Dla zachowania bezpieczeństwa, dostępności, skalowalności i integralności archiwum po cyfryzacji, stosujemy wybrane narzędzia i technologie jak niżej. Opisane punkty to dobre praktyki, rekomendacje i zalecenia. Tworzenie cyfrowego archiwum należy zawsze zaprojektować przed, już na etapie jego cyfryzacji.
Zasoby fizyczne lub i chmurowe
Archiwa po cyfryzacji można przechowywać na zasobach dyskowych (macierze dyskowe), oraz na zasobach taśmowych. Każde z nich podlega swoim ograniczeniom ale też posiada własne zalety.
Do dyspozycji mamy:
- Zasoby dyskowe (dyski talerzowe HDD i Solid-State Drive)
- Taśmy
- Zasoby serwerowe i sieciowe
- Chmura publiczna i prywatna
Serwery, sieć, storage
To serwery, przełączniki, routery służące zarządzaniu i kontroli środowiska przechowującym i udostępniającym dane. Jednocześnie te zasoby powinny umożliwiać kontrolę dostępu i zapewniać bezpieczeństwo przed ingerencją z zewnątrz (ataki na systemy informatyczne, wynoszenie danych poufnych lub zabezpieczonych prawami autorskimi) dzięki rozwiązaniom sieciowym klasy UTM i NGFW. Sieć powinna być wydajna i umożliwiać dostęp do przewidywalnej ilości użytkowników. Jednocześnie być zabezpieczona przed ingerencją z zewnątrz. To sieć rozległa WAN, łącząca np. różne punkty przetwarzania danych, sieć LAN (np. sieć wewnętrzna w czytelni, sieć w serwerowni), sieci bezprzewodowe, oraz łącza dostępowe do punktów dystrybucyjnych i ośrodków zapasowych.
Zarówno sieć i serwery należy projektować z lekkim nadmiarem, ponieważ ich skalowanie jest kosztowne, wymaga inwestycji CAPEX i nieraz jest kłopotliwe.
Zasoby fizyczne należy umiejscowić w bezpiecznej serwerowni z kontrolą dostępu, zapewnionym chłodzeniem, ochroną przeciw pożarową i zapasową linią energetyczną/agregatami/bateriami. Budowa własnej serwerowni jest bardzo kosztowna i nieopłacalna w małym wymiarze. Rozwiązaniem są ośrodki przetwarzania danych – Data Center, gdzie można bezpiecznie utrzymywać swoje systemy na poziomie bezpieczeństwa i dostępności, który najczęściej nie jest opłacalny do wykonania we własnym zakresie.
Zasoby dyskowe to macierze dyskowe lub dyski w serwerach.
W zależności od tego jakie archiwa przechowujemy i (co istotniejsze) jak je udostępniamy i używamy – taki należy zaprojektować system dyskowy. Dyski są szybkie i bardzo szybkie (SSD), łatwo wymienialne w razie awarii lub upgrade, podlegają kontroli stanu działania na bieżąco. Umożliwiają łatwy dostęp. Służą danym „gorącym”, czyli tym, które są używane na bieżąco.
Taśmy
Obecnie najczęściej używane standardy to LTO5 (pojemność 3TB), nowszy LTO6 (pojemność 6,25 TB), oraz najnowszy: LTO7 (pojemność 15 TB). Prędkość LTO6 (obecnie najbardziej powszechnej generacji) to maksymalnie 400MB/s, ale nie jest osiągana stale – zależy od napędu, rodzaju plików, sposobu kompresji, środowiska serwerowego. Napędy taśmowe nadają się do archiwizacji danych zgromadzonych na dyskach. Z powodu ich wad nadają się do danych „zimnych” – nie używanych obecnie lub backupowanych. Podlegają degradacji jakości z upływem czasu.
Chmura
To zasoby serwerowe, dyskowe, sieciowe oraz systemowe w postaci wirtualnej. Za pomocą chmury można odwzorować środowisko fizyczne, lecz dodając do niego wysoką skalowalność i dostępność (np. awaria zasilania nie ma wpływu na chmurę publiczną, można bardzo szybko dodać brakujący storage czy moc obliczeniową). Wyróżniamy modele chmur (cloud) publiczną, prywatną, hybrydową oraz multicloud.
Chmura publiczna jest najbardziej rozpoznawalna i powszechna. Zasoby tego modelu należą do zewnętrznego dostawcy i są dostępne przez łącze internetowe; są współdzielone pomiędzy pozostałymi klientami tego dostawcy w tym modelu. Wirtualizator dba o to, aby te systemy się nie przenikały w żaden sposób. Jej cechą jest bardzo wysoka skalowalność i całkowity brak odpowiedzialności za infrastrukturę po stronie użytkownika. Klient korzysta tylko z zasobów wykreowanych jako chmura (moc obliczeniowa, storage, licencje, platformy).
Cloud prywatny to chmura na własnych zasobach serwerowych lub wynajętych, lecz całkowicie wyodrębnionych od reszty środowiska. Ma wady ograniczonej skalowalności w porównaniu do chmury publicznej, nadaje się do danych wrażliwych oraz tych, które nie mogą opuszczać firmy. Korzyściami tego modelu są: większa elastyczność i większe bezpieczeństwo.
Cloud hybrydowy to połączenie środowiska publicznego (np. Netia Compute) ze środowiskiem chmury prywatnej – albo u innego dostawcy albo na własnych serwerach. Dzięki temu dane, które nie mogą opuszczać firmy/kraju/środowiska mogą być przetwarzane w chmurze prywatnej, a reszta aplikacji (np. dla kontrahentów) jest umiejscowiona na zasobach chmury publicznej. Chmura to bardzo dobry sposób na udostępnianie archiwum w Internecie. Jej zasoby są stale dostępne i skalowalne wraz z przyrostem danych i użytkowników. Poprzez aplikacje chmurowe można dystrybuować zasoby archiwum w postaci do odczytu np. skanów czy wyszukiwanie baz danych. Do baz danych udostępnionych publicznie należy stosować zaawansowane rozwiązania bezpieczeństwa, jak chociażby klasy WAF. Web Application Firewall chroni szczególnie aplikacje chmurowe i bazy danych przed, atakiem na bazę w celu jej zablokowania, zniszczenia czy wykradzenia danych.
Sieć - dostęp z zewnątrz
Aby nasze cyfrowe archiwum udostępnić w formie ograniczonej, do zapytań, kwerend lub w pełni do pobrania to potrzebujemy zorganizować odpowiednie zasoby sieciowe. Jeżeli zasoby są umiejscowione naszej serwerowni to dobrym rozwiązaniem jest SAN, czyli sieć pamięci masowej. Jest to wyodrębniona przestrzeń gwarantująca serwerom szybki i bezpieczny dostęp do plików na urządzeniach. Sieć SAN jest łatwo skalowalna i zcentralizowana. SAN na etapie projektowania powinien mieć zapewnioną integralność, poufność, dostępność i możliwość zarządzania. SAN jest umiejscowione wewnątrz infrastruktury, jednak przy wszechobecnej sieci WAN i codziennych atakach na systemy informatyczne, jest ona również zagrożona – przy uzyskaniu przez napastnika dostępu do sieci SAN (do serwera bądź switcha) z zewnątrz istnieje niebezpieczeństwo przerwania ciągłości działania aplikacji i utraty danych lub utraty ich poufności. W tym celu stosuje się systemy ochrony zarówno wykrywania włamań, naruszeń integralności, wycieków danych, korelacji zdarzeń z incydentów i raportów podsystemów sieciowych. SAN pozwala na przetwarzanie danych pomiędzy serwerami, które z kolei te dane udostępniają za pomocą baz danych dla odbiorców.
Streaming treści audio-wideo
Nadchodzi moment, kiedy mamy już zrobione zasoby obliczeniowe, sieć, bezpieczeństwo i teraz chcemy pokazać je światu. Możliwości jest bardzo wiele. Musimy zaprojektować system w taki sposób aby było możliwe udostępnianie zasobów wielu użytkownikom na raz w żądanej jakości i przy jednoczesnych ale nie jednakowych zapytaniach. Np. jeżeli odbiorca zechce odtworzyć film i chwilę po nim ten sam film odtwarza kolejny odbiorca, to dla nich to będą 2 osobne indywidualne kanały strumienia danych. Pod to musimy zaprojektować odpowiednie macierze, które dają nam bardzo dużo operacji wejścia/wyjścia na sekundę. Zapewnić im redundancję i niezależność geograficzną. Dzięki temu unikniemy przestojów w odtwarzaniu, opóźnień i utraty łączności.
Brak komentarzy:
Prześlij komentarz