Bezpieczeństwo danych w chmurze publicznej Amazon Web Services

To mój pierwszy artykuł z serii, w której podzielę się z Wami ciekawymi rozwiązaniami związanymi z ochroną danych, które zaprojektowałem. Część z nich również samodzielnie wdrażałem. Na początek, zaprezentuję projekt uruchomienia ochrony danych w chmurze publicznej AWS, wskażę zalety takiego rozwiązania oraz podpowiem na co zwrócić uwagę, by koszty były akceptowalne.

Czy zabezpieczanie danych w chmurze jest konieczne?

Niektórzy twierdzą, że dane przechowywane w chmurze publicznej (np. Azure lub AWS) są odpowiednio chronione przez dostawcę usługi i nie ma konieczności wykonywania kopii tych danych.

Jednak jest to błędne podejście, o czym zresztą informują dostawcy chmury. Amazon w Shared Responsibility Model wskazuje gdzie zaczyna i kończy się ich odpowiedzialność.

Dane znajdujące się na górze stosu rozwiązań IT są własnością usługobiorcy i to on odpowiada za ich odpowiednie zabezpieczenie. Na samym końcu to właśnie on poniesie konsekwencje ewentualnej utraty cennych danych!

Jakie były oczekiwania klienta?

Jeden z naszych klientów posiada środowisko on-premise, chronione oprogramowaniem Commvault, zabezpieczającym wszystkie jego najważniejsze systemy produkcyjne. Już na etapie wyboru konkretnego rozwiązania klient brał pod uwagę możliwość uruchomienia dodatkowych funkcjonalności w przyszłości. Nie bez znaczenia pozostawał zakres wsparcia systemów, baz i aplikacji oraz łatwość użytkowania całego rozwiązania.

Klient, dotychczas zadowolony z rozwiązania Commvault, zdecydował po roku sprawdzić możliwości oprogramowania w zakresie ochrony posiadanej infrastruktury (IAAS) w chmurze AWS.

  Klient zdefiniował następujące wymagania wobec systemu:

  • Zabezpieczenie całych maszyn wirtualnych z możliwością odtwarzania pojedynczych plików z wnętrza tych maszyn
  • Bezpieczna komunikacja między środowiskiem on-premise i chmurą (szyfrowanie, autentykacja)
  • Replikacja danych z chmury do środowiska on-premise na wypadek awarii w AWS
  • Minimalizacja kosztów rozwiązania

Nice to have:

  • Wykorzystanie Commvault jako jednego, zintegrowanego systemu do zarządzania całością systemu kopii on-premise oraz w chmurze
  • Możliwość odtworzenia danych z chmury w środowisku on-premise lub w innej chmurze publicznej

Jakie rozwiązanie zaproponowaliśmy?

Zweryfikowaliśmy, że Commvault spełnia wymagania klienta. Najbardziej optymalnym podejściem było uruchomienie serwera Media Agent (składującego kopie danych) z rolą proxy serwera backupu jako maszyny wirtualnej w chmurze AWS, która jest sterowana przez serwer zarządzający CommServe, uruchomiony w środowisku on-premise klienta. Skonfigurowaliśmy oprogramowanie tak, by systemy on-premise’owe (serwer zarządzający CommServe oraz serwery Media Agent) nawiązywały komunikację z serwerem Media Agent w AWS na jednym porcie, autentykowały się certyfikatami, a cała komunikacja była szyfrowana.

Wzięliśmy również pod uwagę optymalizację kosztów i dlatego wybraliśmy przestrzeń obiektową S3 Standard dostępną w AWS podłączoną do Media Agent działającego w AWS jako miejsce składowania kopii. Dzięki temu, pierwsza kopia danych jest blisko źródła, co umożliwia wydajne wykonywanie backupu oraz odtwarzania danych w przypadku awarii całej maszyny wirtualnej. By zapewnić kopię on-premise uruchomiliśmy również replikację danych z AWS z serwera Media Agent do serwera Media Agent on-premise. Całość przesyłanych danych jest deduplikowana oraz szyfrowana, co zapewnia minimalizację kosztów ruchu wychodzącego oraz bezpieczeństwo danych.

Commvault umożliwia bezpośrednią integrację z AWS, dzięki czemu można w łatwy sposób utworzyć klienta do backupu chmury poprzez podanie access key i secret key oraz dodanie wcześniej wymaganego zestawu uprawnień. Konieczne jest również wyłączenie dwufazowej autentykacji dla samego backupu. Po utworzeniu klienta możemy wybrać instancje maszyn, które chcemy zabezpieczać oraz utworzyć reguły, by wybierać je dynamicznie w momencie uruchamiania zadania backupu. Opcjonalnie możemy również zintegrować się z migawkami sprzętowymi, dostępnymi w AWS.

Co jeszcze daje nam Commvault poza klasycznym odtworzeniem całej maszyny czy wybranych plików? Możemy np. skorzystać z mechanizmów automatycznej konwersji, pozwalającej m.in. na odtwarzanie maszyn z AWS (format AMI) do środowiska on-premise (np. Vmware) lub do Azure.

Bardzo ciekawą, uruchomioną przez nas opcją było zarządzanie uruchamianiem i wyłączaniem serwera Media Agent (składującego kopie) w AWS. Także pod tym względem Commvault udostępnia wiele możliwości. Pozwala w AWS i Azure na sterowanie pracą swoich elementów tak, iż uruchamia serwer backupu przed wykonaniem kopii i wyłącza go po takim zadaniu. Identycznie działa ten mechanizm w przypadku replikacji danych do lub z chmury, a to ogranicza do minimum koszty uruchomienia serwera backupu w chmurze w sposób zautomatyzowany.

Jakie korzyści osiągnął klient?

  • Dwie kopie danych (AWS i on-premise) tworzone z jednego, posiadanego już narzędzia. To daje jedną konsolę do zarządzania, spójne raporty i alery nt. działania rozwiązania i jednocześnie minimalizację kosztów uruchomienia i administracji rozwiązaniem
  • Minimalizacja kosztów poprzez zarządzanie czasem działania serwera backupu w AWS (włączanie tylko na czas wykonania niezbędnych operacji backup i repliki – około 1-2h dziennie)
  • możliwość migracji do, z i między chmurami maszyn wirtualnych – strategie multi-cloud, migration to cloud, migration from cloud

  Warto podkreślić, że osiągnięcie powyższych benefitów było możliwe dzięki wcześniejszej decyzji klienta przy wyborze rozwiązania do backupu. Szersze i perspektywiczne spojrzenie spowodowało, że nie skupił się wyłącznie na bieżących potrzebach, lecz wziął pod uwagę obowiązujące trendy w IT, takie jak chmura czy dyrektywa GDPR. W tym przypadku uruchomienie zabezpieczenia danych w AWS było zadaniem ciekawym, przyjemnym i niezbyt skomplikowanym.