RTO e RPO: Qual è la differenza?
GDIl Recovery Time Objective (RTO) e il Recovery Point Objective (RPO) sono due parametri chiave in Disaster Recovery e nei piani di protezione dei dati. Aiutano a determinare la strategia corretta per proteggere la continuità operativa (RTO) e mantenere l’integrità dei dati (RPO).
Continua a leggere questa guida per saperne di più su RTO, RPO e su come utilizzarli per potenziare la Resilienza dei dati della tua organizzazione.
Che cos’è l’RTO?
Un recovery time objective (RTO) è il tempo massimo accettabile tra il disastro e il ripristino, oltre il quale un’azienda subisce danni critici.
Definire l’RTO si riduce a questa domanda: per quanto tempo possiamo rimanere ragionevolmente fermi dopo un’interruzione senza un impatto significativo sul nostro business?
Che cos’è l’RPO?
Un recovery point objective (RPO) è il tempo massimo accettabile tra l’ultima copia di backup e adesso. In questo contesto, “adesso” si riferisce a tutti i dati attualmente archiviati in produzione.
Definire l’RPO porta a chiedersi: quanti dati possiamo ragionevolmente perdere in un incidente di sicurezza prima che inizi a compromettere il nostro business?
Nota: sebbene l’RPO descriva una quantità di dati, viene espresso in unità di tempo, non in unità di storage. Questo perché i dati si accumulano a un ritmo variabile, quindi non possiamo prevedere l’esatta quantità che verrà generata. Per questo motivo, il tempo è il modo più affidabile per misurare l’RPO.
RTO vs. RPO
La differenza principale tra RPO e RTO risiede nel loro scopo. L’RTO supporta la continuità operativa, mentre l’RPO è focalizzato sui dati. In altre parole, l’RTO protegge il futuro. L’RPO protegge il passato.
Recovery Time Objective (RTO)
L’RTO protegge i dati più recenti, consentendoti di ripristinare le modifiche più aggiornate, aspetto fondamentale per mantenere operative le attività aziendali.
Migliorare l’RTO richiede investimenti in hardware ad alte prestazioni ottimizzato per i casi d’uso di ripristino, incluso il supporto per il bilanciamento del carico e per l’Instant Recovery, che può eseguire i workload in errore direttamente dai backup.
Si parla di recovery time objective perché riguarda la minimizzazione dei tempi di ripristino.
Recovery Point Objective (RPO)
L’RPO protegge tutti i dati che la tua azienda ha raccolto fino a questo momento. L’RPO si basa sui backup e la relazione è semplice: più frequenti sono i backup, migliore è l’RPO e minore è la quantità di dati a rischio di perdita.
Chiamiamo l’RPO recovery point objective perché definisce il punto più recente del backup dei dati. Per esempio, un RPO pari a 0 richiederebbe che ogni modifica ai dati venga duplicata in tempo reale, eliminando le discrepanze tra backup e produzione. Questo approccio si chiama continuous data protection (CDP).
Nella sua forma più rigorosa, la continuous data protection può portare l’RPO a zero, ma è così intensiva in termini di risorse che poche aziende la implementano alla lettera.
L’importanza di RTO e RPO
La verità è che le aziende non vogliono subire né downtime né perdita di dati. Inquadrarli come “accettabili” o “tollerabili” potrebbe farti sentire… beh, a disagio.
Tuttavia, dedicare tempo al calcolo di RTO e RPO ti darà, paradossalmente, la tranquillità di sapere che la tua organizzazione può resistere a un disastro.
Altri vantaggi di RTO e RPO per la tua azienda includono:
- Migliore preparazione ai disastri. RTO e RPO orienteranno l’intera strategia di ripristino e la renderanno più realistica. Ti indirizzeranno verso le risorse, i passaggi e i protocolli corretti per mitigare la perdita di dati e l’interruzione operativa.
- SLA realistici e affidabili. Una volta noti RTO e RPO realizzabili per la tua azienda, puoi includerli nel tuo Service-Level Agreement e rispettarli con sicurezza.
- Ripartizione del lavoro ottimizzata. RTO e RPO aiuteranno anche a progettare e snellire i flussi di lavoro dei dipendenti durante un incidente. Ancora una volta: quando hai un obiettivo chiaro e ancorato alla realtà, puoi pianificare e delegare facilmente le attività attorno a esso.
Come calcolare RTO e RPO?
Segui i passaggi seguenti per raccogliere le informazioni corrette e utilizzarle per calcolare RTO e RPO nella tua organizzazione.
Passaggio 1: Intervista
Chiedi alla leadership e al management di classificare i sistemi e le applicazioni dell’organizzazione dal più al meno critico per la continuità operativa e i ricavi.
Passaggio 2: Categorizza
Con queste informazioni, ordina i sistemi in livelli. Per esempio, assegna le app più critiche al Tier 1, quelle meno critiche al Tier 2 e le meno critiche al Tier 3.
Passaggio 3: Esamina
Ora, immagina che ci sia un’interruzione del servizio dovuta a un incidente di sicurezza. Esamina ciascun sistema uno per uno, assumendo che sia stato compromesso, e determina quanto segue:
| RTO | RPO |
|---|---|
| La frequenza dell’interruzione. |
Perdita di dati stimata in base alle pianificazioni di backup esistenti. |
| La sua durata media. | Il costo della perdita di dati prevista. |
| Il costo del downtime al minuto. | Il costo di ricostruzione dei dati persi, ad esempio in termini di lavoro umano. |
| Il service-level agreement (SLA), se applicabile. | |
| Il potenziale di abbandono dei clienti o insoddisfazione. | |
| Impatto potenziale su altri sistemi. |
Tabella 1. Checklist di pre-valutazione per RTO e RPO.
Passaggio 4: Calcola
Con i dati del Passaggio 3, usa le domande seguenti per determinare le metriche corrette per la tua azienda.
| Determinare l’RTO | Determinare l’RPO |
|---|---|
| Qual è il downtime massimo accettabile? |
Qual è la frequenza di backup nei diversi reparti della tua organizzazione? |
| Quali risorse sono necessarie per rimanere entro quel limite? | Che cosa dice il tuo piano di continuità operativa su RPO e pianificazioni di backup? |
| Quanto tempo servirà per mettere in atto le procedure necessarie? | Quali sono gli standard di settore per la frequenza di backup in base alla criticità del sistema (tier)? |
| Il tuo RTO è il downtime massimo accettabile più il tempo necessario per reperire le risorse. | L’RPO della tua organizzazione dovrebbe allinearsi al sistema sottoposto a backup più frequentemente, al tuo piano di continuità operativa e agli standard di settore. |
Tabella 2. Checklist per calcolare RTO e RPO
Best practice per RTO e RPO
In un mondo perfetto, RTO e RPO dovrebbero sempre essere pari a zero. Ma, per come vanno le cose, è improbabile che queste metriche raggiungano tale ideale. Detto questo, ecco alcune best practice che puoi promuovere nella tua organizzazione per ridurre RTO e RPO:
- Pianifica backup frequenti. La regola è semplice: più frequenti sono i backup, migliore sarà il tuo RPO. Inoltre, assicurati di conservare i dati più sensibili su backup immutabili per una sicurezza aggiuntiva.
- Sfrutta la ridondanza. Adotta uno schema di replica dei dati. La replica non sostituisce i backup, ma aggiunge un ulteriore livello di sicurezza per il tuo business.
- Test e convalida. Anche i migliori RTO e RPO restano solo un’illusione finché non li testi e non li convalidi in condizioni reali.
- Ripristino basato sulle priorità. Rendi il tuo Disaster Recovery efficiente nell’uso delle risorse: assegna priorità ai sistemi e ripristina prima quelli critici.
- Automazione. Sfrutta l’automazione per gestire le pianificazioni dei backup, ma non dimenticare di verificare che continui ad allinearsi alla tua strategia aziendale.
- Storage offsite. Segui la Regola di Backup 3-2-1 per rendere i backup ancora più sicuri: con tre copie di backup identiche su due supporti diversi e una di queste offsite, così da non essere influenzata da disastri locali come le alluvioni.
In che modo Ootbi può aiutare nel disaster recovery?
In definitiva, RTO e RPO dipendono da quanto il tuo sistema di backup e ripristino sia sicuro, semplice e potente.
Ootbi (Out-of-the-Box Immutability) di Object First è un’appliance di backup progettata allo scopo per i clienti Veeam che soddisfa tutti questi requisiti.
- Ootbi è sicuro. A prova di ransomware e immutabile out-of-the-box, Ootbi è progettato secondo i più recenti principi di resilienza dei dati Zero Trust, con accesso root pari a zero, segmentazione integrata e più zone di resilienza.
- Ootbi è semplice. Installato a rack, impilato e alimentato in meno di 15 minuti senza richiedere competenze tecniche, Ootbi viene gestito e ottimizzato automaticamente dal fornitore.
- Ootbi è potente. Progettato pensando alle prestazioni, Ootbi scala linearmente in pochi minuti e supporta velocità di backup fino a 4GB/s e Instant Recovery testato su larga scala con fino a 80 VM in esecuzione su un cluster a quattro nodi.
Altri hanno migliorato le proprie metriche con Ootbi. Ad esempio, Centerbase, una soluzione di gestione dello studio legale, ha ridotto il proprio RPO del 50%. Ecco cosa hanno detto:
Usa Ootbi per migliorare anche le tue metriche. Prenota oggi una demo gratuita e lascia che i nostri ingegneri ti mostrino la magia dietro la scatola. Prenota una demo
FAQ
Quali sono esempi di RTO e RPO?
Nel caso dell’RTO, supponiamo che un attacco ransomware disabiliti il tuo server web, rendendo il sito inaccessibile ai clienti. In base a calcoli precedenti, il downtime massimo accettabile per questo sistema è di 1 ora. Oltre tale soglia, inizierai a perdere traffico, clienti e reputazione. Pertanto, il server web deve essere ripristinato alla piena operatività entro quella finestra temporale.
Nel caso dell’RPO, poniamo che la tua analisi mostri che la copia di backup più recente dei dati del server web non debba essere più vecchia di 1 ora. Non vuoi perdere anagrafiche clienti e transazioni antecedenti a quel momento. Di conseguenza, purché l’ultimo backup del server web sia stato eseguito entro 60 minuti dall’incidente, i requisiti di RPO saranno soddisfatti.
Che cos’è il disaster recovery?
Il disaster recovery è un piano d’azione dettagliato che mira a prevenire il verificarsi di incidenti di sicurezza e a mitigarne le conseguenze qualora si verifichino. RTO e RPO sono fondamentali, ma non sono gli unici elementi di una strategia Disaster Recovery.
