BSI differenziert Betriebs- und Georedundanz

Behrooz Moayeri

Seit Ende Oktober 2019 steht die Version 2.0 der BSI-Kriterien für die Wahl von RZ-Standorten zur Verfügung: https://www.bsi.bund.de/DE/Themen/Sicherheitsberatung/Hochverfuegbarkeit/Standort-Kriterien_HV-RZ/Standort-Kriterien_HV-RZ_node.html 

Darin wird anders als in der Vorversion vom Ende 2019 zwischen Betriebs- und Georedundanz bei Rechenzentren unterschieden. 

RZ-Georedundanz 

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bleibt bei seiner aus 2018 stammenden Definition der RZ-Georedundanz. Demnach spricht man von Georedundanz, wenn der Abstand zwischen den sich Redundanz gebenden Standorten mindestens 200 km beträgt. Mit einer Risikoanalyse und einer schriftlichen Begründung sind auch kürzere Entfernungen akzeptabel, allerdings keinesfalls unter 100 km. Gemeint ist die Luftlinie (nicht der Kabelweg), auch wenn das BSI-Papier dies nicht ausdrücklich erwähnt. Mit 200 bzw. 100 km Abstand ist sicherzustellen, dass ein großflächiges Ereignis wie z.B. ein nuklearer Unfall nicht gleichzeitig alle RZ-Standorte betrifft. 

Neu: RZ-Betriebsredundanz 

Neu in der Version 2.0 des BSI-Papiers ist die RZ-Betriebsredundanz in Abgrenzung zur Georedundanz. In dem einen Jahr zwischen den Versionen 1 und 2 müssen das BSI Anregungen für eine solche Differenzierung erreicht haben. Denn viele Organisationen – unter anderem solche, die sich an BSI-Richtlinien orientieren oder gemäß diesen auditiert werden – betreiben RZ-Standorte, die nur wenige Kilometer Luftlinie voneinander entfernt sind. Ein wesentlicher Grund ist das Ziel der Betreiber dieser RZs, die Daten in den RZ-Standorten jederzeit konsistent zu halten. „Jederzeit“ ist durchaus wörtlich zu nehmen und bedeutet eine laufende, bei jeder einzelnen Transaktion sicherzustellende synchrone Replikation. Da sich eine solche Synchronisation auf die Antwortzeiten aller Transaktionen auswirkt, bestimmen die Anwendungen mit den schärfsten Latenzanforderungen den maximalen Abstand zwischen den RZ-Standorten. Nach heutigem Stand darf die Round Trip Time (RTT) zwischen zwei synchronen RZs eine Millisekunde (ms) nicht wesentlich überschreiten. Das entspricht einem Kabelweg von ca. 100 km. Der Kabelweg zwischen zwei RZs ist wesentlich länger als die Luftlinie. Somit schließen sich Georedundanz gemäß BSI-Definition und synchrone Datenhaltung bisher aus. 

Zielkonflikt und Abwägung 

Das neue BSI-Papier wird dem Zielkonflikt zwischen Georedundanz und der Synchronisation insofern gerecht, dass es die Betriebsredundanz zwischen Standorten mit weniger als 100 km Abstand definiert. Den RZ-Betreibern wird nahegelegt, zwischen zwei Zielen (wie immer in solchen Fällen schriftlich dokumentiert) abzuwägen: der Vermeidung jeglichen Datenverlusts und der möglichst kurzen Ausfallzeit, auch nach großflächigen Ereignissen. Ist Ersteres vorrangig, kann man sich für Betriebsredundanz entscheiden. Georedundanz sichert dagegen unter Verzicht auf hundertprozentige Datenkonsistenz, dass der RZ-Betrieb auch nach einem Großereignis wie Erdbeben, Atomunfall etc. fast nahtlos weitergehen kann. Eine Kombination ist natürlich möglich: zwei Standorte mit Betriebsredundanz und ein paar hundert Kilometer weiter ein georedundanter Standort. 

RZ-Design: Netz, Server, Storage, Virtualisierung 24.06. - 25.06.20 in Bonn oder online

In diesem Seminar wird auf viele, teils revolutionäre Neuerungen eingegangen, mit Folgen für Aufbau und Bereitstellung von RZ-Ressourcen. Dabei wird Ihnen eine Einschätzung aktueller Technologien vermittelt, die auf langjähriger Erfahrung basiert.

Der Netzwerk Insider gehört mit seinen Produkt- und Markt-Bewertungen rund um IT-Infrastrukturen zu den führenden deutschen Technologie-Magazinen. Der Bezug des Netzwerk Insiders ist kostenlos.

0 Antworten

Hinterlassen Sie einen Kommentar

Wollen Sie an der Diskussion teilnehmen?
Wir freuen uns über Ihren Beitrag!

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.