RTO e RPO: Qual é a Diferença?
O Objetivo de Tempo de Recuperação (RTO) e o Objetivo de Ponto de Recuperação (RPO) são dois parâmetros-chave em planos de recuperação de desastres e proteção de dados. Eles ajudam a determinar a estratégia correta para proteger a continuidade dos negócios (RTO) e manter a integridade dos dados (RPO).
Continue lendo este guia para aprender mais sobre RTO, RPO e como usá-los para aumentar a resiliência de dados da sua organização.
O que é RTO?
Um objetivo de tempo de recuperação (RTO) é o tempo máximo aceitável entre um desastre e a recuperação, após o qual um negócio sofre danos críticos.
Definir o RTO se resume a esta pergunta: Quanto tempo podemos ficar fora do ar após uma interrupção sem um impacto considerável em nossos negócios?
O que é RPO?
Um objetivo de ponto de recuperação (RPO) é o tempo máximo aceitável entre a última cópia de backup e o momento atual. Nesse contexto, “agora” refere-se a todos os dados atualmente armazenados em produção.
Definir o RPO levanta a questão: Quanto de dados podemos perder confortavelmente em um incidente de segurança antes que isso comece a impactar nossos negócios?
Nota: Embora o RPO descreva a quantidade de dados, ele é expresso em unidades de tempo, não em unidades de armazenamento. Isso ocorre porque os dados se acumulam a uma taxa variável, então não podemos prever a quantidade exata que será gerada. Por essa razão, o tempo é a maneira mais confiável de medir o RPO.
RTO vs. RPO
A principal diferença entre RPO e RTO reside em seu propósito. O RTO apoia a continuidade dos negócios, enquanto o RPO foca nos dados. Em outras palavras, o RTO protege o futuro. O RPO protege o passado.
Objetivo de Tempo de Recuperação (RTO)
O RTO protege os dados mais recentes, permitindo que você recupere as mudanças mais recentes, o que é importante para manter os negócios operacionais.
Melhorar o RTO requer investir em hardware de alto desempenho otimizado para o caso de uso de recuperação, incluindo suporte para balanceamento de carga e Recuperação Instantânea, que pode executar cargas de trabalho com falha diretamente a partir de backups.
O RTO é chamado de objetivo de tempo de recuperação porque se trata de minimizar o tempo de recuperação.
Objetivo de Ponto de Recuperação (RPO)
O RPO protege todos os dados que sua empresa coletou até agora. O RPO depende de backups, e a relação é simples: quanto mais frequentes os backups, melhor o RPO, e menos dados estão em risco de serem perdidos.
Chamamos o RPO de objetivo de ponto de recuperação porque ele define o último ponto de backup de dados. Por exemplo, um RPO de 0 exigiria que cada mudança nos dados fosse duplicada em tempo real, eliminando discrepâncias entre backup e produção. Essa abordagem é chamada de proteção contínua de dados (CDP).
Em sua forma estrita, a proteção contínua de dados pode levar o RPO a zero, mas é tão intensiva em recursos que poucas empresas a implementam à risca.
A Importância do RTO e RPO
A verdade é que as empresas não querem sofrer qualquer tempo de inatividade ou perda de dados. Enquadrar isso como “aceitável” ou “confortável” pode fazer você se sentir… bem, desconfortável.
No entanto, dedicar tempo para calcular o RTO e o RPO dará, paradoxalmente, a você o conforto de saber que sua organização pode suportar um desastre.
Outros benefícios do RTO e RPO para sua empresa incluem:
- Melhor Preparação para Desastres. O RTO e o RPO informarão toda a sua estratégia de recuperação e a tornarão mais realista. Eles apontarão os recursos, etapas e protocolos corretos para mitigar a perda de dados e a interrupção dos negócios.
- SLAs realistas e confiáveis. Uma vez que você saiba o RTO e o RPO viáveis para sua empresa, poderá incluí-los em seu Acordo de Nível de Serviço e entregá-los com confiança.
- Divisão de Trabalho Otimizada. O RTO e o RPO também ajudarão a projetar e agilizar os fluxos de trabalho dos funcionários para um incidente. Novamente - quando você tem um objetivo claro fundamentado na realidade, pode planejar e delegar tarefas em torno disso com facilidade.
Como Calcular RTO e RPO?
Siga os passos abaixo para reunir as informações corretas e usá-las para calcular o RTO e o RPO em sua organização.
Passo 1: Entrevista
Peça à sua liderança e gestão para classificar os sistemas e aplicativos da organização do mais crítico ao menos crítico para a continuidade dos negócios e receita.
Passo 2: Categorizar
Armado com essas informações, classifique os sistemas em camadas. Por exemplo, atribua os aplicativos mais críticos à Camada 1, os menos críticos à Camada 2 e os menos críticos à Camada 3.
Passo 3: Examinar
Agora, imagine que há uma interrupção de serviço devido a um incidente de segurança. Passe por cada sistema um por um, assumindo que foi comprometido, e determine o seguinte:
| RTO | RPO |
|---|---|
| A frequência da interrupção. | Perda de dados estimada com base nos cronogramas de backup existentes. |
| Sua duração média. | O custo da perda de dados projetada. |
| O custo de inatividade por minuto. | O custo de reproduzir os dados perdidos - em termos de trabalho humano, por exemplo. |
| O acordo de nível de serviço (SLA), se aplicável. | |
| O potencial de perda de clientes ou insatisfação. | |
| Impacto potencial em outros sistemas. |
Tabela 1. Lista de verificação de pré-avaliação para RTO e RPO.
Passo 4: Calcular
Com os dados do Passo 3, use as perguntas abaixo para determinar as métricas corretas para sua empresa.
| Determinando RTO | Determinando RPO |
|---|---|
| Qual é o tempo máximo aceitável de inatividade? | Qual é a frequência de backup nos diferentes departamentos dentro da sua organização? |
| Quais são os recursos necessários para permanecer dentro desse limite? | O que seu plano de continuidade de negócios diz sobre RPO e cronogramas de backup? |
| Quanto tempo levará para implantar os procedimentos necessários? | Quais são os padrões da indústria para a frequência de backup dependendo da criticidade do sistema (camadas)? |
| Seu RTO é o tempo máximo aceitável de inatividade mais o tempo para reunir os recursos. | O RPO da sua organização deve estar alinhado com o sistema mais frequentemente respaldado, seu plano de continuidade de negócios e os padrões da indústria. |
Tabela 2. Lista de verificação para calcular RTO e RPO
Melhores Práticas para RTO e RPO
Em um mundo perfeito, RTO e RPO deveriam sempre ser iguais a zero. Mas a vida como ela é, as métricas provavelmente não corresponderão a esse ideal. No entanto, aqui estão algumas melhores práticas que você pode promover dentro de sua organização para reduzir RTO e RPO:
- Agende backups com frequência. A regra é simples - quanto mais frequentes seus backups, melhor seu RPO. Além disso, certifique-se de manter os dados mais sensíveis em backups imutáveis para segurança extra.
- Aproveite a redundância. Siga um esquema de replicação de dados. A replicação não é um substituto para backups, mas adiciona uma camada extra de segurança para seus negócios.
- Testes e validação. Mesmo os melhores RTO e RPO são apenas uma ilusão até que você os teste e valide em circunstâncias da vida real.
- Recuperação baseada em prioridade. Torne sua recuperação de desastres eficiente em termos de recursos - priorize seus sistemas e restaure os críticos primeiro.
- Automação. Aproveite a automação para gerenciar seus cronogramas de backup, mas não se esqueça de verificar se continua alinhada com sua estratégia de negócios.
- Armazenamento fora do site. Siga a regra de backup 3-2-1 para tornar seus backups ainda mais seguros - com três cópias de backup idênticas em dois meios diferentes, e uma delas fora do site, para que não seja afetada por desastres locais, como inundações.
Como Ootbi Pode Ajudar na Recuperação de Desastres?
Em última análise, RTO e RPO dependem de quão seguro, simples e poderoso é seu sistema de backup e recuperação.
Ootbi (Imutabilidade Fora da Caixa) da Object First é um appliance de backup projetado especificamente para clientes Veeam que atende a todas essas frentes.
- Ootbi é seguro. À prova de ransomware e imutável desde o início, o Ootbi é projetado em torno dos mais recentes princípios de Resiliência de Dados Zero Trust, com zero acesso à raiz, segmentação embutida e múltiplas zonas de resiliência.
- Ootbi é simples. Montado, empilhado e alimentado em menos de 15 minutos, sem necessidade de expertise técnica, o Ootbi é mantido e otimizado automaticamente pelo fornecedor.
- Ootbi é poderoso. Projetado com desempenho em mente, o Ootbi escala linearmente em minutos e suporta velocidades de backup de até 4GB/s e Recuperação Instantânea testada em escala com até 80 VMs rodando em um cluster de quatro nós.
Outros melhoraram suas métricas com o Ootbi. Por exemplo, a Centerbase, uma solução de gerenciamento de práticas jurídicas, reduziu seu RPO em 50%. Aqui está o que eles disseram:
Use o Ootbi para melhorar suas métricas também. Agende uma demonstração gratuita hoje e deixe nossos engenheiros mostrar a mágica por trás da caixa. Agendar demonstração
FAQ
Quais são exemplos de RTO e RPO?
No caso do RTO, suponha que um ataque de ransomware desative seu servidor web, tornando seu site inacessível para os clientes. Com base em cálculos anteriores, o tempo máximo aceitável de inatividade para esse sistema é de 1 hora. Depois disso, você começará a perder tráfego, clientes e reputação. Portanto, o servidor web deve ser restaurado à capacidade total dentro dessa janela de tempo.
No caso do RPO, digamos que sua análise mostre que a cópia de backup mais recente dos dados do servidor web não deve ser mais antiga que 1 hora. Você não quer perder registros de clientes e transações de além desse ponto no tempo. Consequentemente, desde que o último backup do servidor web tenha sido realizado dentro de 60 minutos após o incidente, seus requisitos de RPO serão atendidos.
O que é Recuperação de Desastres?
Recuperação de desastres é um plano de ação detalhado que visa prevenir a ocorrência de incidentes de segurança e mitigar suas consequências caso ocorram. RTO e RPO são vitais, mas não os únicos elementos de uma estratégia de recuperação de desastres.
