaktır. Ancak bu, RTO’yu etkiler çünkü birincil siteye kurtarma, uygulamanın çoğaltma hedef sitesinde getirilmesi için bilgi işlem ve ağ kaynakları bulunmadığı sürece, uygulamanın çevrimiçi duruma getirilebilmesi için ikincil siteden tekrar çoğaltmayı gerektirir.
Bunlar, Korumalı Kopyanın daha geniş bir bağlamda nasıl uygulandığını etkileyebilecek senaryo örnekleridir ve planlama sürecinin bir parçası olmalıdır.

pexels-photo-5473951 Safeguarded Copy Planlaması Hakkında
Photo by cottonbro on Pexels.com

Kapasite


Korumalı Kopya, FlashCopy adı verilen Spectrum Virtualize zaman noktası kopyalama işlevini kullanır. FlashCopy, Spectrum Virtualize’ın bir Veri Azaltma Havuzunda (DRP) tekilleştirilmiş birimler için geleneksel birimlerle Yazmada Kopyala (CoW) ve Yazmada Yeniden Yönlendirme kullanarak mümkün olduğunca az yer tüketmeye çalışacak şekilde tasarlanmıştır.
En büyük kapasite tasarrufu, bir DRP’de tekilleştirilmiş birimler kullanılarak elde edilir, ancak yinelenen birimlerin kullanılması, meta veri yönetiminin ek yüküne karşı dengelenmelidir. Yazmada Kopyala (CoW) kullanan tekilleştirilmemiş birimlerde, verilere referans vermek için bağlantılı bir liste kullanılarak daha fazla verimlilik tasarlanır, bu nedenle yalnızca bir kez yazılması gerekir (veri bölgesinin ne zaman değiştiğine göre en son FlashCopy’ye) ). Bu bloğa bağlı tüm eski FlashCopie’ler işaretçiler aracılığıyla bağlanır.


Bu verimliliklerde bile, zaman içinde bir dizi noktayı korumak için alan tüketmek hala gereklidir. Bu nedenle, Korumalı Kopyalar tarafından tüketilen alan miktarına ilişkin hususlar aşağıdaki maddeleri dikkate alır:

  • Sıklık ve saklamaya ilişkin politika parametreleri: Veri başına kopya sayısı, gün içi saklama sayısı, toplam FlashCopies sayısını verir.
  • Veri değişim hızı: Bu, cildin yazma etkinliğini gözden geçirerek tahmin edilebilir. Değişim oranının en doğru tahmini, bir FlashCopy oluşturmak ve ardından aylık toplu işler veya veritabanı yükleri gibi ani artışları yakalamak için makul bir süre boyunca tutmaktır. Ardından, ortalama günlük değişim oranını elde etmek için FlashCopy’nin boyutunu tutulduğu gün sayısına bölün.

The above calculation provides a general idea of space consumption under normal conditions. It is a fairly straightforward calculation of (A ÷ B) x C, where:

  • A = günlük FlashCopies sayısı
  • B = ortalama günlük değişim oranı
  • C = gün sayısı olarak saklama

Bununla birlikte, daha doğru bir kapasite planlama resmi, aşağıdakileri hesaba katarak gerçek bir fidye yazılımı saldırısının etkilerini de açıklar:

  • Sıkıştırma kaybı: Fidye yazılımı saldırısının en popüler biçimi, verileri, kurbanın verilerinin kilidini açmak için ödemesi gereken bir anahtarla şifreler. Şifrelenmiş veriler (depolama düzeyi yerine kötü bir uygulama aracılığıyla İşletim Sisteminde gerçekleştirilen) sıkıştırmayı yendiğinden, kapasitedeki bu artış kapsamlı bir kapasite planıyla açıklanır.
  • Kurtarma Hacmi Alanı: Gerekli değilse, Korumalı Kopya uygulamasının periyodik bir kurtarma doğrulaması içermesi şiddetle tavsiye edilir. Kurtarma birimleri, seçilen yedeklemenin zamanındaki orijinal birimlerin tam kopya klonlarıdır.

Tüm korunan birimlerin aynı anda kurtarılması gerekmeyebilir. Bu nedenle IBM, tüm üretim birimlerinin periyodik olarak doğrulanmasını şiddetle tavsiye eder. Ancak, tüm korunan birimlerin bir alt bölümü, minimum başlangıç noktası olarak doğrulanabilir.
Volumeler, Cyber Vault planında şu adreste belirtildiği gibi çeşitli araçlar kullanılarak doğrulanabilir: https://www.ibm.com/downloads/cas/ODKXBLR9

Güvenlik ve erişim kontrolü

Dış ve iç tehditlere karşı korumanın önemli bir unsuru, bir bilgisayar korsanının veya hoşnutsuz depolama yöneticisinin verileri yok etme yeteneğini sınırlamak için yeteneklerin yalıtılmasıdır.
Bu gereksinimi ele alırken, Spectrum Virtualize Korumalı Kopyalama uygulaması, bir yetenek bölümü olacak ve gerçekten yıkıcı işlevlere yalnızca süper kullanıcı hesabı tarafından izin verilecek şekilde tasarlanmıştır. Bu hesap, Spectrum Virtualize cihazında devre dışı bırakılabilir. Süper kullanıcı hesabı yalnızca Güvenlik Yöneticisi düzeyinde bir hesap aracılığıyla etkinleştirilebilir veya çok hassas ortamlarda süper kullanıcı hesabını yeniden etkinleştirmek için IBM desteği gerektirir.

Normal Yönetici

Normal bir Yönetici düzeyinde hesap aşağıdaki görevleri tamamlayabilir:

  • Boş birim grupları oluşturun ve silin.
  • Eklenmemiş Korumalı politikalar oluşturun ve silin.
  • Bir birim grubuna birimler atayın.
  • Bir birim grubuna bir Korumalı ilke ekleyin.
  • Bir birim grubu için bir ilkeyi kaldırın veya ilkeyi değiştirin. Bu, tutmayı etkilemez mevcut Korumalı kopyalar.

IBM Copy Services Manager tarafından kullanılan Normal Yönetici

Aşağıdaki görevleri tamamlamak için IBM Copy Services Manager tarafından normal bir Yönetici düzeyinde hesap da kullanılır:

  • Birim grupları ve politikalardaki değişiklikler için Spectrum Virtualize’ı periyodik olarak yoklayın.
  • Korumalı Kopya yedekleri oluşturun (FlashCopy tutarlılık grupları, haritalar ve haritaları başlatın).
  • Kurtarma gerçekleştirin (yeni birimler oluşturun, FlashCopy tutarlılık grupları oluşturun, haritalar oluşturun ve haritaları, harita birimlerini başlatın).
  • Geri yükleme gerçekleştirin (Korumalı Kopya yedeklemesinden verileri orijinal kaynak birimlere kopyalamak için ters haritaları etkinleştirin).
  • Uzaktan kopya çoğaltmayı yönetin.

Güvenlik Yöneticisi

Aşağıdaki görevleri tamamlamak için Güvenlik Yöneticisi düzeyinde bir kullanıcı gereklidir:

  • Süper kullanıcı hesabını devre dışı bırakın ve etkinleştirin.
  • Korumalı Kopya yedeklerini saklama süreleri sona ermeden silin.

Monitörleme

Güvenlik ve erişim kontrolü ile ilgili olarak, düzeltme gerektiren anormal davranışları tespit etmek için ortam izlemenin temel taşıdır. Bu davranış, kötü niyetli bir faaliyet olabilir veya yanlış yapılandırma veya normal süreçlerin öngörülemeyen sonuçları olabilir. İyi tasarlanmış izleme ve denetim, aksi takdirde bir ortamı yönetilemez hale getirebilecek daha kısıtlayıcı tedbirlerin dengelenmesine de yardımcı olur.
Bir örnek, depolama yöneticisinin bir birim grubu için Korumalı ilkesini değiştirme yeteneğidir. Bunun için bir uygulama ve ilgili ciltler için durum değişikliği gibi meşru nedenler mevcuttur. Ancak, bu nedenler iyi belgelenmeli ve bir değişiklik kontrol sürecinde doğrulanmalıdır. Korumalı kopyaların sıklığında veya alıkonmasında yetkisiz veya kazara meydana gelen değişikliklere karşı koruma sağlamak için, bir uygulamayla ilişkili bir dizi birimin koruma düzeyinin beklenen ilkeden ne zaman saptığını saptamak için bir izleme ve mutabakat süreci kullanmalısınız.

Network

Birden çok bileşen içeren herhangi bir çözümde olduğu gibi, bileşenler arasındaki ağ iletişimi, özellikle güvenlik odaklı bir uygulamada her zaman dikkate alınması gereken bir husustur. Çeşitli kontrol düzlemleri ve kontrol edilen bileşenler arasında yeterli erişim bulunmalıdır. Bu durumda kontrolün çoğu, birden çok Spectrum Virtualize sistemini kontrol ediyor olabilecek IBM Copy Services Manager tarafından gerçekleştirilir. Ayrıca, ağ erişimi karmaşıklığını artıran IBM Copy Services Manager tarafından da kontrol edilen uzaktan çoğaltma da söz konusu olabilir.
Ağ oluşturma ile ilgili bir diğer husus, potansiyel saldırı vektörleridir. Bu nedenle, depolama (ve bilgi işlem) yönetim ağlarını normal veri trafiğinden mümkün olan ve mümkün olan en büyük ölçüde izole etmek için Korumalı Kopyalama uygulanması durumunda büyük bir fayda sağlar.

Mimari Sınırlamalar

  • Sistem başına korunan birim grupları: 256
  • Grafik başına FlashCopy eşlemeleri (kaynak başına yedeklemeler): 256
  • Birim grubu başına korunan birimler: 512
  • Sistem başına korunan politikalar: 32 (3 önceden tanımlanmış ve 29 özel)
  • Sistem başına Temel Birimler (VDiskler): 15.864
  • Sistem başına FlashCopy tutarlılık grupları: 500

Korumalı Kopya için aşağıdaki kısıtlamalar geçerlidir:

  • Yansıtılan hacimler korunamaz. Uzatılmış küme desteklenmez.
  • Mevcut Korumalı kaynak birimlerinin yansıtılması, yalnızca geçiş amaçları için desteklenir.
  • HyperSwap birimleri desteklenir. Ancak kurtarma, kullanımdan önce normal hacimlere dönüştürülmelerini gerektirir.
  • Önceden tanımlanmış programlar, FlashCopy haritalarının tek bir grafikte tükenmesini önlemek ve desteklenen hacim sayısı dahilinde kalmak için tasarlanmıştır. Bu sınırları potansiyel olarak ihlal edebilecek politikalar (yalnızca komut satırı arabirimini (CLI) kullanarak) oluşturmak mümkündür. Bu nedenle, bu ilkeleri oluştururken dikkatli olun.
  • Grafik kullanıcı arabirimi (GUI), kullanıcı tanımlı ilkelerin oluşturulmasını desteklemez, ancak CLI kullanılarak oluşturulan kullanıcı tanımlı ilkeleri görüntüler.
  • Kaynak birim bir sahiplik grubunda olamaz.
  • Kaynak birim, Şeffaf Bulut Katmanlama (TCT) ile kullanılamaz.

FlashCopy tabanlı başka bir değerlendirme, G/Ç grubu başına 2 GB bit eşlem belleğidir (FlashSystem kasası). Bitmap tüketimi için formül:
Her 2 TB kaynak birim sanal kapasitesi için 1 MB FlashCopy bitmap belleği tüketilir. Örneğin, 20 TB’lık bir birim için bir FlashCopy eşlemesi (thin olarak sağlanmış ve sıkıştırılmış olsa ve yalnızca 2 GB gerçek kapasite tüketse bile), bu 20 TB birimin kaynak olduğu HER FlashCopy eşlemesi için 10 MB bit eşlem belleği tüketecektir. Dolayısıyla, bu birimin yüz FlashCopie’si varsa, bu 1 GB’a veya G/Ç grubunun kullanabileceği bitmap belleğinin yarısına tekabül eder.

Diğer IBM yazılarım için lütfen BURAYA tıklayınız. Bu yazının Redbook dökümanına ulaşmak için BURAYA tıklayınız.

Bir yanıt yazın