В предыдущей статье мы подробно рассмотрели защитное преобразование резервных копий – основной способ избежать утечки персональных и других конфиденциальных данных. Однако защита от несанкционированного доступа – это лишь часть решения стратегической задачи комплексно обезопасить корпоративную информацию.
Сегодня перейдем к не менее важному аспекту — физической сохранности резервных копий и их защите от уничтожения из-за технического сбоя, человеческой ошибки или намеренной атаки. Сейчас это особенно актуально: киберпреступники все чаще нацеливаются именно на системы резервного копирования – критическую точку инфраструктуры.
Почему одного только защитного преобразования мало
Защитное преобразование действительно надежно защищает данные от прочтения, если носитель украли или посторонний получил доступ к системам хранения. Однако представьте, что все закодированные резервные копии физически уничтожены или их невозможно восстановить. В таком случае даже самое надежное защитное преобразование бесполезно: раскодировать просто нечего. Современный ландшафт угроз включает целый спектр рисков, начиная с отказа или полного уничтожения ЦОДа и заканчивая программными сбоями и ошибками при обновлении ОС. За примерами далеко ходить не надо, новости о таких событиях появляются регулярно. Особую тревогу вызывает тактика, когда в первую очередь целенаправленно уничтожают все доступные резервные копии, и только затем атакуют основную инфраструктуру, лишая организацию любой возможности восстановления. К этому добавляются и физические инциденты разной степени серьезности: от банального случая, когда трактор во время земляных работ перебивает магистральный кабель питания ЦОДа, до природных или антропогенных катастроф.
Правило 3-2-1: фундамент безопасного хранения
Последние два десятилетия золотым стандартом остается правило 3-2-1, которое впервые сформулировал американский фотограф Питер Круг в конце 2000-х годов. Несмотря на простоту, оно доказало свою эффективность и универсальность, адаптируясь к меняющимся реалиям. Его суть в создании трех копий критически важных данных. Их надо хранить на двух разных типах носителей, при этом как минимум одну – в географически удаленном месте. Первая копия — это ваши оригинальные рабочие данные, вторая создается на локальном устройстве для резервного копирования, а третья размещается в отдельном хранилище, будь то другой ЦОД компании или облако. Важность использования разных типов носителей исторически обусловлена риском технологического устаревания — например, массовый переход с магнитных лент одного формата на другой мог сделать старые архивы нечитаемыми. В современных условиях это требование трансформировалось: достаточно использовать разные устройства, и облако вполне можно считать вторым типом носителя. Правительство США в лице Computer Emergency Readiness Team официально рекомендовало этот подход еще в 2012 году в публикации Carnegie Mellon о вариантах резервного копирования данных, что подтверждает его фундаментальную значимость для обеспечения инфобезопасности.
Современные технологии безопасного хранения
Объектные хранилища с функцией Object Lock
Революционным прорывом в области безопасного хранения резервных копий стало появление объектных хранилищ с поддержкой протокола S3 и функции Object Lock. Эта технология кардинально изменила подход к защите данных от несанкционированного изменения или удаления. В основе Object Lock лежит концепция WORM (Write Once, Read Many) — однократной записи и многократного чтения, которая делает записанные данные неизменяемыми на заданный период времени. Согласно исследованиям компании Sophos за 2024 год, в 94% случаев программ-вымогатели пытались скомпрометировать именно резервные копии, поэтому технология Object Lock критически важна для защиты данных.
Ключевое преимущество объектных хранилищ – встроенная поддержка ролевой модели доступа на уровне API. Это позволяет создавать пользователей с гранулярными правами, например, учетную запись, которая может только записывать новые резервные копии, но не способна их читать, модифицировать или удалять. Такое разделение полномочий создает дополнительный барьер для злоумышленников, в том числе инсайдеров.
У Object Lock два основных режима работы для разных сценариев использования. Compliance mode – наиболее жесткий вариант защиты: после установки периода блокировки данные становятся абсолютно неизменяемыми на весь заданный срок, и никто, включая администраторов с правами root, не может их изменить или удалить. Это делает режим Compliance идеальным для соответствия самым строгим нормативным требованиям. Подход Governance mode более гибкий: пользователи с специальными разрешениями могут при необходимости снять блокировку или сменить период хранения, что удобно для операционных нужд при сохранении высокого уровня защиты от случайного удаления.
Дополнительно к периодам хранения Object Lock поддерживает механизм Legal Hold — юридического удержания с бессрочной защитой данных. Это полезно и важно, если надо сохранять информацию для судебных разбирательств или внутренних расследований.
Географическое распределение
Крупные корпорации все чаще реализуют стратегию географического распределения резервных копий: создают выделенные центры обработки данных специально для критически важных архивов. Современные системы резервного копирования автоматизируют процесс: после создания основной резервной копии в локальном ЦОДе автоматически инициируется генерация дубликата в удаленном дата-центре. Расстояние между площадками должно быть достаточным, чтобы защититься от региональных катастроф — обычно рекомендуется минимум 100-200 км, хотя многие размещают их в разных регионах или даже странах.
Это обеспечивает защиту не только при локальных инцидентах вроде пожара или затопления здания, но и от масштабных землетрясений, ураганов или массовых отключений электроэнергии. При этом современные технологии репликации позволяют поддерживать резервные копии в актуальном состоянии с минимальной задержкой, измеряемой минутами или даже секундами для самых критичных данных.
Ленточные библиотеки и air gap
Несмотря на стремительное развитие облаков, классический подход, связанный с использованием ленточных накопителей, сохраняет актуальность для создания истинного «воздушного зазора» (air gap) — полной физической изоляции данных от любых сетевых угроз. Процесс включает их копирование на ленточные картриджи с последующим физическим извлечением из библиотеки и помещением в защищенное хранилище — обычно в огнеупорный сейф или банковскую ячейку. Администраторы ведут детальный журнал учета, фиксируя информацию о содержимом каждого носителя, датах создания и местах хранения.
Современные ленточные технологии, такие как LTO-9, обеспечивают емкость до 18 ТБ на картридж (45 ТБ с компрессией) и скорость записи до 400 МБ/с, что делает их вполне конкурентоспособными для архивного хранения больших объемов данных. Более того, у лент впечатляющий срок хранения — до 30 лет при соблюдении условий, что превосходит показатели большинства других вариантов. Некоторые используют специальные WORM-картриджи, которые после записи блокируются на аппаратном уровне, создавая тройную защиту: автономность, неизменяемость и физическую изоляцию одновременно.
Защита на уровне системы хранения
Современные системы резервного копирования предлагают инновационные подходы к защите данных на уровне взаимодействия с устройствами хранения. Один из наиболее эффективных методов — работа с дисками как с «сырыми» блочными устройствами без создания традиционной файловой системы. В этом режиме ПО для резервного копирования напрямую записывает блоки данных на диск, минуя уровень файловой системы ОС. Злоумышленник, получив доступ к серверу, столкнется с диском, где нет распознаваемой файловой системы: ОС видит устройство через команды вроде lsblk в Linux, но не может смонтировать его или получить доступ к информации стандартными средствами. Для работы с такими данными требуется специализированный софт для резервного копирования, «знающий» формат и структуру записанных блоков.
Альтернативный подход использует расширенные атрибуты современных файл-систем, в частности, флаг immutable (неизменяемость) в Linux. Система устанавливает его после записи файла резервной копии, после чего его нельзя изменить или удалить даже с правами администратора. Хотя опытный человек с root-доступом теоретически может снять эту защиту, она создает еще один барьер, требует дополнительных действий, и шансов, что средства мониторинга обнаружат вторжение, уже больше. Комбинация этих методов с другими уровнями защиты создает эффективную многослойную оборону против различных векторов атак.
Адаптация стратегии под современные угрозы
Набор угроз за последние годы кардинально изменился, и стратегии резервного копирования надо к ним адаптировать. Если раньше достаточно было выполнять полное резервное копирование раз в сутки, обычно ночью, то теперь создавать копии нужно несколько раз в день. Технологии инкрементного резервного копирования на уровне блоков (Block-Level Incremental, BLI) позволяют это делать без существенного влияния на производительность систем: копируются только измененные блоки данных, что радикально сокращает объем передаваемой информации и время создания копии.
Автоматизация процессов восстановления критически значима, когда время простоя измеряется миллионными убытками. Сейчас системы предлагают возможности для «восстановления одним кликом» с предварительно настроенными сценариями runbook, которые сами определяют порядок восстановления взаимозависимых систем. Это особенно важно для многоуровневых приложений, где неправильный порядок восстановления может привести к дополнительным проблемам и увеличить длительность простоя.
Регулярное тестирование восстановления превратилось из рекомендации в обязательное требование. Статистика показывает, что значительный процент резервных копий нельзя восстановить из-за разных проблем: от повреждения данных до изменений в конфигурации систем. Современные решения включают функции автоматической верификации резервных копий, которые регулярно проверяют возможность восстановления данных в изолированной среде, не влияя на производственные системы.
Эволюция правила 3-2-1
Признавая изменившиеся реалии, ведущие вендоры предлагают расширенные версии классического правила. Например, концепцию 3-2-1-1-0: к традиционным трем копиям на двух типах носителей и одной удаленной добавляют два критически важных требования. Четвертая единица означает: нужна еще как минимум одна автономная копия, изолированная или неизменяемая — это прямой ответ программ-вымогателям, которые активно ищут и уничтожают доступные резервные копии перед шифрованием основных данных. Ноль в конце формулы подчеркивает, что не должно быть ошибок при проверке восстановления — недостаточно просто создать резервную копию, необходимо регулярно убеждаться в ее пригодности для восстановления.
Выбор между снимками и полноценными резервными копиями
Крайне важно понимать фундаментальное различие между снимками (snapshots) систем хранения и полноценными резервными копиями. Снимки, создаваемые на уровне системы хранения или виртуализации, представляют собой эффективный инструмент для быстрого восстановления после небольших инцидентов: случайного удаления файлов, неудачных обновлений или логических ошибок. Они делаются практически мгновенно и занимают минимум места благодаря технологии копирования при записи (copy-on-write).
Однако они находятся в том же хранилище, что и исходные данные, и уязвимы к тем же угрозам: отказу оборудования, катастрофам в ЦОДе или атакам на инфраструктуру хранения. Более того, снимки зависят от целостности основной системы хранения и, если повредить ее критические компоненты или метаданные, все сразу могут стать недоступными. Поэтому их следует рассматривать как дополнение к стратегии резервного копирования для оперативного восстановления, но никак не замену полноценных независимых резервных копий.
Практические рекомендации
Основываясь на опыте российских компаний и лучших мировых практиках, можно сформулировать ключевые рекомендации для построения эффективной системы безопасного хранения резервных копий. Многоуровневая защита должна стать основополагающим принципом — комбинирование различных технологий и подходов обеспечивает устойчивость к множеству угроз. Это означает использование и локальных копий для быстрого восстановления, и удаленных на случай катастроф, и неизменяемых для программ-вымогателей.
Автоматизация критически важна не только для снижения операционной нагрузки, но и для минимизации человеческого фактора — одной из главных причин сбоев в системах резервного копирования. Автоматически должны происходить и создание резервных копий, и их верификация, и репликация на удаленные площадки, и ротация устаревших архивов. При этом система должна генерировать детальные отчеты и оповещать о любых отклонениях.
Документирование всех процедур и регулярное обучение персонала часто недооценивают, но они крайне важны в критических ситуациях. Когда основные системы недоступны и счет идет на минуты, не будет времени вспоминать последовательность действий или искать пароли. Детальные инструкции по восстановлению, актуальная информация о местах хранения резервных копий и контакты ответственных должны быть доступны в печатном виде в нескольких местах.
Заключение
В эпоху цифровой трансформации данные стали «новой нефтью» — основой конкурентоспособности и самого существования бизнеса. И подобно тому, как нефтяная индустрия инвестирует миллиарды в создание надежных резервуаров и систем безопасности для хранения своего главного актива, современные организации должны подходить к защите своих данных с не меньшей серьезностью. Вложения в правильную инфраструктуру для резервного копирования, внедрение новейших технологий защиты и создание отлаженных процессов — это не просто статья расходов, а жизненно важная страховка, которая может определить, справится ли компания с серьезным инцидентом или пополнит ряды жертв киберпреступников.

Материал подготовил Андрей Охрименко, менеджер по продукту системы резервного копирования, восстановления и защиты данных RuBackup, «Группа Астра».