Bundesamt für Sicherheit in der Informationstechnik

M 2.354 Einsatz einer hochverfügbaren SAN-Lösung

Verantwortlich für Initiierung: Behörden-/Unternehmensleitung, IT-Sicherheitsbeauftragter

Verantwortlich für Umsetzung: IT-Sicherheitsbeauftragter, Leiter IT

Haben Systeme und Anwendungen, deren Daten im SAN gespeichert werden sollen, einen sehr hohen Schutzbedarf in Bezug auf die Verfügbarkeit aufzuweisen, so muss der Einsatz einer hochverfügbaren SAN -Lösung in Betracht gezogen werden.

Der Begriff "hochverfügbar" bezeichnet hier eine hohe Widerstandsfähigkeit gegen Schadensereignisse. Hochverfügbare Lösungen werden allgemein auch als "Desaster-tolerant" bezeichnet. Bezogen auf die gespeicherten Daten einer Institution bedeutet dies, dass mithilfe von SAN -Komponenten ein Speichersystem derart aufgebaut wird, dass

  • alle Daten an zwei Standorten vorgehalten werden,
  • die SAN -Komponenten der Speicherlösung an den beiden Standorten gekoppelt, aber nicht abhängig voneinander sind
  • jede einzelne Komponente redundant konfiguriert ist,
  • ein Schadensereignis an einem Standort die Funktionalität der Komponenten am zweiten Standort nicht beeinträchtigt.

Kenngrößen, die anzeigen, ob eine solche Architektur nötig und angemessen ist, sind:

  • Die maximale Wiederanlaufzeit (engl. RTO: Recovery Time Objective) gibt die Zeitspanne an, die vergehen darf, bis nach einem Schadensereignis IT-Systeme wieder in hinreichender Funktionalität zur Unterstützung von Geschäftsprozessen zur Verfügung stehen.
  • Der maximal tolerierbare Datenverlust (engl. RPO: Recovery Point Objective): Aus dem Alter des letzten verfügbaren konsistenten Datenbestandes lässt sich die Menge an "verloren gegangener Arbeit" nach dem Eintritt eines Schadensereignisses bemessen. Der maximal tolerierbare Datenverlust beschreibt im Grunde die Menge oder auch die Komplexität an Arbeit, die mit einem für die Institution tragbaren Aufwand verbunden ist, ohne dass geschäftskritische Verluste zu verzeichnen sind.
  • Das betroffene Umfeld umfasst den räumlichen Umfang des Schadensereignisses. Nur wenn ein Standort mit seinen Systemen außerhalb der Wirkung des Ereignisses liegt, bleibt er nützlich.

SAN -Speicherlösungen sind eine Schlüsseltechnik, um sehr hohe Anforderungen an die Verfügbarkeit der IT zu erfüllen:

  • Sie können bei Erhalt einer leistungsfähigen Kopplung so weit räumlich getrennt werden, dass auch gegen umfassend wirkende Ereignisse Vorsorge möglich ist.
  • Die mögliche leistungsfähige Kopplung kann genutzt werden, um den maximalen Datenverlust zu minimieren oder gänzlich auszuschließen.

Die maximale Ausfallzeit einer Anwendung kann jedoch nur in Teilen durch die Konfiguration der Speicherlösung beeinflusst werden. Da die Ausfallzeit ausschließlich aus Sicht der Anwender gemessen werden darf, hängt sie nicht nur von der Verfügbarkeit der gespeicherten Daten ab, sondern genauso von der Verfügbarkeit der übrigen IT-Infrastruktur (Server, Netz, PCs, ...), die von SAN -Komponenten mit Daten versorgt werden. Des Weiteren sind auch Zeiten bis zur Alarmierung und Rüstzeiten zur Beseitigung der Störung zu betrachten.

Möglichkeit der Konfiguration

Es existieren verschiedene Möglichkeiten, eine Speicherlösung hochverfügbar zu konfigurieren.

Spiegelung durch den Server

Die einfachste Möglichkeit des hochverfügbaren SAN -Einsatzes ist dann gegeben, wenn ein Server, der seine Daten auf einem SAN -Speicher ablegt, an ein zweites, räumlich abgesetztes Speichersystem angeschlossen wird.

Jeder Schreibzugriff des Servers wird auf beiden Speichersystemen durchgeführt. Nachteilig an dieser Lösung ist, dass die Konfiguration und Administration der Instanz "Speicher" auf dem Server stattfindet.

Der Vorteil einer zentralen Speicherlösung, an der auch zentral administriert werden kann, bleibt auf diese Weise ungenutzt. Zudem muss die Verkabelung komplexer angelegt werden, da jeder Server mit beiden Speichersystemen verbunden wird. Vereinfacht dargestellt muss in Ergänzung der Verbindung zwischen Server und Speichersystem eine zweite Leitung von Server direkt zum abgesetzt stationierten zweiten Speichersystem verlegt werden.

Replikation

Replikation kann durch den Server oder durch das Speichersystem erfolgen. Serverbasierte Replikation wird in der Regel über eine eigene Software, die Applikation oder das Betriebssystem realisiert. Allerdings geht dieser Ansatz meistens mit einer hohen Belastung von CPU , Hauptspeicher und Bandbreite einher.

Bei der Replikation durch das Speichersystem werden die Server mit einem Speichersystem verbunden, dieses Speichersystem gleicht seinen Datenbestand komplett oder entsprechend seiner Konfiguration mit einem weiteren Speichersystem an einem abgesetzten Standort ab.

Wenn die Standorte nah genug beieinander liegen, ist synchrone Datenreplikation möglich. "Synchrone Datenreplikation" bedeutet, dass jeder Schreibzugriff des Servers von seiner direkt angeschlossenen Speicherplatte erst dann als fertig gemeldet wird, wenn das zweite, abgesetzte Speichersystem dem ersten Speichersystem das erfolgreiche Schreiben ("Acknowlege") bestätigt hat.

Damit werden Festplattenzugriffe aus Sicht der Anwendung langsamer, da zum einen zwei Plattensysteme schreiben und zum anderen die Signallaufzeit (Latenz) zwischen dem Speichersystem an Standort A und dem an Standort B hinzukommt.

Bei der asynchronen Datenreplikation sorgt besondere Replikationssoftware auf den Speichersystemen dafür, dass das Speichersystem an Standort A seine veränderten Daten regelmäßig an das Speichersystem an Standort B übermittelt. Dies geschieht häufig über IP -Verbindungen. Daher ist die Entfernung zwischen Hauptstandort und Replikationsstandort nicht begrenzt und kann sich sogar über Kontinente hinweg erstrecken.

Damit hat die Anwendung ein ungebremstes Speichersystem zugeordnet. Ein weiterer Vorteil an dieser Stelle ist, dass eine Institution nicht mehr gezwungen ist, die exakt identischen Speichersysteme für die Notfallvorsorge an zwei Orten bereitzuhalten. Am Hauptstandort kommt dann ein hochleistungsfähiges System zum Einsatz. Am zweiten Standort kann dagegen ein günstigeres System installiert werden, sodass dennoch die Hauptaufgaben in einem Notfallszenario gewährleistet werden.

Der Nachteil bei der asynchronen Replikation ist, dass das zweite Speichersystem stets einen älteren, zeitlich versetzten Datenbestand hat. Wie groß der Datenverlust bei Ausfall des primären Systems ist, hängt von der eingesetzten Technik und der Konfiguration der asynchronen Spiegelung ab.

Synchrone Datenreplikation von Speichersystemen ist meist dann sinnvoll, wenn auch redundante Serversysteme bereitstehen, die den Betrieb direkt weiterführen können. Ein Szenario, bei dem an einem Standort das Speichersystem komplett ausfällt, die angeschlossenen Server und Netzkomponenten aber nicht ( z. B. die des SAN s), ist eher selten.

Weitere Informationen zur Replikation finden sich in M 3.92 Grundlegende Begriffe beim Einsatz von Speicherlösungen .

Bei der Planung einer hochverfügbaren Speicherlösung muss zunächst das gesamte Notfallvorsorgekonzept der Institution, zumindest aber der IT-Notfallvorsorgeteil dieses Konzeptes, geprüft werden. Die Verfügbarkeitsanforderungen müssen schriftlich festgelegt werden.

Angepasst an die Anforderungen und die Risikopolitik der Institution ist die Planung einer hochverfügbaren Speicherlösung nur der erste Schritt in Richtung Hochverfügbarkeit. Gleichzeitig muss die Planung der Weiterentwicklung der gesamten IT-Umgebung und der Notfallplanung für die Institution erfolgen.

Eine hochverfügbare Speicherlösung ist nur dann sinnvoll, wenn auch Server für den Wiederanlauf bereitstehen und wenn die Anwender an intakten Arbeitsplätzen über ein funktionierendes Netz auf Anwendungen und Daten zugreifen können.

Es ist zu beachten, dass ein Test- und Konsolidierungssystem ergänzt werden muss. Konfigurationsänderungen und Software-Updates dürfen bei Aufbau einer hochverfügbaren Konfiguration nie direkt am Produktivsystem vorgenommen werden. Von der Institution sind Systeme vorzuhalten, an denen sämtliche Änderungen getestet werden können. Nur so lässt sich sicherstellen, dass der Betrieb nicht durch fehlerhafte Konfiguration, Software oder administrative Eingriffe gefährdet wird.

Hochverfügbarkeitsanbindung über den Einsatz von Speicher-Virtualisierung

Eine hochverfügbare Speicher-Virtualisierung ermöglicht durch ihre Funktionen den Aufbau einer komplett hochverfügbaren Speicherlösung, die in der Lage ist, auf Ausfallszenarien automatisch zu reagieren.

Die Grundlage einer hochverfügbaren Speicher-Virtualisierung stellt die Virtualisierungs-Appliance dar. Sie ermöglicht die zentrale Verwaltung aller Speicherbereiche und wird für eine hochverfügbare Speicherlösung als sogenannter Cluster ausgeführt. Die Verteilung der Cluster und der Storagesysteme erfolgt dabei auf zwei unterschiedliche Brandabschnitte.

Die gewählte Architektur sollte in der Lage sein, zu gewährleisten, dass die Daten immer konsistent auf beiden Storagesystemen vorhanden sind (Spiegelung). Die Speicher-Virtualisierungslösung ist wiederum in sich redundant aufgebaut, und bei Ausfall eines Speichersystems arbeiten die Appliances weiter.

Die Funktionalität einer solch hochverfügbaren Speicherlösung mit Speicher-Virtualisierung sollte im Rahmen von Tests und Übungen im Rahmen des Notfallmanagements (siehe Baustein B 1.3 Notfallmanagement ) getestet und geübt werden, um sicherzustellen, dass sie auch in Notfällen die geforderte Leistung erbringt. Bei den Tests und Übungen ist das Risiko des Datenverlusts durch die Tests und Übungen selbst besonders zu beachten. Die Tests und Übungen sind entsprechend auszugestalten, damit es nicht durch sie zu einem Schaden für die Daten der Institution kommt.

Prüffragen:

  • Sind die Verfügbarkeitsanforderungen an die Speicherlösung schriftlich festgehalten?

  • Entsprechen die Replikationsmechanismen den Verfügbarkeitsanforderungen?

  • Wird die hochverfügbare Konfiguration der Speicherlösung den Verfügbarkeitsanforderungen gerecht?

  • Ist ein Test- und Konsolidierungssystem vorhanden?

Stand: 14. EL Stand 2014