RZ-Georedundanz: kurze oder lange Entfernung?
20.08.2019 / Dr. Behrooz Moayeri / Leiter Competence Center Akademie
Thomas Simon / Geschäftsführer und Datenschutzbeauftragter großer Konzerne
Was versteht man unter RZ-Georedundanz?
RZ-Georedundanz bedeutet die Verteilung von Ressourcen eines Rechenzentrums auf verschiedene Standorte. Das Ziel besteht darin, dass dasselbe Schadensereignis nicht alle Standorte gleichzeitig beeinträchtigt. Dafür müssen die Standorte einen Mindestabstand aufweisen.
Was ist der Mindestabstand zwischen georedundanten Rechenzentren?
Das hängt davon ab, vor welchen Schadensereignissen man den RZ-Verbund schützen will. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat dazu im Dezember 2018 eine Publikation vorgelegt. Sie trägt den Titel „Kriterien für die Standortwahl höchstverfügbarer und georedundanter Rechenzentren“. Dieses Dokument legt die Hürden sehr hoch. Der dort festgelegte Mindestabstand beträgt 200 km. Einen deutlich geringeren Abstand als 200 km halten die Autoren nur dann für zulässig, wenn die unabweisbare Notwendigkeit dafür schriftlich und ausführlich dokumentiert wird. In diesem Fall wird außerdem eine Risikoanalyse gefordert. Laut der BSI-Veröffentlichung sollen georedundante Rechenzentren keinesfalls weniger als 100 km voneinander entfernt liegen.
Warum ist die Einhaltung eines Abstands von 100 bzw. 200 km eine hohe Hürde?
Die 100 bzw. 200 km sind als Luftlinie zu verstehen, denn Auswirkungen von Schadensereignissen nehmen ja den kürzesten Weg. Die Standorte sind über Kabel miteinander zu verbinden. Da diese RZ-Kopplung ausfallsicher sein soll, sind zwischen zwei georedundanten Standorten mindestens zwei kreuzungsfreie Trassen zu nutzen. Bei 100 bzw. 200 km Luftlinie ist von mehreren hundert Kilometern Kabelweg der längeren Trasse auszugehen. Mehrere hundert Kilometer ergeben eine Signalumlaufzeit von mehreren Millisekunden. Damit verlängern sich die Antwortzeiten für alle laufzeitsensitiven Applikationen und es ist damit zur rechnen, dass sich auch die Zeiten für das Backup (je nach Aufbau des Backup-Systems) deutlich verlängern. Bei einer solchen Latenz ist die synchrone Datenhaltung kaum möglich.
Was ist synchrone Datenhaltung und wer braucht sie?
Synchrone Datenhaltung zwischen zwei RZ-Standorten bedeutet, dass jede Online-Transaktion mit Datenänderung erst dann abgeschlossen ist, wenn die Änderung der betroffenen Daten an beiden Standorten abgeschlossen und bestätigt ist. Organisationen, für die jeglicher Datenverlust gravierende Folgen hat, brauchen eine synchrone Datenhaltung.
Was ist zu tun, um einerseits die BSI-Vorgaben zu erfüllen und andererseits die Daten an verschiedenen Standorten synchron zu halten?
In diesem Fall braucht man mindestens drei Standorte. Zwei der Standorte müssen einen synchronen Verbund bilden. Nach heutigem Stand von Technik und Anwendungen darf der Kabelweg zwischen diesen beiden Lokationen maximal 100 km betragen. Auf die Luftlinie übertragen ergibt sich je nach Topografie ein deutlich kleinerer Abstand, sagen wir 30 bis 70 km. Da ein solcher Verbund die BSI-Vorgaben nicht erfüllt, wird ein dritter Standort benötigt. Zu diesem werden die Daten asynchron repliziert. Asynchron bedeutet dabei entkoppelt von den Online-Transaktionen. Fällt der synchrone Verbund als Ganzes aus, kann dessen Funktion vom dritten Standort übernommen werden. Dabei kommt es allerdings zum Datenverlust. Dieser kann mit Erhöhung der Frequenz der asynchronen Replikation minimiert, aber nicht vollständig ausgeschlossen werden.
