GlobalSign Blog

03 Jul 2018

Was ist Disaster Recovery as a Service (DRaaS) und ist es das Richtige für mich?

Mit neuen Technologien im mobilen, sozialen und IoT-Bereich werden Unternehmen gewinnbringender und reaktionsfähiger. In unserem unersättlichen Wunsch, flexibel und verfügbar zu bleiben, steigt jedoch auch das Risiko, dass ein Desaster zuschlägt.

Die Schlüsselfrage lautet hier: Wie lange können Sie sich als Unternehmen Ausfallzeiten und Unerreichbarkeit von Diensten leisten? Untersuchungen und Umfragen zeigen, dass Unternehmen nach dem Desaster im Laufe der Zeit in verschiedenem Ausmaß ihre Funktion einbüßen. Rund 43 Prozent der Unternehmen überstehen das Desaster nicht und nehmen ihren Betrieb nie wieder auf. 51 Prozent der Unternehmen schließen innerhalb von zwei Jahren aufgrund der verursachten IT- und Infrastrukturverluste. Nur 6 Prozent der Unternehmen überleben die katastrophalen Bedingungen und führen weiterhin ein langes erfolgreiches Leben.

Ist Disaster Recovery (DR) die Lösung für Unternehmen?

Ja, sie ist es! Die Wiederherstellung sollte jedoch sicherstellen, dass alle unternehmenskritischen Daten und die IT-Umgebung des Unternehmens vor Nichtverfügbarkeit und Ausfallzeiten geschützt sind und das Unternehmen ohne Unterbrechung weiterarbeiten kann. Dieses Problem von Nichtverfügbarkeit und Ausfällen kann durch einen Disaster Recovery Plan reduziert werden. Ein Disaster Recovery Plan funktioniert normalerweise so, dass eine ausfallsichere Lösung mit strengen Recovery Time Objective und Recovery Point Objective eingesetzt wird, die sich an die Toleranzgrenzen von Datenverlust und Zeit vor der Wiederaufnahme des Geschäfts halten.

Wie können wir eine effektive DR-Strategie ausarbeiten?

Durch neuere Technologien konnten die meisten Unternehmen sich von den traditionellen, langwierigen und sehr teuren physikalischen Band-basierten Wiederherstellungspraktiken trennen. Diese Methode war nicht nur umständlich, sondern war auch nur begrenzt ausbaufähig, brauchte ständig Wiederherstellungstests und führte häufig zu potenziellen Problemen mit den Speichermedien.

Einige Unternehmen ziehen ein zweites Rechenzentrum vor, das ein Replikat ihrer IT-Umgebung ist. Wie man sich denken kann, ist es teuer, in gespiegelte Ausrüstung zu investieren, die manchmal im Vergleich zur primären zu wenig genutzt wird. Darüber hinaus könnte ein erfolgreiches Failover schwierig zu erreichen sein, wenn es Diskrepanzen in der Konfiguration zwischen den primären und sekundären Zentren gibt (was an sich eine herausfordernde Wartungsaufgabe ist). Wiederherstellungstests eines solchen Setups sind komplex und können manchmal das Funktionieren normaler Dienste des Unternehmens stören. Wenn das Failover nicht erfolgreich ist, benötigt es eine beträchtliche Menge an Ressourcen, um die Wiederherstellung von Diensten zu ermöglichen.

Mit dem Aufkommen von Cloud-Diensten, nutzen Unternehmen zunehmend Cloud-basierte Wiederherstellungspraktiken. Auf diese Weise kann ein Unternehmen seine Daten nahtlos wiederherstellen, während die Sicherheit und Integrität der gesicherten Daten erhalten bleibt, und muss sich nicht ständig über Tests, Standort oder Infrastruktur seines Wiederherstellungs-Setups Gedanken machen.

Wichtig im Zusammenhang mit Cloud-DR ist, dass es sich nicht um ein Replikat oder ein Live-Spin-up der Produktionsumgebung des Unternehmens handelt. Es ist im Wesentlichen die Sicherung und Speicherung von Unternehmensdaten, Anwendungs-Snapshots und Systemimages mithilfe der Cloud-Computing-Infrastruktur. Im Falle eines Desasters können diese gepflegten Kopien der Facetten des Unternehmens leicht auf virtuellen oder physischen Servern wiederhergestellt werden. Dies beinhaltet jedoch einige Knackpunkte für Unternehmen, die Cloud-basierte Disaster Recovery-Dienste einsetzen. Sie müssen sicherstellen, dass während der kontinuierlichen Datenübertragung die Sicherheit der Daten während der Bewegung überwacht und geschützt wird. Außerdem müssen alle Benutzer, die mit den Daten arbeiten, entsprechend authentifiziert werden.

Im Vergleich zum Cloud-basierten DR-Prozess benötigt Disaster Recovery as a Service (oder DRaaS) keine Bänder, abgeglichene Geräte, kein zweites Rechenzentrum oder Cloud-basierte Backups.

Was ist DRaaS und ist es die beste DR-Option?

DRaaS beinhaltet die Einrichtung einer Warm oder Hot Live Disaster Recovery Site, die ein vollständiges Replikat der Produktionsumgebung des Unternehmens ist. Dieses kann in einer öffentlichen Cloud oder in einer VPC (Virtual Private Cloud) oder in einer hybriden Umgebung erfolgen - das Unternehmen hat die Wahl.

Die DR-Site wird in der Regel über ein Internet-Webportal verwaltet und ermöglicht die sofortige Einrichtung und den Betrieb der Produktionsumgebung des Unternehmens. Eine CSP (Cloud Solution Provider) -Technologie, die in Virtual Machine-Servern integriert ist, sind so konfiguriert, dass sie sofort starten, wenn die Hauptserver des Unternehmens ausfallen. CSP ist das Modell, das die Dienstkontinuität gewährleistet. Im Falle eines Desasters oder eines Ausfalls der Dienste am primären Standort des Unternehmens, werden unternehmenskritische Dienste weiterhin mithilfe der Cloud des Anbieters ausgeführt. Und all das kommt ohne teure Hardwareausrüstung oder qualvolle Installationen aus.

Bei der Entscheidung, welchen Weg man einschlagen will - Do It Yourself (DIY) oder DRaaS - gibt es neben der Verfügbarkeit viele Parameter, die vor dem Anruf ausgewertet werden müssen.

-      Mit bekannten, wiederkehrenden und unvorhergesehenen Kosten, die mit der Einrichtung Ihrer eigenen Wiederherstellungsinfrastruktur verbunden sind, steigen die Kosten nur weiter an und es werden weniger Einsparungen erzielt. Im Gegensatz dazu entstehen bei DRaaS die Kosten im Voraus und sind inklusive und es erfordert keine Hardware-Investitionen. Beim Cloud-basierten Speicher funktioniert dies mit Pay-as-you-go (Prepaid). Längere Verfügbarkeit bei weniger Investitionen ist ein Win-Win-Deal.

-      Zusätzlich zu den niedrigeren Gesamtbetriebskosten bietet DRaaS zwei weitere wichtige Vorteile im Vergleich zum DIY-Ansatz - und zwar Flexibilität und Skalierbarkeit, die mit Ihrem Unternehmen wächst. Cloud-basierte Optionen können sich bei Bedarf verändern. Dadurch wird sichergestellt, dass Unternehmen sofort über alle erforderlichen Ressourcen verfügen, sollte sich das Unternehmen entscheiden, zu einem bestimmten Zeitpunkt zu expandieren.

-      Da die Wiederherstellung nun in der Verantwortung des Dienstanbieters liegt, lösen sich jetzt alle Dokumentationsaufgaben, die mit dem DIY-Ansatz verbunden sind, in Luft auf. Der Anbieter stellt sicher, dass die Verfahren nicht nur dokumentiert, sondern auch umfassend sind, allen relevanten Stakeholdern mitgeteilt werden, leicht verständlich sind und im Desaster-Fall leicht ausführbar sind.

-      Die Verfolgung von Veränderungen in der Produktionsumgebung und die Sicherstellung, dass die replizierte Umgebung auf dem neuesten Stand ist, gehört ebenfalls zu den Schlüsselkompetenzen und Anforderungen des Anbieters. Den erforderlichen Verlauf und die replizierte Genauigkeit beizubehalten kann andernfalls eine entmutigende Aufgabe für das IT-Team des Unternehmens sein.

-      Um sicherzustellen, dass das Unternehmen DR-fähig ist und die Wiederherstellung an die geschäftlichen Anforderungen angepasst ist, ist sorgfältiges und konsistentes Testen eine Grundvoraussetzung. Diese Aufgabe erfordert sehr viel Zeit und Mühe. Mit DRaaS lastet diese Aufgabe jetzt auf dem Anbieter, und er führt die Szenariotests für die Wiederherstellung. Einige Anbieter bieten Vereinbarungen für die Durchführung von Penetrationstests.

-      Fast alle Anbieter im DRaaS-Spiel erfüllen verschiedene Vorschriften und Sicherheitsrahmen. Einer der Hauptschwerpunktbereiche und -anforderungen dieser Compliance-Standards ist die Datensicherheit. Daher ist es selbstverständlich, dass die Sicherheit der Unternehmensdaten für den Dienstanbieter von größter Bedeutung ist. Das gibt dem Unternehmen die angemessene Gewissheit, die Wiederherstellung fehlerfrei durchzuführen.

Ist DRaaS das Richtige für mich?

DRaaS kann an die Anforderungen von Unternehmen aller Größen angepasst werden. Wenn alle oben genannten Vorteile Sie ansprechen, Sie jedoch nicht über die erforderlichen Mittel oder Ressourcen verfügen, können Sie sich für eines der drei folgenden Modelle entscheiden:

  1. Self-Service DRaaS - hier stellt Ihnen der Anbieter alle erforderlichen Werkzeuge zur Verfügung, um die Replikate Ihrer Produktionsumgebung in Vorbereitung auf ein Desaster zusammenzustellen, zu überwachen und durchzuführen. Das IT-Team Ihres Unternehmens kommt bei der Durchführung der Wiederherstellungsverfahren ins Spiel, wenn der Ausfall auftritt.
  2. Assisted DRaaS - Obwohl dies eine sehr selten angebotene Option ist, wird der Anbieter Ihnen hierbei nicht nur die benötigten Ressourcen bereitstellen, sondern auch als vertrauenswürdiger Assistent fungieren, der Ihnen bei der Implementierung, dem Testen und der Verwaltung Ihres Recovery-Plans hilft. Im Falle eines Desasters wird der Anbieter helfen, alle Ressourcenlücken zu schließen, um sicherzustellen, dass Ihr Unternehmen seine definierten Recovery Objectives erreicht.
  3. Managed DRaaS - Da die gesamte Verantwortung beim Anbieter liegt, ist dies die am häufigsten praktizierte Form von anbieterbasierten Wiederherstellungsoptionen. Der Dienstanbieter verwaltet alle Aspekte der Wiederherstellung, wobei die Erfüllung Ihrer Wiederherstellungsstrategie oberste Priorität hat.

Vorsichtsmaßnahmen, Haftungsausschlüsse und Schlussgedanken

DRaaS bietet einem Unternehmen die erforderliche Ausfallsicherheit, da es die kritische Infrastruktur und Daten kontinuierlich in einen hoch verfügbaren Cloud-Dienst spiegelt, sodass die Wiederherstellung des Unternehmens innerhalb weniger Minuten nach einem Ausfall möglich ist. Einige Anbieter bieten auch eine konstante Recovery-Management-Analyse, um die DR-Bereitschaft von Unternehmen zu bewerten und zu validieren. Einen Haken gibt es hier aber: Wie bei jedem ausgelagerten Engagement, wird vom Anbieter ein gewisses Maß an Vertrauen und Sicherheit verlangt.

Das Hosting des Anbieters sollte nicht nur sicher sein, sondern sollte auch in der Lage sein, die erforderlichen RTOs (Recovery Time Objectives) und RPOs (Recovery Point Objectives) zu erreichen, über die wir am Anfang dieses Artikels gesprochen haben. Dies ist ein Unterfangen, das höchste Aufmerksamkeit erfordert, und daher ist das Unternehmen verpflichtet, die erforderliche Sorgfaltspflicht walten zu lassen. Dies kann durch eine gründliche vergleichende Bewertung der Anbieter erfolgen, um sicherzustellen, dass sie einhalten, was sie versprechen.

Letztendlich glaube ich wirklich, dass mit einer zuverlässigen, schnellen, kostengünstigen und kohärenten Wiederherstellungsoption, die DRaaS ist, dies die beste Option für Unternehmen ist.

Über die Autorin

Anushree ist Technologieberaterin bei PwC Australia und auch eine aktive Bloggerin über Informationssicherheit bei PagePotato. Anushree verfügt über mehr als 6 Jahre Erfahrung im Bereich Informationssicherheitsmanagement und risikobasierter Beratungsdienste, nachdem sie zuvor mit Unternehmen wie Deloitte und Adobe zusammengearbeitet hat. Sie ist eine CISA-zertifizierte Fachfrau mit einem Management-Abschluss in Software and Systems der Symbiosis International University. Jenseits der Arbeit praktiziert Anushree Yoga und Tanz und träumt davon, eine etablierte Choreografin zu sein.

Berufsverband: Als einer der Big Four Auditors ist PWC einer der größten multinationalen Wirtschaftsprüfungsgesellschaften. PWC hilft Unternehmen und Einzelpersonen mit seinen kompetenten Dienstleistungen in den Bereichen Wirtschaftsprüfung, Versicherung, Beratung, Steuer- und Rechtsberatung, den gewünschten Wert zu schaffen.

Blogger-Vereinigung: Mit wachsender Bedeutung von Inhalten, um den unternehmensweiten Erfolg zu erreichen, dient PagePotato als Content-Marketer, um die Ziele der digitalen Marketingstrategie seiner Kunden zu leiten, auszuführen und zu unterstützen. Die Dienstleistungen erstrecken sich auch auf die Erstellung und Verbreitung von Inhalten, Webdesign und Websicherheits-Diensten.

Hinweis: Dieser Blog Artikel wurde von einer Gastautorin geschrieben, um unseren Lesern eine breitere Vielfalt an Inhalten anzubieten. Die in diesem Gastautorenartikel ausgedrückten Meinungen sind nur die der Autorin und geben nicht unbedingt die von GlobalSign wieder.

Artikel teilen