Pobieranie prezentacji. Proszę czekać

Pobieranie prezentacji. Proszę czekać

Bezpieczeństwo sieci i odtwarzanie po awarii dr inż. Maciej Miłostan Instytut Informatyki, Politechnika Poznańska dr inż. Maciej Miłostan Instytut Informatyki,

Podobne prezentacje


Prezentacja na temat: "Bezpieczeństwo sieci i odtwarzanie po awarii dr inż. Maciej Miłostan Instytut Informatyki, Politechnika Poznańska dr inż. Maciej Miłostan Instytut Informatyki,"— Zapis prezentacji:

1 Bezpieczeństwo sieci i odtwarzanie po awarii dr inż. Maciej Miłostan Instytut Informatyki, Politechnika Poznańska dr inż. Maciej Miłostan Instytut Informatyki, Politechnika Poznańska

2 BEZPIECZEŃSTWO SIECI Czyli jak chronić sieć przed nieautoryzowanym dostępem

3 Internet a intranet Internet = źódło informacji Internet = źródło zagrożeń dla użytkowników intranetu Udostępnianie zasobów i swoboda komunikacji Ochrona sieci przed agresorami i intruzami Internet = źódło informacji Internet = źródło zagrożeń dla użytkowników intranetu Udostępnianie zasobów i swoboda komunikacji Ochrona sieci przed agresorami i intruzami

4 Struktura sieci Połączenie ze światem zewnętrznym, czyli Internetem Potrzeby użytkowników, bezpieczeństwo danych a struktura sieci Podział sieci wewnętrznej na segmenty Połączenie ze światem zewnętrznym, czyli Internetem Potrzeby użytkowników, bezpieczeństwo danych a struktura sieci Podział sieci wewnętrznej na segmenty

5 Zapora ogniowa (firewall) Minimalizacja zagrożenia z zewnątrz Personalizacja (na poziomie komputera) zasad dostępu Ochrona przed niektórymi wirusami Brak ochrony przed zagrożeniami z wnętrza Intranetu Podatne na awarie (dotyczy rozwiązań programowych) Minimalizacja zagrożenia z zewnątrz Personalizacja (na poziomie komputera) zasad dostępu Ochrona przed niektórymi wirusami Brak ochrony przed zagrożeniami z wnętrza Intranetu Podatne na awarie (dotyczy rozwiązań programowych)

6 Reguły na zaporach sieciowych (firewall) Protokół Kierunek komunikacji Stan połączenia Stanowe Bezstanowe Filtracja na poziomie pakietów Filtracja na poziomie sesji Liczba połączeń itp. Protokół Kierunek komunikacji Stan połączenia Stanowe Bezstanowe Filtracja na poziomie pakietów Filtracja na poziomie sesji Liczba połączeń itp.

7 Przed i po awarii Statystyki ruchu

8 Jedna zapora czy dwie Internet DMZ

9 Personalizacja dostępu Użytkownik – w zasadzie grupy użytkowników (Problem: użytkownik może statycznie ustawić cudzy adres) Adres IP DHCP i adres fizyczny Użytkownik – w zasadzie grupy użytkowników (Problem: użytkownik może statycznie ustawić cudzy adres) Adres IP DHCP i adres fizyczny

10 IP + MAC Personalizacja ustawień zapory ogniowej Możliwość zlokalizowania użytkownika Możliwość wyłączenia portu, do którego wpięty jest komputer użytkownika Personalizacja ustawień zapory ogniowej Możliwość zlokalizowania użytkownika Możliwość wyłączenia portu, do którego wpięty jest komputer użytkownika Mary Bob

11 IEEE 802.1X Protokół uwierzytelniania w sieciach LAN: bezprzewodowych przewodowych Protokół uwierzytelniania w sieciach LAN: bezprzewodowych przewodowych ftp://ftp.dlink.it/FAQs/802.1x.pdf Sys. op. wspierający ten standard

12 802.1x Standard ten definiuje kontrolę dostępu opartą na modelu klient- serwer wraz z protokołami uwierzytelniania uniemożliwiającymi dostęp do sieci nieautoryzowanym urządzeniom za pośrednictwem publicznie dostępnych portów. Serwer uwierzytelniania przeprowadza uwierzytelnianie każdego klient, który podłącza się do sieci zanim zaoferuje mu jakąkolwiek usługę.

13 IEEE 802.1X Bazujące na portach Port na przełączniku aktywowany dopiero po uwierzytelnieniu Bazujące na adresach fizycznych Wielu użytkowników może używać tego samego portu jednocześnie i istnieje możliwość ograniczenia liczby adresów MAC, które się komunikują przy jego użyciu Bazujące na portach Port na przełączniku aktywowany dopiero po uwierzytelnieniu Bazujące na adresach fizycznych Wielu użytkowników może używać tego samego portu jednocześnie i istnieje możliwość ograniczenia liczby adresów MAC, które się komunikują przy jego użyciu

14 802.1x - definicje Adres multikastowy dla protokołu EAPOL (Extensible Authentication Protocol over LAN), czyli tzw. Port Access Entity (PAE) Umożliwia przełącznikom rozpoznawanie właściwych pakietów Adres multikastowy dla protokołu EAPOL (Extensible Authentication Protocol over LAN), czyli tzw. Port Access Entity (PAE) Umożliwia przełącznikom rozpoznawanie właściwych pakietów

15 802.11x - role Klienta Uwierzytelniającego (przełącznik) Serwera Klienta Uwierzytelniającego (przełącznik) Serwera

16 OTP = hasło jednorazowe

17 802.11x scenariusze

18

19 Sieci VLAN Sieć VLAN (Virtual Local Area Network) to logiczne zgrupowanie urządzeń sieciowych lub użytkowników. Użytkownicy sieci oraz urządzenia pogrupowane według pełnionych funkcji, działu firmy itp., niezależnie od ich fizycznego położenia w sieci Sieć VLAN (Virtual Local Area Network) to logiczne zgrupowanie urządzeń sieciowych lub użytkowników. Użytkownicy sieci oraz urządzenia pogrupowane według pełnionych funkcji, działu firmy itp., niezależnie od ich fizycznego położenia w sieci

20 Ramka Ethernetu

21 Ethernet II

22 802.3 vs Ethernet II

23 VLAN

24 Dynamiczne VLAN-y Porty automatycznie przypisują się do odpowiedniego VLANu Skąd wiedzą do jakiego VLANu się przypisać: W trakcie uwierzytelniania przełącznik otrzymuje od serwera radius VLAN ID klienta Porty automatycznie przypisują się do odpowiedniego VLANu Skąd wiedzą do jakiego VLANu się przypisać: W trakcie uwierzytelniania przełącznik otrzymuje od serwera radius VLAN ID klienta

25 MONITORING I SYSTEMY DETEKCJI Czy sieć jest bezpieczna i działa prawidłowo?

26 Czy sieć jest bezpieczna? Analiza logów Monitorowanie sieci (NETFLOW, CFLOW, SFLOW, IPFIX, SNMP, PORT STATS, MRTG) Aktualizacja reguł firewalla Aktualizacja krytycznych systemów Analiza logów Monitorowanie sieci (NETFLOW, CFLOW, SFLOW, IPFIX, SNMP, PORT STATS, MRTG) Aktualizacja reguł firewalla Aktualizacja krytycznych systemów

27 Cele ataków Uzyskanie dostępu do danych W celu przejęcia kontroli nad systemem W celu zniszczenia systemu Uzyskanie dostępu do danych W celu przejęcia kontroli nad systemem W celu zniszczenia systemu

28 IDS Detekcja zagrożeń Alarmy - Hej, coś jest nie tak! Monitorowanie - sondy Mechanizmy reakcji na zdarzenia Systemy detekcji intruzów = prosta idea Detekcja zagrożeń Alarmy - Hej, coś jest nie tak! Monitorowanie - sondy Mechanizmy reakcji na zdarzenia Systemy detekcji intruzów = prosta idea

29 Idea a praktyka Co jest włamaniem lub jego proba, a co nie? Jakie są metody włamań? Jakie luki występują w systemach? Czy wiedza systemu IDS jest aktualna? Czy system może działać w pełni automatycznie? Sekwencja działań może być rozciągnięta w czasie Sekwencja działań może być rozbita pomiędzy różne sesje Poprawnie działający system może być wykorzystany do ataku na inny system (np. DRDoS) Co jest włamaniem lub jego proba, a co nie? Jakie są metody włamań? Jakie luki występują w systemach? Czy wiedza systemu IDS jest aktualna? Czy system może działać w pełni automatycznie? Sekwencja działań może być rozciągnięta w czasie Sekwencja działań może być rozbita pomiędzy różne sesje Poprawnie działający system może być wykorzystany do ataku na inny system (np. DRDoS)

30 Ataki DoS DoS – atak typu odmowa usługi (np. SYN flood) Distributed DoS – rozproszony atak typu DoS (wiele źródeł ataku, zwykle jeden cel) Distributed Reflected DoS – fałszowanie pakietów SYN, tak by pakiet SYN/ACK był wysyłany do atakowanego komputera DoS – atak typu odmowa usługi (np. SYN flood) Distributed DoS – rozproszony atak typu DoS (wiele źródeł ataku, zwykle jeden cel) Distributed Reflected DoS – fałszowanie pakietów SYN, tak by pakiet SYN/ACK był wysyłany do atakowanego komputera SYN (sq.#1) ACK(sq. #2)

31 Problemy w IDS Problem 1.: Jakie metody można użyć? Problem 2.: Jaka powinna być struktura systemów wykrywania włamań? Problem 3.: Co to jest włamanie? Problem 4.: Jak zidentyfikować tożsamość intruza? Problem 5.: Jak korelować informacje? Problem 6.: Jak złapać intruza w pułapkę? Problem 7.: Jak reagować na incydenty? Problem 1.: Jakie metody można użyć? Problem 2.: Jaka powinna być struktura systemów wykrywania włamań? Problem 3.: Co to jest włamanie? Problem 4.: Jak zidentyfikować tożsamość intruza? Problem 5.: Jak korelować informacje? Problem 6.: Jak złapać intruza w pułapkę? Problem 7.: Jak reagować na incydenty?

32 Pułapki internetowe Podejrzany użytkownik System rzeczywisty System wykrywania włamań System pułapka Aspekty prawne Podejrzany użytkownik System rzeczywisty System wykrywania włamań System pułapka Aspekty prawne

33 Reagowanie na incydenty Podjęcie działań i decyzji zmniejszających ryzyko dalszego naruszenia bezpieczeństwa Ocena wpływu incydentu na działanie systemu i firmy Ewentualne zawiadomienie organów ściagania o popełnienu przestępstwa Podjęcie działań i decyzji zmniejszających ryzyko dalszego naruszenia bezpieczeństwa Ocena wpływu incydentu na działanie systemu i firmy Ewentualne zawiadomienie organów ściagania o popełnienu przestępstwa

34 ARCHIWIZACJA DANYCH I PLANY ODTWARZANIA Zapewnianie ciągłości procesów biznesowych

35 Po co archiwizować Wymogi prawne Zapewnienie ciągłości biznesu Groźba utraty danych Wymogi prawne Zapewnienie ciągłości biznesu Groźba utraty danych

36 Na czym archiwizować dane Streamery Macierze dyskowe – RAID Biblioteki taśmowe Dyski magnetoptyczne Zdalny mirroring Płyty CD/DVD Mikrofilmy Dyski magnetyczne Streamery Macierze dyskowe – RAID Biblioteki taśmowe Dyski magnetoptyczne Zdalny mirroring Płyty CD/DVD Mikrofilmy Dyski magnetyczne

37 Wybór technologii Awarie a błędy użytkowników (istotne w kontekście RAID) Koszty technologii Miejsce składowania danych Koszty przechowywania Ograniczenia technologii Systemy krytyczne i zapasowe centra danych Sieci SAN Awarie a błędy użytkowników (istotne w kontekście RAID) Koszty technologii Miejsce składowania danych Koszty przechowywania Ograniczenia technologii Systemy krytyczne i zapasowe centra danych Sieci SAN

38 Czym jest storage? Jakie są koszty składowania danych? Jakie są przewidywania? Granice możliwości Czym jest storage? Jakie są koszty składowania danych? Jakie są przewidywania? Granice możliwości

39 SAS Server Attached Storage. Jest to pamięć masowa przyłączana do zwykłego serwera znajdującego się w sieci w celu składowania danych.

40

41 Sieć NAS Network Attached Storage. Stacje pamięci masowych są przyłączane do sieci jako kolejne maszyny. Cechy: Brak wydzielonej części do wymiany danych Interfejs iSCSI lub protokoły bazujące na przesyłajaniu plików Serwer kontrolujący (niekonieczny) Network Attached Storage. Stacje pamięci masowych są przyłączane do sieci jako kolejne maszyny. Cechy: Brak wydzielonej części do wymiany danych Interfejs iSCSI lub protokoły bazujące na przesyłajaniu plików Serwer kontrolujący (niekonieczny)

42 Protokoły używane przez NAS Common Internet File Services Network File System NetWare Core Protocol Common Internet File Services Network File System NetWare Core Protocol

43

44 Stary slajd, ale architektura aktualna (z dokładnością do transferów)

45 Sieć SAN Storage Area Network. Jest to sieć mająca za zadanie wyłącznie gromadzenie danych, złożona ze stacji pamięci masowych. Kontrolę nad nią sprawują specjalne serwery.

46

47 Przykładowa architektura sieci ze storagem i innymi elementami DHCP RADIUS WWWMAIL File server DMZ Intranet F Router brzegowy SAN Bilioteka taśmowa Bilioteka taśmowa Bilioteka taśmowa

48 Fiber channel Produkty Fibre Channel pracowały z przepływnościami: początkowo odpowiednio 1 Gb/s oraz 2 Gbit/s.Gb W 2006 standardy dla szybkości 4 Gbit/s i 10 Gbit/s zostały ratyfikowane Standard 8 Gbit/s został także opracowany i od połowy roku 2008 są już dostępne w sprzedaży przełączniki z portami FC o tej szybkości. Produkty oparte o standardy 1, 2, 4 i 8 Gbit/s powinny ze sobą współpracować, jakkolwiek standard 10 Gbit/s wymaga całkowitej zmiany. Produkty Fibre Channel pracowały z przepływnościami: początkowo odpowiednio 1 Gb/s oraz 2 Gbit/s.Gb W 2006 standardy dla szybkości 4 Gbit/s i 10 Gbit/s zostały ratyfikowane Standard 8 Gbit/s został także opracowany i od połowy roku 2008 są już dostępne w sprzedaży przełączniki z portami FC o tej szybkości. Produkty oparte o standardy 1, 2, 4 i 8 Gbit/s powinny ze sobą współpracować, jakkolwiek standard 10 Gbit/s wymaga całkowitej zmiany.

49 Warstwy FC FC0 Warstwa fizyczna zawierająca kable, światłowody, złącza, itp. FC1 Warstwa łącza danych która implementuje kodowanie 8b/10b i dekodowanie sygnałów. FC2 Warstwa sieci, zdefiniowana przez standard FC-PH, zawierający rdzeń protokołu FC. FC3 Warstwa implementująca zewnętrzne funkcje które rozciągają się pomiędzy wieloma portami urządzenia FC. FC4 Warstwa aplikacji lub enkapsulacji protokołów wyższych warstw, odpowiedzialna jest za przesyłanie danych innych protokołów po protokole FC. FC0 Warstwa fizyczna zawierająca kable, światłowody, złącza, itp. FC1 Warstwa łącza danych która implementuje kodowanie 8b/10b i dekodowanie sygnałów. FC2 Warstwa sieci, zdefiniowana przez standard FC-PH, zawierający rdzeń protokołu FC. FC3 Warstwa implementująca zewnętrzne funkcje które rozciągają się pomiędzy wieloma portami urządzenia FC. FC4 Warstwa aplikacji lub enkapsulacji protokołów wyższych warstw, odpowiedzialna jest za przesyłanie danych innych protokołów po protokole FC.

50

51 TECHNOLOGIA RAID Macierze dyskowe, czyli jak nie stracić danych

52 Zabezpieczenia sprzętowe - RAID Zabezpieczenia sprzętowe stanowią jeden z podstawowych elementów polityki bezpieczeństwa przedsiębiorstwa. Najważniejszym obiektem zabezpieczeń jest serwer danych. Podstawowym zabezpieczeniem sprzętowym jest zagregowanie dysków w macierz dyskową RAID (Redundant Array of Inexpensive Disks), co umożliwia ochronę pamięci masowej przed awarią dysku, a tym samym stanowi to ochronę przed utratą danych. RAID programowy- architekturaRAID sprzętowy- architektura

53 Poziomy architektury RAID RAID-0 RAID-0 (ang. striping - podział danych, zapis paskowy) jest podstawową, a zarazem i najszybszą wersją RAID a. W architekturze tej dane przynależne do jednego logicznego napędu dzieli się na bloki (klastry), które zapisywane są kolejno na wszystkich zainstalowanych dyskach. Bloki przyporządkowywane są do napędów fizycznych poprzez rotację. Pierwszy blok zapisywany jest na pierwszym dysku, drugi na drugim, itd. Architektura RAID-0

54 Poziomy architektury RAID- c.d. RAID-1 Standard RAID-1 znany jest przede wszystkim jako zapis lustrzany (ang. mirroring). W architekturze tej dane przynależne do jednego logicznego napędu przechowywane są jednocześnie (w takiej samej postaci) na dwóch dyskach. Ten koncepcyjnie prosty system jest jednak dosyć drogi w eksploatacji. Wadą jest bowiem wykorzystanie tylko połowy sumarycznej pojemności zainstalowanych dysków. Architektura RAID-1

55 Poziomy architektury RAID- c.d. RAID-2 Architektura, podobnie jak RAID-0, implementuje podział danych (striping). Jedyną różnicą w stosunku do RAID- 0 jest wielkość podziału - w tym przypadku podział danych następuje na poziomie bitów. Dodatkowo, dla większego bezpieczeństwa, dane mogą być przechowywane jednocześnie na kilku nośnikach (mirroring) bądź też może dla nich być wyznaczana informacja kontrolna - parzystość. Ostatni przypadek stanowi podwaliny standardu RAID-3

56 Poziomy architektury RAID- c.d. RAID-3 Architektura RAID-3 stanowi rozszerzenie architektury RAID-0. Dane, podobnie jak w RAID-0, zapisywane są naprzemiennie na zainstalowanych dyskach (ang. striping), a dodatkowy dysk służy do przechowywania informacji kontrolnej - parzystości. Napędu tego nie uwzględnia się przy określaniu szerokości paska. Parzystość wyznaczana jest oddzielnie dla każdego paska. Pojemność elementarnego klastra (bloku) w standardzie RAID-3 wynosi jeden bajt lub jedno słowo. Architektura RAID-3

57 Poziomy architektury RAID- c.d. RAID-4 Architektura RAID-4 stanowi odmianę architektury RAID-3. Główną wadą RAID-3 jest zbyt mały rozmiar klastra - jeden bajt lub jedno słowo. Skutkuje to zbytnim obciążeniem wszystkich dysków macierzy, które muszą naprzemiennie obsługiwać praktycznie każde odwołanie do macierzy. W architekturze RAID-4 rozmiar klastra jest znacznie większy - równy fizycznemu rozmiarowi sektora dysku bądź też rozmiarowi sprzętowego bufora wejścia-wyjścia. Zapewnia to znacznie mniejszy stopień obciążenia poszczególnych napędów i daje dobre efekty, zwłaszcza przy długich, sekwencyjnych odczytach danych. Obecnie każdy sprzętowy kontroler RAID-3 pozwala jednocześnie na pracę w standardzie RAID-4.

58 Poziomy architektury RAID- c.d. RAID-5 Poważną wadą architektur RAID-3, RAID-4 jest zbyt duże obciążenie dysku z informacją o parzystości. Każdy zapis danych wymusza również zapis i na tym dysku, co skutecznie obniża wydajność systemu. Technologia RAID-5 omija to uniedogodnienie. Informacja o parzystości umieszczana jest dla kolejnych pasków w różnych lokacjach. Dla pierwszego paska na ostatnim dysku, dla drugiego - na przedostatnim itd. Architektura RAID-5

59 Najpopularniejsze RAIDy RAID 0 – zero bezpieczeństwa w przypadku awarii pojedynczego dysku RAID 1 – lustrzana kopia dysku RAID 10 – lustrzana kopia każdego z dysków tworzących raid 0. RAID 5 – pojedyncza parzystość, przetrwa awarie jednego dysku (ale odbudowa macierzy jest kosztowna, uwaga na awarie drugiego dysku) RAID 6 – przetrwa awarie dwóch dysków (podwójna parzystość) RAID 0 – zero bezpieczeństwa w przypadku awarii pojedynczego dysku RAID 1 – lustrzana kopia dysku RAID 10 – lustrzana kopia każdego z dysków tworzących raid 0. RAID 5 – pojedyncza parzystość, przetrwa awarie jednego dysku (ale odbudowa macierzy jest kosztowna, uwaga na awarie drugiego dysku) RAID 6 – przetrwa awarie dwóch dysków (podwójna parzystość)

60 SŁÓW KILKA O ZASILACZACH Zasilanie, to podstawa

61 Zabezpieczenia sprzętowe- c.d. Zastosowanie zasilaczy awaryjnych Często zdarza się, że występują wahania napięcia sieciowego lub nawet jego brak. Skutecznym rozwiązaniem chroniącym przed uszkodzeniem sprzętu (płyta główna, dyski) jest zastosowanie zasilacza awaryjnego, który reaguje natychmiastowo sygnalizując wystąpienie awarii i podtrzymując napięcie sieciowe. Stosowanie zasilaczy awaryjnych jest bardzo powszechne i dotyczy nie tylko serwera, ale także stacji roboczych pracujących w sieci lokalnej. Zastosowanie zasilaczy typu hot-swap Nagłe wahania napięcia lub inne nieprawidłowości zasilania mogą spowodować uszkodzenie zasilacza serwera. Dlatego powszechnie stosuje się serwery z dwoma lub trzema zasilaczami typu hot-swap, które mogą być wymienione pod napięciem bez konieczności wyłączania serwera.

62 KOPIE ZAPASOWE I PLANY ODTWARZANIA POAWARII Informatyce dzielą się na tych co robią backupy i na tych co jeszcze nie robią

63 Wybór technologi (cd.) Identyfikacja krytycznych procesów i danych Określenie okna backup'u Określenie dopuszczalnego czasu niedostępności po awarii Określenie czasu przez, który chcemy przechowywać kopie archiwalne Określenie czasu, który jest potrzebny na odtworzenie danych przy wykorzystaniu danej technologii Określenie czasu potrzebnego na odtworzenie procesów Identyfikacja krytycznych procesów i danych Określenie okna backup'u Określenie dopuszczalnego czasu niedostępności po awarii Określenie czasu przez, który chcemy przechowywać kopie archiwalne Określenie czasu, który jest potrzebny na odtworzenie danych przy wykorzystaniu danej technologii Określenie czasu potrzebnego na odtworzenie procesów

64 Disaster recovery plan Disaster recovery – plan gwarantujący dostępność danych i aplikacji w określonym czasie po zdarzeniu o charakterze katastrofalnym Klasyfikacja planów odtwarzania po awarii: Tier 0 – Do nothing, no off-site data Tier 1 – Offsite vaulting Tier 2 – Offsite vaulting with a hot site Tier 3 – Electronic vaulting Tier 4 – Electronic vaulting to hot site (active secondary site) Tier 5 – Two site two phase commit Tier 6 – Zero data loss Disaster recovery – plan gwarantujący dostępność danych i aplikacji w określonym czasie po zdarzeniu o charakterze katastrofalnym Klasyfikacja planów odtwarzania po awarii: Tier 0 – Do nothing, no off-site data Tier 1 – Offsite vaulting Tier 2 – Offsite vaulting with a hot site Tier 3 – Electronic vaulting Tier 4 – Electronic vaulting to hot site (active secondary site) Tier 5 – Two site two phase commit Tier 6 – Zero data loss

65 Rodzaje zagrożeń Lokalne Logiczne Katastrofy Lokalne Logiczne Katastrofy

66 Rodzaje strat Straty bezpośrednie i pośrednie Straty bezpośrednie: Zmniejszenie przychodów Spadek wydajności pracy Kary za opóźnienia Straty pośrednie: Utrata klientów Utrata wiarygodności Korzyści utracone Koszty przestoju Straty bezpośrednie i pośrednie Straty bezpośrednie: Zmniejszenie przychodów Spadek wydajności pracy Kary za opóźnienia Straty pośrednie: Utrata klientów Utrata wiarygodności Korzyści utracone Koszty przestoju

67 Koszty przestoju różnych rodzajów aplikacji [$/min] (USA, 1998) Call location: $ /min e-commerce: $ / min Customer service center: $3 700 / min Point of sale: $3 500 / min Koszty przestoju różnych rodzajów aplikacji [$/min] (USA, 1998) Call location: $ /min e-commerce: $ / min Customer service center: $3 700 / min Point of sale: $3 500 / min

68 Parametry profilów DR RTO – czas potrzebny na odtworzenie danych – jak długo biznes może działać bez systemu RPO – okres czasu pracy systemu z jakiego utracimy dane na skutek awarii BWO - Okno backupowe, czas potrzebny na wykonanie kopii Retencja - Okres przechowywania na nośnikach RTO – czas potrzebny na odtworzenie danych – jak długo biznes może działać bez systemu RPO – okres czasu pracy systemu z jakiego utracimy dane na skutek awarii BWO - Okno backupowe, czas potrzebny na wykonanie kopii Retencja - Okres przechowywania na nośnikach

69 Koszty przestoju i koszt technologii Pieniądze Czas Koszt technologii Straty wynikające z przestoju systemu

70 Systemy macierzowe i klastrowe Systemy macierzowe Zabezpieczają przed skutkami awarii dysku, kontrolera Pełna nadmiarowość Równoległa struktura połączeń Systemy klastrowe Szerszy zakres ochrony Eliminacja single point of failure Ułatwienie zarządzania – w sensie np. wymiany węzłów Systemy macierzowe Zabezpieczają przed skutkami awarii dysku, kontrolera Pełna nadmiarowość Równoległa struktura połączeń Systemy klastrowe Szerszy zakres ochrony Eliminacja single point of failure Ułatwienie zarządzania – w sensie np. wymiany węzłów

71 Prędkości transmisji Czas przesłania 1TB danych w [min]: 10Mbps – 13653,33 100Mbps – 1365,333 SAN FCP (scsi-3) 2Gbps – 68,27 OC -255 ATM 13,21 Gbps – 10,34 SAN + DWDM 200 Gbps – 0,68 Nie zapominajmy o prędkości samych dysków – w przypadku pojedynczego SSD jest to max 500MB/s przy sekwencyjnym odczycie i maks IOPS dla odczytów losowych przy blokach 4K Czas przesłania 1TB danych w [min]: 10Mbps – 13653,33 100Mbps – 1365,333 SAN FCP (scsi-3) 2Gbps – 68,27 OC -255 ATM 13,21 Gbps – 10,34 SAN + DWDM 200 Gbps – 0,68 Nie zapominajmy o prędkości samych dysków – w przypadku pojedynczego SSD jest to max 500MB/s przy sekwencyjnym odczycie i maks IOPS dla odczytów losowych przy blokach 4K

72 Tworzenie planów BWO RPO RTO Start projektu Analiza procesów Analiza ryzyka Opisy procesów, tworzenie procedur Plany odtwarzania Sposób ochrony danych TESTY Zarządzanie zmianami

73 Podsumowanie Zapora ogniowa System IDS Fizyczna ochrona danych i archiwizacja Plany na wypadek awarii Zapora ogniowa System IDS Fizyczna ochrona danych i archiwizacja Plany na wypadek awarii


Pobierz ppt "Bezpieczeństwo sieci i odtwarzanie po awarii dr inż. Maciej Miłostan Instytut Informatyki, Politechnika Poznańska dr inż. Maciej Miłostan Instytut Informatyki,"

Podobne prezentacje


Reklamy Google