搜尋此網誌

2008年8月27日 星期三

美猴王也懂資訊安全? - 從功夫之王看異地備援

這兩天看了一部電影,片名為「功夫之王」,由成龍與李連杰兩大巨星主演。故事講的是美猴王孫悟空的一段遭遇,至於電影拍得好不好,那可就真的是見仁見智了。美猴王最大的本事,當然不是在佛祖的手指上灑尿,而是只要從身上拔一根毛,一吹氣,就可以產生另一個美猴王的分身。故事中的美猴王,在遇難後,除了靠預言中的肉腳老外(??)來解救自己外,另外一個幫助很大的角色其實就是自己的分身。這樣的概念其實跟所謂的異地備援很接近。

首先,美猴王的分身可以與本尊同時存在並與敵人進行對打的動作,而且也可以獨立運作。片子中,分身有兩次的表現,一次是本尊摸魚不想打了,另外一次則是本尊已經被封印而無法行動時。在第二次的過程中,分身甚至與本尊相隔了十萬八千里。當然,分身所具備的能力跟本尊大致上屬性相同,只是能力稍微遜色了一些。不過有一些特殊能力,分身就無法具備了(例如分身就沒有辦法再產生分身)。對異地備援而言,最主要是希望當本尊(Primary Site)無法提供服務時,分身(Remote Site)能夠接續運作並持續提供服務。當然,因為成本的考量,分身的環境與設備通常無法與本尊相提並論,但是基本上重要的功能都要能夠正確無誤的加以執行才可。至於兩者之間應該分隔多遠,就看你想要避免的是甚麼樣的危害(水災、地震還是核彈爆炸?)而定。當然,地點的選擇還有其他更多的條件須要考慮,前述的條件通常只是提供最小分隔距離的要求。除了這些要求,最重要的是兩者必須擁有相同的資料(記憶)與目標(想法),這樣才能對同一件事情有相同的處理結果。而這部分,就必須依靠備份策略來達成。

我看過有些中文的網頁把異地備援翻譯成Remote Backup,基本上這樣的名詞我個人認為是比較不適當的。Remote Backup可以算是異地備援的備份策略之一,但是並不是所有的異地備援都必須使用Remote Backup的策略。異地備援屬於災難復原(DR, Disaster Recovery)的一部分,也跟目前正流行的營運持續計劃(BCP, Business Continuity Plan)有關。一般異地備援我們可以分為Mirrored Site、Hot Site、Warm Site與Cold Site四種,越前面的方式在接手時所需要的前置作業時間就越少,但是相對建置或維護成本也會爆增。這些機房與設備可以由公司自行建置,也可以由服務供應商提供。除了上述四種之外,另外還有一種Mobile Site(美猴王的分身即屬之)的形式,也就是把環境建置於一個可自由移動的裝置上(通常是大型卡車),以方便逃離危險。至於選擇哪一種方式,通常是與RTO (Recovery Time Objective)有關。

而備份策略大致上有Distributed Processing、Mirroring、Shadowing與Media Archives等方式。Distributed Processing可以讓兩邊的系統同時使用兩地的資料,不但具有備援的效果,更有負載平衡的好處,相對複雜度也比其他技術高了許多。Mirroring與Shadowing可以提供幾乎同步的資料備份,但是在接手時,Shadowing的方式需要額外的重建時間。而Media Archives則須要透過人工的方式將備份資料送到分身才行。這些備份策略的選定,通常由RPO (Recovery Point Objective)決定。在同一個環境下我們可以針對不同RPO需求的資料使用不同的備份策略,以減少所花費的資源。

除了「功夫之王」之外,多年前州長阿諾也演過一部電影─「魔鬼複製人」,同樣也討論到分身這個議題。不過阿諾的分身除了擁有相同的記憶,更重要的是能力並不會減弱。但是他有一個最嚴重的缺點,就是分身與本尊之間擁有各自獨立的思想,所以並不保證能夠成為稱職的備援方案。當然,在電影中阿諾與其分身自是有志一同,共同解決了他們的敵人,但是解決完之後兩者還是必須分道揚鑣。因為他們其實是兩個獨立的個體,只是說是剛好"很像"而已。

現實生活中,當然我們沒辦法拔一根毛就產生一個備援方案,所以我們必須謹慎的規劃所需的備援計畫。所謂的謹慎,其實也不過就是在最經濟實惠的狀況下,提供滿足公司資安需求的解決方案。

參考資料,資料來源為CISSP教材:
AlternativeDescriptionReadinessCost
Multiple processing / mirrored SiteFull redundant identical equipment & dataHighest level of availability & readinessHighest
Mobile Site / TrailerDesigned, self-contained IT & communicationsVariable drive time; load data & test systemsHigh
Hot siteFully provisioned IT & office, HVAC, infrastructure, & communicationsShort time to load data, test system. May be yours or vender staffHigh
Warm sitePartially IT equipped, some office, data & voice, infrastructureDays or weeks. Need equipment, data, communicationsModerate
Cold siteMinimal infrastructure, HVACWeeks or more. Need all IT, office equipment, & communicationsLowest

備份策略
  • Replication
    • Mirroring
      maintains a real-time replica on a second disk, so its RPO affords little or no data loss
    • Shadowing
      maintains a replica of the database or file system by continuously recording changes into a log then applying changes to the replicated server. With shadowing, RPO is the last change transmitted and received and there is rebuild time.
  • Distributed Processing
  • Electronic Vaulting
    data is backed up to remote drives located off-site over high quality communication links. Electronic vaulting makes copies of files as they are modified and periodically transmits them to an offsite backup site. The transmission does not happen in real time, but is carried out in batches.
  • Remote Journaling
    Electronic Vaulting may be supplemented with remote journaling. Remote journals, transactions or journal files are periodically transmitted to the remote drives located off-site. Journaling is efficient for database recovery.
  • Media Archives
  • Storage Area Network

沒有留言:

張貼留言

About