Advertorial

Door Tweakers Partners

De weg naar een schaalbare en veilige storage & back-up-oplossing voor het Rijk

10-11-2022 • 12:00

14 Linkedin

SSC-ICT, een van de grootste ict-dienstverleners van en voor de Rijksoverheid, stond voor de uitdaging om standaard storage & back-up schaalbaar te maken. Waarom was dit nodig, hoe is dit aangepakt en wat staat er nog meer op de planning? “Het was tijd voor een verbeterslag, zowel in standaardisatie als in beveiliging.”

“De enorme schaalvergroting bij de Nederlandse overheid schreeuwde om een duurzame oplossing voor storage & back-up”, zegt Ruud, senior storage engineer in het File Storage Team bij SSC-ICT. “SSC-ICT werkte oorspronkelijk volledig op block storage en san, oftewel storage area network. Zo’n zes jaar geleden kwam er een kentering en werd file storage op basis van nas-systemen - network attached storage - geïntroduceerd. Men dacht toen ‘dat doen we er wel even bij’. Maar de technieken zijn in het afgelopen decennium dusdanig veranderd dat die vlieger niet opging.” Jurgen, teamleider Storage en Back-up services, vult hem aan: “De legacy die we overnamen, was niet wat we voor de toekomst wilden. Het was tijd voor een verbeterslag, zowel in standaardisatie als in beveiliging.”

SSC-ICT ontwikkelt en beheert de ict-infrastructuur van verschillende ministeries en buitenlandse ambassades. Dat gebeurt vanuit het eigen Overheidsdatacenter (ODC). Mensen als Ruud en Jurgen zorgen ervoor dat tussen de 40.000 en 60.000 rijkscollega’s van zeven ministeries hun werk in dienst van de samenleving altijd, overal en veilig kunnen doen. Voortdurend zoeken ze naar manieren om impact te maken met nieuwe tools en technieken, zoals met het ontwikkelen van een schaalbare en veilige storage & back-up-infrastructuur.

Op zoek naar differentiatie en synergie

“Differentiatie en synergie. Splitsing en samenwerking. Het lijkt een contradictie, maar juist door de verschillen tussen de beide storage-systemen te erkennen, is er ruimte ontstaan voor samenwerking en het volledig ontzorgen van de eindgebruiker”, aldus Ruud. “Eerder werd er nog weleens een server aan san gekoppeld, waarop vervolgens een share werd opengezet. Hierdoor kon nas worden gebruikt op een block storage-oplossing. Dat moet je eigenlijk niet willen. Block storage doet veel beter zijn werk met enkel een san-oplossing, en file storage presteert het best met nas.” De eerste stap naar schaalbare storage en back-up was dan ook het uit elkaar trekken van die twee. Dit was al gebeurd toen Ruud drie en een half jaar geleden in dienst kwam bij SSC-ICT. “De differentiatie op basis van harde functionaliteit en technische limiteringen was er dus al”, merkt hij op. “Stap twee was het verder optimaliseren van de file storage-afdeling. Hier werd ik voor ingevlogen.”

De ontwikkeling van nas

Volgens Ruud is een nas-oplossing van nu niet meer vergelijkbaar met die van tien jaar geleden. “Vroeger zette je san, dat draait op Fiber Channel, in voor high performance. Het werd vaak gebruikt voor databases, zoals een Oracle- of MS SQL-database. Als er een locatie nodig was om documenten te delen, werd nas gebruikt. Nas was heel traag, omdat je te maken had met de snelheid van je eigen netwerk. Maar dat is nu wel anders. Zomaar zeggen dat nas langzaam is, is iets uit het verleden.” Jurgen voegt toe: “Tegenwoordig liggen de snelheden van nas heel dicht in de buurt van die van san.”

Building blocks als basisoplossing

De oplossing voor het optimaal inrichten van file storage lag in het gebruik van building blocks. Ruud vertelt dat het team inmiddels met de volgende blokken werkt:

  • Servervirtualisatie:
    Door het virtualiseren van servers kunnen meerdere servers en besturingssystemen tegelijkertijd op één (of meerdere) fysieke machines draaien. Dit betekent dat er minder hardware nodig is voor dezelfde opslagcapaciteit.
  • Desktopvirtualisatie:
    Desktopvirtualisatie heeft gezorgd voor een grote stap in flexibiliteit voor eindgebruikers. Ze kunnen met elk gewenst device inloggen op een virtuele desktop in het datacentrum. Vanaf daar hebben ze toegang tot hun homedrive en afdelingsschijven. Byod (bring your own device) wordt steeds vaker toegepast. De veilige link vanuit de eigen laptop of tablet naar de beveiligde werkomgeving garandeert snel en veilig werken.
  • Database storage:
    De regel is dat databases draaien op block storage. Er is echter één uitzondering op deze regel, en dat is de database-oplossing voor SAP HANA. De in-memory data-opslag van SAP HANA past namelijk goed binnen file storage. Gegevens zijn binnen deze oplossing bovendien eenvoudig te delen.
  • User file storage:
    In dit building block worden alle gebruikersdata, zoals homedrives en afdelingsschijven, hiërarchisch opgeslagen.
  • Server file storage:
    Alle applicaties die een vorm van file storage nodig hebben, kunnen in de file storage-omgeving worden opgeslagen.
  • Storage tiering & S3-opslag:
    In deze building block wordt gewerkt met Amazon S3 server-side encryption. Dit building block wordt gebruikt om koude- en back-updata te offloaden naar goedkopere disks. Daarnaast biedt dit platform oplossingen om gebruik te maken van S3 (private) cloud storage voor onze klanten.


    Het vervolg: unieke uitdagingen vroegen om een unieke aanpak

    De genoemde building blocks hebben een basis gelegd voor een gestandaardiseerde file storage-infrastructuur en zijn volledig gericht op de functionaliteiten die de eindgebruiker nodig heeft. Er is echter meer. Ruud: “We moeten rekening houden met een gigantische hoeveelheid gegevens. Op dit moment hebben we, als we alles op disk zouden zetten, maar liefst 42 petabyte aan unieke data. Door compressie en deduplicatie hebben we dit weten te reduceren tot een significant lager fysiek aantal. Door het toepassen van deze technieken kunnen we een grote hoeveelheid data in een fractie van de ruimte opslaan, inclusief back-up. Zo voorkom je dat je enorm veel harddisks nodig hebt.” Jurgen vult aan: “Als we dit niet zouden doen, zou de opslag minstens een vijf tot tien keer grotere footprint hebben. Tel maar uit wat dat kost, zeker met de huidige stroomprijzen en het nijpende personeelstekort.”

    Daarnaast is er natuurlijk nog het aspect veiligheid; van levensbelang voor iedereen die werkt bij het Rijk. Jurgen vertelt trots en met een knipoog: “Als ‘stoffige’ storage-beheerders staan we aan de frontlinie op het gebied van cybersecurity. We laten ons steeds meer zien aan de voorkant, besteden veel aandacht aan anti-malware- en anti-ransomware-scanning en optimaliseren direct voor de eindgebruiker. Zo hebben we bijvoorbeeld het recovery point objective heel klein gemaakt. Mocht er ooit sprake zijn van een cyberaanval, dan kunnen we verloren gegevens in een relatief kort tijdsbestek en met weinig dataverlies herstellen.”

    Zicht op de toekomst en de enterprise mindset

    Nieuwe technologieën aanboren, lifecyclen, technische schulden uit het verleden inlossen, en blijven streven naar verbetering: dat is waar Ruud en Jurgen voor gaan. Jurgen: “De overheid heeft misschien het imago standvast en statisch te zijn, maar hij is steeds flexibeler geworden. Hybride werken is tegenwoordig de norm en nieuwe technieken worden omarmd. Werken voor de BV Nederland is bovendien allesbehalve eentonig. Soms is het politiek spannend en moet er snel worden gehandeld. Daar moet je tegen kunnen.”
    Ruud: “Het werkveld is gigantisch en absoluut anders dan bij een commercieel bedrijf. Zo zet je data bijvoorbeeld niet zomaar neer in een public cloud. De komende jaren gaan we de samenwerking met andere afdelingen, zoals applicatiebeheer, virtualisatie, databasebeheerders en andere IT-leveranciers binnen de overheid, verder versterken. De volgende stap is die van verdere standaardisatie naar automatisering. We denken en handelen altijd met het grote geheel in ons achterhoofd. Een enterprise mindset is dan ook een vereiste.”

SSC-ICT werkt voortdurend aan het vergroten van zijn IT-capaciteit. Wil je meer weten over werken bij SSC-ICT en ben je benieuwd of er vacatures openstaan die passen bij jouw profiel? Check het hier.

Dit artikel is geen redactioneel artikel, maar gesponsord en tot stand gekomen dankzij SSC-ICT en Tweakers Partners. Dit is de afdeling binnen Tweakers die verantwoordelijk is voor commerciële samenwerkingen, winacties en Tweakers events zoals meet-ups, Developers Summit, Testfest en meer. Kijk hier voor een overzicht van alle acties en events. Mocht je ideeën met ons willen delen over deze vorm van adverteren, dan horen wij dat graag. Hierover kun je met ons in gesprek via [Discussie] Reclame algemeen].

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Reacties (14)

Wijzig sortering
Storage tiering & S3-opslag:
In deze building block wordt gewerkt met Amazon S3 server-side encryption. Dit building block wordt gebruikt om koude- en back-updata te offloaden naar goedkopere disks
Server-side encryption? Dus data wordt pas versleuteld op de server van Amazon? Klinkt niet heel veilig. Waarom niet client-side versleutelen en dan pas naar S3 uploaden?
Reageer
Ze gebruiken een S3 compatible storage oplossing. Dus het wordt niet opgeslagen bij AWS maar je kan wel de AWS S3 client gebruiken met al zijn eigenschappen ( behalve dan de regio parameter).
Reageer
Klopt, maar dan is het nog steeds niet verstandig. Om het encrypten aan de S3 kant over te laten.
Als ik in productie, op een bug aan het jagen ben. Wil ik niet de data van de klant kunnen zien. Iets wat dus wel mogelijk is, als de key bij de S3 provider beschikbaar is.
Reageer
Je kan natuurlijk ook server side encryption doen met customer managed keys. Wel server side encryption maar de keys worden server side niet bewaard. Er zijn verschillende manieren hoe je de encryptie kan doen en per scenario moet je bepalen welke je kiest.
Reageer
En dan is het dus client side encryption Als de server de keys niet weet :+
Reageer
Nee, dat bedoel ik niet:

https://aws.amazon.com/bl...ncryption-with-your-keys/
Use Your Keys
This new feature is accessible via the S3 APIs and is very easy to use. You simply supply your encryption key as part of a PUT and S3 will take care of the rest. It will use your key to apply AES-256 encryption to your data, compute a one-way hash (checksum) of the key, and then expeditiously remove the key from memory. It will return the checksum as part of the response, and will also store the checksum with the object
Reageer
dus is het alsnog server side encrytion. Iets daartussen bestaat niet, je stuurt de (private)key dus naar S3 en die verwerkt het. Wat houd ze tegen die key alsnog ergens op te slaan "voor het geval je hem verliest"


of voor de overheid
Reageer
Ik snap de constructie ook niet helemaal.
Maar als ik het goed heb, gaat het om een stukje key management, wat5 je natuurlijk zere goed in de cloud kan doen.

Zelf vind ik het altijd beter, om aan de client kan data te encrypten, voordat ik het naar de cloud backup.

Maar aan de andere kant, als de cloud je key ook weet. Kan je met die data in de cloud heel veel leuke dingen doen.
Reageer
Overal waar jij 'pas' schrijft, kan je 'ook' neerzetten. De gegevens zijn ongetwijfeld op meerdere lagen versleuteld. Bedenk dat de gemiddelde backup ook aan compressie doet, daarbij is versleuteling eenvoudig toe te voegen.

En daarmee is het misschien wel extra veilig: De eerste ontsleuteling van de amazonS3 versleuteling levert weer 'onzin' gegevens op die nog een keer moeten worden ontsleutelt, daarmee weet je dus niet zo snel of je goed zit.
Reageer
Geen kritiek op deze advertorial, maar mij valt wel op dat er maar één vacature is bij SSC-ICT is.
Reageer
Fijn dat de PostNL hier de tijd heeft voor gevonden om aan mee te werken :)
Dit artikel is geen redactioneel artikel, maar gesponsord en tot stand gekomen dankzij PostNL en Tweakers Partners.
Reageer
Oeps! Goed gespot, het is inmiddels aangepast.
Reageer


Om te kunnen reageren moet je ingelogd zijn

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee