RPO og RTO, opbevaring adskilt fra systemet, og hvorfor en utestet kopi er værdiløs
Data går tabt på mange måder: en disk dør, en bruger sletter en mappe ved en fejl, et ransomware-angreb krypterer alt, eller en opdatering ødelægger en database. Backup — sikkerhedskopiering — er forsikringen mod det. Men i modsætning til en forsikring, du aldrig behøver tænke på, skal en backup passes, og vigtigst: den skal kunne bruges, når katastrofen sker. Mange opdager først, at deres backup var ubrugelig, den dag de skal bruge den.
En udbredt og let huskelig tommelfingerregel for robust backup hedder 3-2-1: hav mindst tre kopier af dine data, på mindst to forskellige medietyper, hvoraf mindst én ligger et andet fysisk sted (offsite). Tankegangen er at undgå et fælles svaghedspunkt: ligger alle kopier på samme server eller i samme bygning, kan én hændelse — brand, tyveri, ransomware — tage dem alle. En kopi adskilt fra resten overlever det, der rammer produktionen.
To begreber styrer, hvordan en backup skal designes. RPO (Recovery Point Objective) er, hvor meget data man kan acceptere at miste — målt i tid tilbage til seneste brugbare kopi. Tager man backup én gang i døgnet, kan man i værste fald miste op til et døgns arbejde. RTO (Recovery Time Objective) er, hvor længe man kan acceptere, at systemet er nede, mens man gendanner. Jo lavere RPO og RTO, jo dyrere og mere avanceret en løsning kræves — derfor sættes de ud fra, hvor kritisk det enkelte system er, ikke ens for alt.
Man tager sjældent en fuld kopi af alt hver gang — det fylder og tager tid. I stedet kombineres typer. En fuld backup kopierer alt. En inkrementel backup kopierer kun det, der er ændret siden sidste backup — den er hurtig og lille, men en gendannelse kræver den fulde plus alle de inkrementelle i rækkefølge. En differentiel backup kopierer alt ændret siden sidste fulde backup — den fylder mere end den inkrementelle, men er enklere at gendanne fra.
| Type | Kopierer | Gendannelse |
|---|---|---|
| Fuld | Alt, hver gang | Enklest — kun den ene kopi |
| Inkrementel | Ændringer siden sidste backup (uanset type) | Fuld + alle inkrementelle i rækkefølge |
| Differentiel | Ændringer siden sidste fulde backup | Fuld + seneste differentielle |
Man gemmer ikke alle kopier for evigt — det koster og strider mod princippet om kun at opbevare det nødvendige. En opbevaringsplan (retention) afgør, hvor længe hver type kopi beholdes: måske mange daglige kopier i den nære fortid, færre ugentlige længere tilbage, og enkelte månedlige som langtidsarkiv. Husk, at backup også indeholder persondata — så GDPR'ens regler om sletning og sikkerhed gælder også for dine sikkerhedskopier.
Det er let at forveksle tre ting. Redundans (fx spejlede diske) beskytter mod hardwarefejl, men ikke mod at en fil slettes — sletningen spejles med det samme. Et øjebliksbillede af en virtuel maskine er praktisk, men ligger typisk samme sted som originalen og er ikke en rigtig backup. Et arkiv er langtidsopbevaring af data, man sjældent rører, ikke en kopi til hurtig gendannelse. En gennemtænkt driftssikkerhed bruger dem hver til sit — og en rigtig, adskilt og testet backup er rygraden.
“Ingen vil have backup. Alle vil have gendannelse. Design altid baglæns fra det øjeblik, hvor data skal hentes tilbage.”
— Erfaringsregel fra it-drift