Введение
В повседневном использовании устройств хранения данных многие считают, что основные угрозы исходят от внешних атак или аппаратных сбоев. Однако случайное удаление, форматирование важных данных и даже атаки программ-вымогателей могут привести к полной потере информации. С ускорением цифровизации проблемы безопасности данных становятся всё более разнообразными.
Поэтому, чтобы избежать подобных проблем на источнике, крайне важно регулярно выполнять резервное копирование важных данных. А для правильного создания резервных копий необходимо следовать определённым правилам, самым классическим из которых является правило резервного копирования 3‑2‑1.
Что такое правило резервного копирования 3‑2‑1
Правило резервного копирования 3‑2‑1 — это классическое правило в области защиты данных. Оно означает: хранить как минимум три копии данных, на двух разных типах носителей, и как минимум одну копию за пределами основной площадки. Это правило эффективно защищает от таких рисков, как выход из строя дисков, сбой устройств хранения, региональные катастрофы и т.д.
Три копии данных
При резервном копировании необходимо хранить минимум три копии данных, чтобы справиться с потерей рабочих данных или повреждением одной копии. Следует отметить, что системы хранения часто предлагают функцию многократного дублирования для защиты от сбоев дисков или узлов в распределённых сценариях. Это помогает обеспечить непрерывность бизнеса, но не защищает от логических ошибок или злонамеренных действий — в таких случаях все три копии могут быть скомпрометированы одновременно.
Поэтому «три копии» в резервном копировании означают три исторические копии данны. При повреждении рабочих данных их можно восстановить до нормального состояния с помощью этих исторических копий.
Традиционные продукты для аварийного восстановления обычно предлагают политики хранения данных, позволяющие пользователям сохранять разные исторические точки. С учётом возможностей полного, инкрементального и даже постоянно инкрементального резервного копирования исторические точки делятся на точки полного и инкрементального копирования. Важно отметить, что инкрементальное копирование зависит от правильности полного или предыдущего инкрементального копирования. Если полное или промежуточное инкрементальное копирование окажется ошибочным, все последующие инкрементальные копии станут непригодными для восстановления. Таким образом, «три копии данных» фактически означают три полные копии. При нехватке места можно рассмотреть дедупликацию данных или приобрести дополнительные лицензии на ёмкость хранилища.
Два разных типа носителей
Один тип носителя ненадёжен. Если носитель резервной копии выйдет из строя, данные будут потеряны и восстановить их станет невозможно. Поэтому необходимо использовать как минимум два типа носителей для хранения резервных копий. Распространённые типы включают диски, ленты, сетевые хранилища, облачные хранилища и т.д.
С точки зрения затрат обычно рекомендуется использовать высокопроизводительное, но малой ёмкости хранилище для основных резервных копий (чтобы обеспечить быстрое копирование и недавнее восстановление), и низкопроизводительное, но большой ёмкости хранилище (например, ленты или оптические диски) для архивных копий, чтобы соответствовать требованиям законодательства о долгосрочном хранении. Также рекомендуется копировать данные из основного хранилища в архивное, а не напрямую из рабочей среды, чтобы снизить нагрузку на производственную систему.
Одна копия в удалённом месте
Удалённое резервное копирование — ключевая часть стратегии 3‑2‑1. Хотя три копии на двух типах носителей решают большинство проблем, они не защищают от катастроф, затрагивающих весь дата-центр, таких как землетрясения, наводнения, войны и т.п. В таких случаях наличие рабочей копии данных в удалённом месте критически важно для непрерывности бизнеса.
Создание удалённого центра аварийного восстановления требует значительных затрат, и обычно его могут позволить себе государственные органы, финансовые учреждения и крупные предприятия с высокими требованиями к защите данных. Облачные сервисы предлагают более экономичную и гибкую альтернативу. Многие компании выбирают облачное хранилище как часть своей стратегии резервного копирования благодаря масштабируемости, модели оплаты по факту использования и глобальной доступности — это особенно полезно для малых и средних предприятий, у которых нет ресурсов для создания собственного удалённого центра.
Усиление правила 3‑2‑1 — правило 3‑2‑1‑1‑0‑0
По мере эволюции атак программ-вымогателей лидер отрасли Veeam предложил правило «3‑2‑1‑1‑0» добавив одну офлайн‑, физически изолированную или неизменяемую копию и ноль ошибок при проверке резервных копий. Это правило считается золотым стандартом защиты от программ-вымогателей.
После выпуска Vinchin Backup & Recovery V9.0 эта стратегия была дополнительно усилена до принципа «3‑2‑1‑1‑0‑0». Ниже подробно разбираются шесть элементов и показывается, как Vinchin реализует их на практике.
3 копии (рабочие данные + резервная копия + копия резервной копии) — устранение единой точки отказа, повышение надёжности данных:
Рабочие данные: данные, генерируемые в процессе работы бизнес-систем, обеспечивают их функционирование.
Резервная копия: создаётся регулярно, нерегулярно или в реальном времени; при проблемах с рабочими данными их можно восстановить из резервной копии.
Копия резервной копии: повторное копирование резервных данных, чтобы избежать единой точки отказа самой резервной копии.
2 типа носителей (распределение рисков, баланс производительности и стоимости):
Рабочие данные, резервные копии и копии резервных копий должны храниться как минимум на двух различных типах носителей. Это снижает риски за счёт распределения данных, повышает безопасность и соответствует нормативным требованиям о необходимости мультимедийного резервного копирования критически важных данных.
1. Рабочие данные обычно хранятся на SSD/HDD дисках для обеспечения производительности.
2. Резервные копии можно хранить на дисках/NFS и т.д., балансируя скорость восстановления и стоимость хранения.
3. Копии резервных копий — в облаке, объектном хранилище или на дисках для снижения долгосрочных затрат.
1 удалённая копия (защита от катастроф уровня ЦОД/региона):
Как минимум одна копия данных должна находиться в удалённом месте для защиты от инцидентов уровня ЦОД или региона.
Удалённая копия физически изолирована от локальных данных, что эффективно защищает от стихийных бедствий (землетрясения, наводнения) и от регионального распространения атак программ-вымогателей.
1 неизменяемая копия (блокировка резервных данных, защита от изменений и удаления):
Неизменяемое хранилище: технологии WORM (Write Once, Read Many) или неизменяемости на уровне ядра — даже если хакер получит права администратора, он не сможет изменить или удалить резервные данные.
Защита от манипуляций с часами: часы независимы от системного времени, что предотвращает искусственное сокращение срока хранения или случайное удаление администратором, соответствует требованиям долгосрочного хранения.
Принудительное сохранение данных: даже при компрометации учётных данных платформы Vinchin никто не сможет удалить или перезаписать данные.
0 ошибок восстановления (автоматическая проверка + тренировки по восстановлению, гарантия пригодности резервных копий):
Регулярная автоматическая проверка целостности и пригодности резервных копий, постоянное улучшение политик и конфигурации ресурсов на основе результатов проверок — обеспечение 100% успешного восстановления.
Антивирусная проверка: на этапах проверки, тренировок и восстановления встроенный антивирусный движок в изолированной среде сканирует, идентифицирует, помечает, изолирует и очищает вредоносное ПО, программы-вымогатели и т.п., обеспечивая безопасность резервных копий и предотвращая вторичное заражение при восстановлении.
1. Полные резервные копии систем: после восстановления проверяются ping, heartbeat и т.д.
2. Резервные копии файлов: проверка MD5 при монтировании.
3. Резервные копии баз данных: после монтирования и восстановления выполняются проверочные SQL-скрипты.
Поддерживаются однонажатые тренировки по аварийному восстановлению с формированием визуальных отчётов, что гарантирует «нуль ошибок» при экстренном восстановлении.
0 несанкционированных доступов (разделение трёх ролей + чёрные списки, защита от внутренних угроз):
Полное разделение прав оператора, администратора и аудитора: конфигурация и операции полностью изолированы, что предотвращает превышение полномочий и злонамеренное удаление/изменение резервных копий внутренними лицами.
Управление доступом на основе ролей (RBAC): детализированный и минимально необходимый набор прав — каждый пользователь имеет только минимум прав для выполнения своей работы.
Усиление безопасности одним нажатием: включение брандмауэра, отключение root-аккаунта, закрытие высокорисковых портов — уменьшение поверхности атаки.
Усиленная аутентификация, встроенные белые/чёрные списки ID пользователей и адресов доступа — эффективное предотвращение утечек данных из-за нелегального доступа.
Часто задаваемые вопросы (FAQ)
Вопрос 1: В чём основные улучшения принципа 3‑2‑1‑1‑0‑0 по сравнению с традиционным 3‑2‑1?
Ответ 1: Традиционный 3‑2‑1 требует три копии, два типа носителей и одну удалённую копию. 3‑2‑1‑1‑0‑0 добавляет неизменяемую копию (защита от программ-вымогателей), ноль ошибок восстановления (автоматическая проверка пригодности) и ноль несанкционированных доступов (разделение ролей и контроль доступа для защиты от внутренних угроз), что даёт более полную защиту от современных атак.
В2: Что такое «неизменяемое хранилище»? Как оно защищает от программ-вымогателей?
О2: Неизменяемое хранилище использует технологию WORM или защиту на уровне ядра, благодаря чему записанные резервные данные невозможно изменить или удалить ни одному пользователю (включая администратора) в течение срока хранения. Даже если программа-вымогатель получит высшие привилегии в системе, она не сможет зашифровать или удалить эти резервные копии, что гарантирует наличие «чистой» копии для восстановления.
В3: Что означает «разделение трёх ролей»? Как оно предотвращает внутренние угрозы?
О3: Разделение трёх ролей делит полномочия на оператора (отвечает за резервное копирование и восстановление), администратора (отвечает за конфигурацию системы) и аудитора (отвечает за журналы аудита). Их полномочия независимы и взаимно контролируемы. Ни одна роль сама по себе не может выполнить чувствительные операции, такие как удаление резервных копий или изменение конфигурации, что эффективно предотвращает вредоносные действия со стороны персонала.
Заключение
Безопасность данных стала критическим вызовом в цифровую эпоху: угрозы включают программы-вымогатели, внутренние атаки, стихийные бедствия и многое другое.Правило 3‑2‑1‑1‑0‑0, опираясь на классическое правило 3‑2‑1, добавляет три ключевых усиления: неизменяемое хранение, нуль ошибок восстановления и нуль несанкционированных доступов, формируя более строгую и автоматизированную систему защиты данных.
Три копии устраняют единую точку отказа, два типа носителей распределяют риски, удалённая копия защищает от региональных катастроф.
Неизменяемая копия эффективно противостоит модификации программами-вымогателями.
Автоматическая проверка гарантирует реальную пригодность резервных копий.
Разделение трёх ролей и контроль доступа предотвращают внутренние угрозы.
Крупные предприятия и небольшие организации могут, исходя из своих потребностей, с помощью профессиональных продуктов резервного копирования и аварийного восстановления, таких как Vinchin, реализовать этот золотой стандарт с разумными затратами, чтобы уверенно восстанавливаться при катастрофах и обеспечивать непрерывность бизнеса и сохранность данных.
