De noodzaak voor disaster recovery is er voor iedereen. Maar hoe kun je als organisatie met een compact IT-team een backup-strategie hanteren die net zo goed is als bij de grootste enterprises? We vroegen het aan Milovan Milic, hoofd IT bij Ichthus College te Veenendaal.
Milovan werkt al bijna 20 jaar bij Ichthus College en haalt tevens wat ervaring uit functies bij enterprise-organisaties. Zijn uitgebreide kennis op het gebied van storage en virtualisatie bleek essentieel binnen de onderwijssector, waar IT-professionals manusjes-van-alles moeten zijn gezien de compacte afdelingen. Het IT-team van het Ichthus College bestaat uit drie specialisten: één voor workstations (verantwoordelijk voor o.a. laptops en digiborden), één voor cloud- en lokale applicaties, en Milovan zelf, die verantwoordelijk is voor storage en networking.
Tien jaar ervaring met Synology
Het Ichthus College maakt al meer dan tien jaar gebruik van Synology-hardware. De primaire NAS (door Milovan een “Super NAS” genoemd) is een Synology SA3400D, uitgerust met 12 disks van elk 16 TB. Recentelijk is hier een uitbreidingsunit aan toegevoegd, de RXD1219sas met 12 disks van 12 TB, ter ondersteuning van toekomstige projecten. Daarnaast blijven eerdere systemen, zoals een SA3400 met 12 disks van 8 TB en de RS1221RP met 8 disks van 8 TB, operationeel voor secundaire backups op externe locaties. Voor bepaalde projecten, zoals video-editing en fotografie, wordt een Synology DS923+ met 4 schijven van 6 TB ingezet, waarop direct kan worden gewerkt. De primaire NAS wordt gebruikt voor VM- en systeembackups, terwijl de uitbreidingsunit dient voor de opslag van FSLogix-profielbestanden en lokale video-archieven.
Het primaire NAS-systeem heeft een capaciteit van 120 TB in een RAID 6-configuratie, met 60-70 TB in gebruik. Milovan benadrukt het belang van zorgvuldige planning bij het opzetten van backups om overvolle systemen te voorkomen. “Je kunt binnen een mum van tijd je beschikbare opslag vol maken”, waarschuwt hij. Dat is onafhankelijk van je totale capaciteit: door meer redundantie en/of langere bewaarperiodes kun je zoveel terabytes vullen als je maar kunt bedenken.
De keuze viel jaren geleden op Synology, maar bij elke upgradecyclus worden de kaarten opnieuw geschud. Waarom is deze vendor alsnog de juiste keuze gebleken daarna? “Synology beweegt steeds meer richting enterprise-oplossingen”, vertelt Milovan ons. Hij noemt dual controllers, die downtime minimaliseren, maar voorheen enkel voor de grootste bedrijven haalbaar waren. De controllers zijn CPU’s met moederborden, waarbij (afhankelijk van de gekozen architectuur) de tweede controller direct klaarstaat als de eerste uitvalt. Omdat Synology’s Active Backup for Microsoft 365 een licentievrije oplossing is, wordt het gehele ecosysteem (hardware en software) erg kostenefficiënt.
Een schoolvoorbeeld
Zo’n tien jaar geleden merkte het Ichthus College hoe belangrijk een backup-strategie was. In de kerstperiode vielen 4 van de 8 storage-volumes uit, waardoor de Active Directory en Exchange-server als sneeuw voor de zon verdwenen. Dankzij een VM-backup draaiend op een Synology NAS kon Milovan binnen een dag alles herstellen. Het merendeel van deze tijd was nodig om simpelweg te controleren of alles op de juiste wijze was teruggeplaatst.
“Het was een life-saver,” zegt Milovan over de toenmalige Synology-backupsystemen. Inmiddels is de school nog beter voorbereid op een onderbreking als deze. Zaken als dual controllers en zoveel mogelijk redundantie in het algemeen zijn niet zomaar optioneel. Momenteel draait de primaire NAS in RAID 6 met twee mogelijkheden voor uitval zonder directe problemen, én een ‘hot spare’-disk die direct klaarstaat.
Hoewel backups zelden worden gebruikt, fungeren ze als basis voor disaster recovery. Milovan omschrijft de klassieke 3-2-1-regel hierbij: drie kopieën van data, op twee verschillende media, met één off-site kopie. Milovan geeft aan altijd meerdere kopieën te hebben, “just in case”. Daarnaast moeten NAS-gebruikers hun besturingssysteem regelmatig bijwerken, zegt Alexandra Bejan van Synology. “Verouderde besturingssystemen zijn daar bijzonder kwetsbaar.”
Bejan benadrukt de positieve effecten van het implementeren van de best practices uit de werkwijze die Ichthus hanteert. “Organisaties worden geconfronteerd met steeds complexere aspecten van de verdediging tegen ransomware, waaronder toegangsbeheer, kwetsbaarheidsbeheer, gegevensbackup en het waarborgen van de herstelbaarheid van backupgegevens”, zegt ze. “De grootste uitdaging bij bescherming tegen ransomware is niet langer een technische kwestie, maar een managementkwestie. Bijvoorbeeld, hoe plan je een uitgebreide strategie, hoe minimaliseer je de managementoverhead en hoe bereik je beschermingsdoelen met beperkte middelen.”
Deze uitdaging omvat ook het omgaan met menselijke factoren, merkt Bejan op. “Voor individuen binnen bedrijven verhoogt de praktijk van het hergebruiken van wachtwoorden voor werk- en privéaccounts of het gebruik van thuiscomputers voor werk op afstand het risico dat gevoelig materiaal wordt gestolen.”
Toekomstplannen
Het aantal studenten op het Ichthus College varieert, wat invloed heeft op de eisen voor de infrastructuur en de beschikbare subsidies. De huidige systemen zijn ingesteld op 2.000 à 2.500 studenten. Daarbij is Ichthus ook voorbereid op toekomstige behoeften. Milovan en zijn team hebben al goed door wat er mogelijk wordt via de roadmaps van Synology en concurrenten. Ook moet Ichthus zelf geleidelijk opschalen, want aankopen zijn alleen te verantwoorden aan het managementteam als er ook echt een noodzaak voor is. Zo was de aanschaf van de uitbreidingsunit al gepland, maar werd deze pas gerealiseerd toen een nieuw project deze extra opslag vereiste. Meerjarige plannen worden jaarlijks herzien, afgestemd op reguliere updatecycli.
Het team van Milovan verzamelt informatie bij leveranciers en ontwerpt vervolgens de specifieke configuratie, met direct contact met Synology voor advies. Toekomstige functies, zoals videosurveillance, zijn interessant voor het Ichthus College. Milovan ziet “eindeloze mogelijkheden” met het volledige aanbod van Synology, maar benadrukt eerst de kernbehoeften te vervullen voordat ze op dit gebied innoveren. “We zouden graag van Synology’s videosurveillance gebruik maken”, zegt Milovan. Hybride cloud-mogelijkheden zijn essentieel; afhankelijkheid van Microsoft 365 zonder lokale backup is ongewenst.
Niet alleen 3-2-1-, maar een 3-2-1-1-0-strategie
Synology lanceert regelmatig oplossingen die de backupbehoeften van klanten ondersteunen. Naarmate organisaties groeien, worden gegevens- en backupstrategieën complexer, vooral wanneer producten van verschillende leveranciers worden gebruikt. Synology wil zowel de kosten als de leercurve beperken. Voortbouwend op de 3-2-1 regel heeft Synology de 3-2-1-1-0 strategie ontwikkeld: drie kopieën, twee verschillende mediatypen, één off-site backup, plus één onveranderlijke kopie ter bescherming tegen ransomware, en nul storingen in de backup.
“Ransomware evolueert voortdurend. Het is niet meer een kwestie van of, maar wanneer ransomware wordt ingezet tegen een organisatie”, vertelt Bejan. “De belangrijkste uitdagingen voor bedrijven bij het beschermen van hun gegevens tegen ransomware-aanvallen komt voort uit het ontbreken van een uitgebreid plan voor gegevensbescherming. Zonder zo’n plan kunnen bedrijven in moeilijke situaties terechtkomen als ze het doelwit zijn van ransomware en mogelijk te maken krijgen met gegevensverlies en, nog belangrijker, verstoring van de bedrijfscontinuïteit.”
Vanuit het perspectief van Synology is de noodzaak duidelijk. Bejan: “Als bedrijven een zero-trust, assume-breach mentaliteit aannemen en least privilege principes implementeren, zoals rolgebaseerde toegangscontrole, samen met het gebruik van sterke en unieke wachtwoorden en multi-factor authenticatie, kunnen ze de kans op een ransomware-aanval aanzienlijk verkleinen.”
Synology biedt tools om deze uitgebreide strategie te implementeren en identificeert gebieden waar dekking mogelijk ontbreekt. Hun gebruiksvriendelijke interface wordt geleverd zonder extra licentiekosten, zoals bij Active Backup voor Microsoft 365. Hoewel hardwarekosten onvermijdelijk zijn, brengt de software geen extra kosten met zich mee, wat gunstig is voor organisaties met beperkte budgetten, zoals onderwijsinstellingen. Milovan en zijn team bij het Ichthus College plukken de vruchten door backups van ondernemingsniveau te onderhouden ondanks hun kleine IT-afdeling.
Een ander voordeel zijn de kosten: “Ons doel is duidelijk”, zegt Bejan. Het bedrijf heeft als doel “klanten te helpen de kosten te verlagen die gepaard gaan met investeringen in backupinfrastructuur, zowel op het gebied van personeel als financiële uitgaven.”
Lees ook: Hoe bescherm je data op een Synology NAS?
Groot en klein
Je zou kunnen denken dat kleinere bedrijven een makkelijker doelwit vormen vanwege hun beperkte IT. Niets is minder waar. Bejan: “We hebben gemerkt dat hoe groter je onderneming is, hoe moeilijker het wordt om een allesomvattende strategie voor datasecurity te implementeren.” Ze zegt dat de belangrijkste reden hiervoor ligt in de gefragmenteerde investeringen in backupinfrastructuur, waarbij verschillende oplossingen werden aangeschaft voor verschillende workloads. “Deze legacy-oplossingen hebben moeite om het snel groeiende aantal workloads en de toenemende datagrootte effectief te beheren. Tegelijkertijd vereisen ze aanzienlijke personele middelen voor training, met steile leercurves, waardoor het zelfstandig bestuderen onder medewerkers moeilijk wordt. Wanneer personeel wordt overgeplaatst, is er veel tijd nodig om het systeem opnieuw te leren.”
Synology heeft onlangs een nieuwe reeks producten gelanceerd die perfect geschikt zijn voor bedrijven die op zoek zijn naar extra beveiliging. Met de ActiveProtect Manager (APM) en Data Protection (DP) series kunnen bedrijven en scholen zoals het Ichthus College hun gegevens beveiligen en hun bedrijf laten groeien met een backupapparaat dat speciaal voor dit doel is ontworpen. ActiveProtect is een alles-in-één oplossing voor gegevensbescherming die is ontworpen voor moderne bedrijven. De DP-serie, zoals de DP320 en DP340, zijn vooraf geconfigureerd met hardware en worden aangestuurd door ActiveProtect Manager, een speciaal ontworpen besturingssysteem. Deze oplossing vereenvoudigt het beheer en biedt uitgebreide mogelijkheden voor backup en herstel. Geavanceerde functies zoals onveranderlijkheid, geïsoleerde backups en toegangscontrole beschermen uw gegevens tegen ransomware en andere bedreigingen.
Conclusie: data veilig houden
Het Ichthus-voorbeeld laat zien hoe een enterprise-grade backup-strategie gerealiseerd kan worden voor een organisatie met beperkte middelen. Ter afsluiting van dit overzicht herhaalt Bejan de belangrijkste uitdagingen waar bedrijven voor staan en hoe Synology kan helpen deze op te lossen. “Wacht niet tot ransomware gebeurt. Het is het beste om altijd uit te gaan van een zero-trust, veronderstel inbreuk mentaliteit, en uw bedrijf voor te bereiden alsof ransomware elk moment kan gebeuren.”
Tot slot wijst Bejan op de volgende kaders waaraan Synology organisaties kan helpen zich te houden:
Organisaties kunnen hun beveiliging verbeteren door middel van drie robuuste kaders: toegangscontrole, systeembeveiliging, backup en herstel.
Zorg altijd voor een extra beveiligingslaag. Synology biedt tal van licentievrije oplossingen om te zorgen voor extra lagen van backup. Bij backup en herstel moet regelmatig een backup worden gemaakt van gegevens, met meerdere kopieën op verschillende locaties. Het is ook belangrijk om een backup te maken naar verschillende bestemmingen met ondersteuning voor versiebeheer. Het regelmatig testen van backup- en herstelprocedures is essentieel voor een snel en effectief herstel, en gebruikers moeten een herstelplan voor calamiteiten ontwikkelen en onderhouden. Gebruikers kunnen antivirus- en antimalwaresoftware installeren en onderhouden om bedreigingen te detecteren en te verwijderen, en kiezen voor leveranciers van oplossingen met een bewezen staat van dienst op het gebied van productbeveiliging.Bij identiteits- en toegangsbeheer wordt rolgebaseerde toegangscontrole ondersteund, samen met het gebruik van sterke, unieke wachtwoorden en multifactorauthenticatie (MFA).
Van de drie wordt de nadruk steeds meer gelegd op backup en herstel. Nu ransomware steeds geavanceerder wordt, is het bijna onmogelijk om volledige beveiliging te garanderen. De industrie pleit nu voor een “veronderstel inbreuk”-mentaliteit, die zich richt op het minimaliseren van de impact wanneer volledige preventie niet haalbaar is.