Belang van snelle recovery wordt te weinig onderkend

Orange Cyberdefense

Orange Cyberdefense

Sinds het begin van de coronacrisis is het aantal cyberaanvallen verdubbeld, terwijl veel medewerkers noodgedwongen thuiswerken, buiten het relatief veilige bedrijfsnetwerk. Die omstandigheden vormen een aanknopingspunt voor het gespreksonderwerp van vandaag, maar natuurlijk zijn er nog ook andere desastreuze zaken die impact kunnen hebben op de bedrijfscontinuïteit. Bijvoorbeeld zoiets banaals als stroomuitval. Welke vorm het ook aanneemt, vroeg of laat wordt een organisatie geconfronteerd met downtime: “niet óf, maar wanneer”. Ongeacht de aard van de ‘disaster’ is de doelstelling van De Meyer (Business Developer) en Caluwaerts (Solution Architect) om “de gap tussen downtime en het herstellen van functionaliteit zo kort mogelijk te houden”, zoals de heren het bondig samenvatten.

Essentieel voor het beperken van downtime is een business continuity plan oftewel in goed Nederlands een bedrijfscontinuïteitsplan. Om dat op te stellen is inbreng nodig van meer organisatieonderdelen dan IT alleen. “Recovery blijft vaak in de kelder van IT”, aldus De Meyer en Caluwaerts, maar het heeft impact op de hele business. Het is dan ook noodzakelijk dat die het belang onderschrijven. Als het bij IT gaat om disaster recovery is techniek logischerwijs het onderwerp van gesprek (bijvoorbeeld over het inregelen van replicatie naar een andere locatie), maar daarmee beginnen, betekent dat je op de zaken vooruitloopt.

Analyse als uitgangspunt

Orange Cyberdefense

De Meyer en Caluwaerts zoeken dan ook aansluiting bij andere organisatieonderdelen, om met een door Orange Cyberdefense uitgewerkte toolkit de bestaande situatie van een organisatie in kaart te brengen. Met behulp van zogenaamde BCP en DRP Maturity Scorecards op basis van ISO-standaarden 22301 en 27031 kan een organisatie zo inzicht krijgen waar deze staat op het vlak van paraatheid in geval van een acuut en grootschalig probleem. Een business impact analyse brengt vervolgens duidelijkheid over wat de impact hiervan zou zijn op de applicaties en verschillende onderdelen van de organisatie. Door die te rangschikken op basis van hoe kritiek ze zijn voor de voortgang van de business, ontstaat een prioritering voor herstel na een ramp; in een disaster recovery plan kan per applicatie worden bepaald wat het minimum aan recovery tijd is (RTO) en hoeveel dataverlies per toepassing acceptabel is (RPO). Deze analytische fase is waar Orange Cyberdefense Belgium zich echt in onderscheidt, aldus De Meyer en Caluwaerts. “We kunnen deze analyse uitvoeren in een fractie van de tijd die concurrenten nodig hebben. Dat moet ook, want indien je te lang bezig bent met een te lang rapport, dan is het niet meer actueel wanneer je het af hebt.”

Het buikgevoel eruit

Met de analyse eenmaal scherp voor ogen, is het zaak om het gesprek met de vertegenwoordigers van de organisatie aan te gaan: hoewel elke onderneming natuurlijk het liefst geen dataverlies en geen recovery tijd heeft in geval van een storing, is dat vanuit kostenoogpunt zelden rendabel. Door een uitsplitsing per toepassing te maken kan een redelijke balans worden gevonden, al blijft een objectieve blik van buitenaf hier waardevol: een klant die veel heeft geïnvesteerd in een mailsysteem ziet dat initieel misschien als topprioriteit, maar voor de business continuity is het allicht eerder een tier-3 dan een tier-0 applicatie. Zoals Caluwaerts het stelt, “wij willen het buikgevoel eruit halen”.

Hierbij speelt Orange Cyberdefense een adviserende rol. “We proberen het te vereenvoudigen en aanschouwbaar te maken,” stelt De Meyer. We willen de discussie op gang brengen, tools aanreiken en een roadmap geven, maar uiteindelijk is het aan de klant zelf om te kiezen voor de oplossing die het beste bij hem past.” Orange Cyberdefense begeleidt hierin, brengt de juiste mensen samen en “helpt de IT-afdeling een zo verantwoord mogelijk plaatje neer te leggen voor de business”, maar het bedrijf weet uiteindelijk zelf het beste welke toepassingen kritiek zijn.

Replicatie opties

Doel voor Orange Cyberdefense is dan ook niet om een maximale orderportefeuille binnen te slepen in opvolging van het adviestraject: “Als we 12 projecten op een roadmap zetten, kan het zijn dat we er daar 7 niet zelf van gaan doen”, aldus De Meyer. In plaats daarvan focust het bedrijf op de zaken waarin het gespecialiseerd is, zoals het realiseren van failover datacenters. Daarvoor werkt het met Nutanix, dat duidelijke voordelen biedt op het vlak van replicatie naar een tweede locatie. Dat kan een tweede datacenter zijn, maar ook in de cloud, met behulp van DRaaS: disaster recovery as a service.

Replicatie – essentieel om een tweede locatie te hebben die het kan overpakken wanneer de primaire site eruit ligt – is een uitdaging bij een traditionele infrastructuur, waarin applicaties, servers en storage aparte lagen vormen, eventueel met virtualisatie er nog tussen. Zeker voor relatief kleine teams is het zeer omslachtig om zo’n structuur te dupliceren en te synchroniseren, logisch als je bedenkt dat al die elementen moeten worden voorzien van updates en onafhankelijk van elkaar kunnen veranderen. Binnen de Nutanix infrastructuur is het overzichtelijker: daar hoef je alleen rekening te houden met synchronisatie van applicaties, die draaien op een hypervisor naar keuze. De onderliggende techniek is aan het oog onttrokken, maar wel naadloos gekoppeld – synchroniseren van applicaties en hun data is daardoor geen enkel probleem, iets wat met een traditionele infrastructuur hoofdbrekens kost.

Ook op het vlak van security waarderen De Meyer en Caluwaerts de benadering van Nutanix, met end to end encryption en ingebakken netwerksegmentatie (Nutanix Flow), en standaard multi-factor authenticatie en role-based access management.

Hoe synchroon moet het?

Een ander sterk punt van Nutanix replicatie is dat deze meerdere vormen van synchronisatie ondersteunt, die per applicatie kunnen worden ingezet. Asynchroon, nearsync en sync kunnen zo worden ingezet al naar gelang het belang van de toepassing. Zoals de mannen van Orange Cyberdefense het verwoorden: “de finale architectuur is een , afgestemd op kostprijs, geografische- en technische limitaties in lijn met de business-behoeften.” .

Naast de mogelijkheid replicatie tussen datacenters te realiseren, levert Nutanix met Xi Leap ook het genoemde DRaaS. Vooralsnog alleen asynchroon, maar met de juiste inrichting kan dat in veel gevallen prima toereikend zijn. De Meyer haalt als voorbeeld een grote Belgische klant aan, die al langer naar tevredenheid gebruik maakt van Nutanix infrastructuur, maar dankzij een overstap naar Xi Leap, de DRaaS-oplossing van Nutanix, zijn tweede datacenter kan opdoeken. Via deze nieuwe Xi Leap implementatie haalt de klant de beoogde SLA’s en bespaart in dezelfde beweging op kost en resources. Bovendien maakt deze oplossing het mogelijk om test recovery plans uit te voeren in een geïsoleerde bubbel.

Eenvoud en snelheid

Waar Nutanix nog een voordeel biedt, is op het vlak van snelheid. Als alles goed is ingeregeld, is een failover naar de tweede locatie in geval van downtime op de primaire site een kwestie van een klik in de interface. Deze single click disaster recovery is “veel eenvoudiger dan bijvoorbeeld Site Recovery Manager, waar je praktisch een studie voor nodig hebt”, aldus Caluwaerts. Naast eenvoud maakt single click recovery ook testen tot haalbare aangelegenheid, vult De Meyer aan: “Disaster recovery zonder testen is waardeloos, maar doorgaans wil niemand dit eigenlijk doen, zeker niet als het gaat om kritieke diensten – daar blijft men liever vanaf.” Hieraan gerelateerd: planned failover is dankzij het Nutanix-platform eenvoudig te realiseren. En na herstel van de primaire locatie is het omdraaien van de synchronisatie net zo simpel, evenals het teruggaan naar de beginparameters wanneer alles weer in sync is.

Die eenvoud van de Nutanix oplossingen – Caluwaerts en De Meyer zijn ook enthousiast over andere Nutanix toepassingen, zoals Frame, een SaaS-gebaseerde VDI-oplossing – kan rekenen op waardering bij de klanten. Van IT-afdelingen wordt steeds meer verwacht op het vlak van oplossingen en kennis; voor complexe applicaties moet daardoor veelal externe expertise worden ingehuurd, terwijl de visie van Nutanix het toelaat dat deze gewoon in-house beheerd kunnen worden.

Voor iedereen van belang

Gevraagd naar vanaf welke omvang een bedrijf zou moeten gaan nadenken over disaster recovery met meerdere locaties is het antwoord van De Meyer en Caluwaerts : “Het heeft weinig met afmetingen te maken, als de data niet meer beschikbaar is, neemt de overlevingskans voor bedrijven sterk af. BCP en disaster recovery zou bij iedereen top of mind moeten zijn. Voor een bouwbedrijf is het net zo kritisch als voor een bank.”