Стабильная работа международных компаний на протяжении десятилетий достигается стандартизованными подходами к планированию непрерывности бизнеса. Ни одна публичная международная корпорация не сможет застраховать свой бизнес, успешно провести аудит, получить высокий рейтинг доверия акционеров и общественности, если должным образом не спланированы меры обеспечения непрерывности бизнеса в условиях чрезвычайных обстоятельств.

Cамой уязвимой составляющей в работе любой компании является комплекс инфокоммуникационных технологий, включающий действующие корпоративные приложения и системы хранения данных. Последние объединяют под названием Business Intelligence. Корпоративные хранилища данных, – несомненно, «интеллект» бизнеса, в обеспечении безопасности которого заинтересована не только сама компания, но и ряд других участников рынка.

План обеспечения непрерывности бизнеса

Как правило, доступность ИТ-систем рассматривается в тесной связи с основным бизнесом компании. Ее реализация осуществляется в рамках комплексного подхода к планированию непрерывности бизнеса в целом. Главным внутренним документом, определяющим действия компании при наступлении чрезвычайных обстоятельств, является план обеспечения непрерывности бизнеса (ПОНБ) (Business Continuity Plan), который вырабатывается на основе анализа возможных рисков, способных нарушить штатную работу предприятия. Рискам потери доступности ИТ-систем присваивается высокая степень значимости для бизнеса, определяется степень их зависимости от различных чрезвычайных обстоятельств, разрабатываются комплексные подходы для минимизации этих рисков.

К числу рисков можно отнести выход из строя серверного оборудования, сбой электропитания, сбой в системе связи, террористическую деятельность и другие техногенные, природные либо обусловленные человеческим фактором обстоятельства. Подготовка и отработка плана обеспечения непрерывности бизнеса – серьезная задача, в решении которой участвуют все подразделения организации. Одновременно это исследование с целью определить разумные инвестиции в резервные системы в зависимости от допустимых материальных и нематериальных потерь, которые организация может понести вследствие нарушения или приостановления своей деятельности.

В этой связи интересен опыт Криса Гоулда, сотрудника международной консалтинговой компании KPMG, занимающегося разработкой ПОНБ для клиентов KPMG. Он находился в Нью-Йорке 11 сентября 2001 г. и смог оценить эффективность плановых действий компаний в условиях чрезвычайной ситуации. Резервные корпоративные информационные системы заработали, как и было запланировано, однако возникли неожиданности организационного характера, связанные с «человеческим фактором». Это потребовало в дальнейшем доработки существующих планов с учетом полученного опыта. Выводы К. Гоулда подтвердили необходимость применения комплексного подхода, который не ограничивается лишь технологической составляющей.

Составляющие доступности

Говоря о доступности серверных приложений, можно выделить две основные составляющие:

-          собственно защищенность и работоспособность оборудования;

-          работоспособность систем доступа к этому оборудованию (как правило, канальная составляющая).

Надежная бесперебойная работа компьютерного оборудования обеспечивается специальными условиями и организационными процедурами его содержания и обслуживания. Нет необходимости объяснять, почему оборудование должно располагаться в специализированных серверных комнатах, оборудованных антистатическими полами, системами кондиционирования, пожаротушения, контроля доступа, резервными источниками питания. Крупные организации создают собственные центры обработки данных (ЦОД) для размещения ИТ-систем. Возможна аренда специализированных помещений у провайдеров подобных услуг.

Те или иные способы защиты компьютерных систем обычно выбираются исходя из затрат на их создание, а также политики компании в отношении инвестиций в «не основной» бизнес. Следует понимать, что обеспечение круглосуточной бесперебойной работы ЦОД, оснащенного различными инженерными системами, требует значительных затрат на весьма специфические и далекие от профильной деятельности компании сервисы.

Использование тех или иных отказоустойчивых решений, обеспечивающих высокую доступность данных, зависит от максимально возможного времени простоя ИТ-систем, который определяется в ходе разработки ПОНБ. При грамотной технической поддержке и расширенном сервисном контракте с поставщиком оборудования даже при полном выходе из строя аппаратуры можно восстановить работоспособность системы за пять-шесть часов с минимальной потерей данных. Также можно создать систему резервных блоков питания и сетевых адаптеров, задействовать отказоустойчивые дисковые подсистемы и развитые системы резервного копирования. Все это реализуется на базе серверной или ЦОД, где размещен основной ИТ-узел. Однако, как показывает практика, нормальная работа крупной корпорации исключает такие длительные простои.

Более высокий уровень доступности данных достигается при использовании резервного ЦОД, который может взять на себя обслуживание критически важных ресурсов компании в случае выхода из строя основного ИТ-узла. При таком подходе резервный узел находится в режиме «горячего» резервирования, когда по каналам связи между основным и резервным центрами осуществляется перенос информации в режиме реального времени. При выходе из строя основного узла резервный через 30–120 секунд полностью «подхватывает» поддержку приложения и автоматически перенастраивает сетевую подсистему (вплоть до «перехвата» сетевых адресов). Для пользователей это выглядит как короткий перерыв в предоставлении ИТ-услуг и не требует перенастройки рабочих мест.

Однако комплексный подход к обеспечению доступности ИТ-систем, разработанный в рамках планирования непрерывности бизнеса, должен учитывать ситуацию, когда сотрудники компании не могут получить доступа к необходимым информационным ресурсам в связи с проблемами в офисе компании, а значит, и поддерживать основные бизнес-процессы. Во избежание подобных ситуаций создаются резервные офисы, где ключевые сотрудники (также определенные в ходе разработки ПОНБ) могли бы продолжать свою работу. Такая потребность привела к трансформации ЦОД в центры непрерывности бизнеса (ЦНБ). Они располагают резервными площадками и мощностями, которые обеспечивают возможность с минимальными временными задержками развернуть резервный офис в ситуации, нарушающей привычную деятельность компании. Например, для банков и инвестиционных компаний это рабочие места брокеров и т. п.

Практика эксплуатации ЦНБ, а также теоретические исследования, связанные с моделированием чрезвычайных ситуаций, позволили сформировать ряд требований к инженерным решениям и коммунальным удобствам этих центров. В международной практике такие факторы, как расположение ЦОД, помещения, подъездные пути, общественный транспорт, парковка, охрана территории, относятся к разряду критичных. Предпочтительно размещать ЦНБ в индустриальном либо офисном здании недавней постройки c высокой расчетной нагрузкой на пол. Возможность подъезда к ЦНБ общественным транспортом зачастую является обязательной при реализации корпоративных ПОНБ предприятий. Подобные требования свидетельствуют о том, что возможность размещения ЦНБ в том же помещении, где расположен фронтофис компании, в большинстве случаев отсутствует.

Аспекты обеспечения бесперебойной работы

Электроснабжение. Потребление электроэнергии может достичь весьма высоких значений, которые никогда не закладываются под проекты обычных офисных помещений. Непросто создать «надежную» серверную комнату в бизнес-центре, куда переезжает компания. ЦНБ требует электроснабжения первой категории с резервированием энерговводов. Для обеспечения бесперебойной работы оборудования устанавливаются ИБП (возможно, и дизель-генераторная установка). Разумеется, проектирование и строительство системы электроснабжения должны осуществляться специализированными организациями, а эксплуатация требует неукоснительного соблюдения правил технической эксплуатации и безопасности. Эксплуатация ЦОД должна осуществляться службой, состоящей из аттестованных инженеров и электротехников.

Развитая внутренняя кабельная инфраструктура.

Оптимальный режим отвода выделяемого тепла. Этой цели служит система кондиционирования воздуха или система холодоснабжения.

Система пожарной безопасности. Как правило, это система газового пожаротушения, которая должна быть оснащена световой и звуковой сигнализацией, предупреждающей о скором пуске газа и требующей от персонала покинуть помещение.

Система безопасности, включая систему видеонаблюдения.

Особое место в обеспечении высокой доступности ИТ-систем занимает сетевая инфраструктура. Это одно из немногих направлений в современных ИТ, которое с самого начала передавалось на аутсорсинг телекоммуникационным компаниям.

Безусловно, речь не идет о таких «гигантах», как РАО ЕЭС России или «Газпром», располагающих собственными телекоммуникационными подразделениями. Подавляющее большинство корпораций обращалось и обращается к услугам отечественных и международных операторов связи, работающих в России. Передача информации по сетям операторов связи сопровождается организационными и технологическими гарантиями сохранения конфиденциальности, обязательствами по надежности и резервированию. Тем не менее корпоративные заказчики используют ресурсы нескольких операторов связи для обеспечения внутрикорпоративных коммуникаций и для резервирования. Именно поэтому корпорации, размещающие свои ИТ-ресурсы в собственных зданиях либо бизнес-центрах, настаивают на присутствии нескольких альтернативных операторов связи. В международной практике, кардинально отличающейся от российской, резервные ИТ-системы располагаются в ЦНБ, поддерживающем функцию Telehouse, которая заключается в предоставлении услуги по размещению телекоммуникационного оборудования и IT-структур.

Три основных подхода

Все изложенное свидетельствует о том, что доступность критичных ИТ-систем путем создания ЦНБ является достаточно трудоемкой и ресурсоемкой задачей. Это обусловливает различные подходы к их организации при планировании непрерывности бизнеса:

-          натуральное хозяйство – все своими силами;

-          аутсорсинг ЦОД;

-          комбинированное решение.

Аутсорсинг ЦОД наиболее типичен для западных компаний, которые поручают заботу о своем резервном ЦОД субподрядчику. Для российских компаний недавно было характерно создание собственного ЦОД, когда все риски, связанные с работоспособностью резервных систем, заказчик берет на себя. Стоит отметить, что такой подход требует больших затрат. Однако в последнее время российские компании пересматривают свое отношение к вопросам резервирования и используют комбинированное решение, которое заключается в аутсорсинге инфраструктуры коммерческих ЦОД, где обслуживанием программных приложений занимаются собственные ИТ-специалисты заказчика. Такие ЦОД, образовавшиеся из хостинг-центров, принадлежат операторам связи, предоставляющим одновременно услуги удаленного доступа к оборудованию заказчика по своим сетям. Однако, с точки зрения доступности приложений, данный вариант не совсем удачен, поскольку зависимость от одного оператора нежелательна даже при условии резервных вводов с его сети. Как правило, требования безопасности диктуют необходимость использования альтернативных сетей. За рубежом, как уже упоминалось, коммерческими ЦНБ являются и Telehouse, т. е. имеют вводы с сетей различных операторов связи, а также установленное узловое коммуникационное оборудование.

Примером предоставления подобного сервиса может служить комплексный подход панъевропейской сети Interoute (I-21) (http://www.widexs.ru/?id=76&lng=1), где возможности размещения ЦОД заказчиков предусмотрены во всех узлах. Более того, в крупных городах они являются объектами Telehouse, где Interoute стыкуется с национальными и глобальными сетями.

Резервные центры крупных международных компаний обслуживаются вендорами HP, Siemens, IBM, Sun и другими поставщиками специализированных приложений, входящих в состав корпоративных ИТ-систем. Вендоры строят собственные ЦНБ, обеспечивая их телекоммуникационной составляющей, и осуществляют обслуживание резервных ЦОД своих заказчиков. В тех регионах, где отсутствуют собственные ЦНБ, арендуется инфраструктура коммерческих ЦОД. Основа бизнеса – специализация и привлечение профильных компаний по аутсорсинговым договорам.

мнение специалиста

Геннадий Столяров, директор по информационным технологиям DHL в СНГ и странах Юго-Восточной Европы

Организация резервирования ЦОД – достаточно дорогостоящее мероприятие. Нужно дублировать все: базы данных, серверы, приложения, электропитание и телекоммуникации. Для полной гарантии работоспособности необходимо, чтобы резервный ЦОД находился в географически удаленном от основного центра месте. Значит, требуется и дополнительный персонал.

Для компаний, имеющих распределенную территориальную структуру, целесообразно организовать 2 ЦОД (основной и резервный) и обеспечить доступ к их сервисам из удаленных офисов. В дальнейшем такой подход приносит достаточно большую экономическую выгоду, так как компании не нужно разрабатывать множественные решения по дублированию инфраструктуры в каждом из офисов. Кроме того, появляется возможность оптимизировать и аппаратные, и людские ресурсы, заменив, например, 30 серверов в 15 офисах на 16 серверов в 2 ЦОД (основном и резервном). Создание единой центральной команды обеспечивает независимость от количества специалистов на местах. Именно по такому пути пошла компания DHL, создав единый Европейский ЦОД в Праге, который, разумеется, имеет «двойника», расположенного в 12–15 км от основного. Примечательно, что даже месторасположение резервного центра держится в секрете.

Московский офис DHL использует разных телекоммуникационных провайдеров и имеет несколько независимых подключений к Пражскому ЦОД. «Последние мили» в офис DHL приходят физически разными путями. Пражский ЦОД дает возможность подключения различных телекоммуникационных каналов: ATM, MPLS, VPN, VSAT. Таким образом, в случае чрезвычайных ситуаций обеспечивается высокая степень защиты данных и приложений, а также возможность в кратчайшее время организовать новый телекоммуникационный канал из удаленных офисов.

мнение специалиста

Владислав Дембский, менеджер по работе с ключевыми клиентами представительства Citrix Systems в России и странах СНГ

Основная идея по обеспечению непрерывности бизнеса, продвигаемая компанией CITRIX, состоит в том, что истинная непрерывность бизнеса может быть достигнута обеспечением виртуализации рабочих мест, доступа к приложениям через web-интерфейс независимо от того, где находится сотрудник, какое устройство и какой тип соединения он использует. Виртуализацию рабочих мест предоставляет Citrix Presentation Server, доступ через web-интерфейс и корпоративный портал – Advance Access Control,     безопасный доступ через незащищенные соединения – Internet реализует Access Gateway. Все необходимые компоненты для этого собраны в Citrix Access Suite. Другие продукты CITRIX могут использоваться в специальных ситуациях. Например, GoToMeeting обеспечивает возможность организации совещаний, без необходимости собирать участников в одном месте.

CITRIX сама является отличным примером компании, которая реализовала план по обеспечению непрерывности бизнеса. Несмотря на то что ее головной офис находится в зоне ураганов и посему вынужден часто закрываться, это не сказывается на непрерывности бизнеса. Всем сотрудникам и партнерам компании по всему миру постоянно доступны все важные для бизнеса приложения.

Разумеется, ПО от CITRIX не заменяет других основных компонентов концепции обеспечения непрерывности бизнеса компании (создание основного и резервного центров обработки данных, резервирование каналов связи и электропитания и т. п.). Тем не менее мы уверены, что именно наши решения наилучшим образом дополняют комплекс организационно-технических мероприятий по обеспечению непрерывности бизнеса любого предприятия. Это подтверждается многолетним опытом эксплуатации наших решений в более чем 160 тыс. компаний по всему миру и тем, что деятельность CITRIX направлена в первую очередь на обеспечение быстрого, удобного и безопасного доступа к корпоративным данным и приложениям, с любых устройств и через любые соединения.

мнение специалиста

Максим Амзараков, руководитель Центра управления Сети Stack Group

Катастрофоустойчивые решения построения ИТ-инфраструктуры – необходимая составляющая бизнес-процессов любой компании. Однако разработка плана непрерывности бизнеса и его внедрение редко удаются без привлечения сторонних организаций – из-за занятости внутренних ресурсов и непрофессионального взгляда на проблему изнутри. Ошибки при разработке, как правило, обусловлены самой концепцией катастрофоустойчивого решения при проектировании, что, в свою очередь, влияет на качество и стоимость решения. Например, рассматривая конфиденциальность данных, предприятие решает, что необходимо держать данные на своих территориях, несмотря на недостаточную полноту резервирования систем жизнеобеспечения в таких условиях. Но, учитывая скорости современного информационного обмена, внешнего и внутреннего, простои в работе ИС предприятия могут обойтись гораздо дороже, чем нарушение конфиденциальности данных. К тому же динамичные данные зачастую устаревают раньше, чем их кто-либо успевает «перехватить». А при расчете затрат на обеспечение бесперебойности ИТ-сервисов редко просчитываются скрытые внутренние расходы на реорганизацию бизнес-процессов ИТ-подразделений.

Задаваясь вопросом обеспечения доступности приложений и данных, стоит задуматься об общей концепции, включающей план непрерывности бизнеса и план восстановления после сбоев. При этом размещение резервных ИТ-систем в независимых дата-центрах предоставляет возможность более дешевой реализации не только офисных резервных площадок, но и удаленных офисов в случае расширения бизнеса.

мнение специалиста

Роман Ройфман, архитектор решений, компания Network Appliance

Как ни парадоксально, но основная задача, стоящая перед системой хранения, – сделать все возможное, чтобы построенный резервный центр не понадобился. Необходимо предпринять максимум усилий для решения большей части проблем локально и штатными средствами. При этом все средства обеспечения готовности данных NetApp, такие как RAID-DP и SyncMirror, обеспечивающие сохранность данных при сбое до пяти дисков в одной RAID-группе, или поддержка snapshot, с интеграцией с системами резервного копирования для восстановления базы данных за минуты из сотен мгновенных копий, являются штатными.

На наш взгляд, не должно быть компромиссов между готовностью, простотой управления и производительностью.

Уникальное решение MetroCluster позволяет, используя фактически стандартную систему, обойтись без репликации, однако разнести конструктивные элементы на десятки километров, сохранив единую систему, работающую со всеми протоколами – FCP, iSCSI, NFS, CIFS.

Благодаря унифицированным решениям весь функционал, доступный на high-end-системах, доступен и на архивных системах и даже на системах начального уровня. При использовании репликации мы стараемся не связывать заказчика ограничениями и не усложнять проблему ПОНБ, предоставляя ему право самостоятельно решить такие вопросы, как:

-          систему какого уровня использовать для каждого ЦОД;

-          какой режим репликации использовать – синхронный, асинхронный или полусинхронный или их комбинацию;

-          использовать каналы IP, Fibre Channel или их комбинацию;

-          какой уровень иерархии при репликации планируется использовать;

-          сколько реплик с одной системы. (Мы поддерживаем до 128 одновременных реплик.)

Система репликации может быть интегрирована с системой архивирования мгновенных копий SnapVault и томами гарантированного хранения (WORM).

Весь этот функционал может быть реализован на всем многообразии систем Network Appliance.