Фраза бывшего генерального директора Intel Энди Гроува (Andy Grove) «выживают только параноики» идеально подходит к описанию планирования резервного копирования и аварийного восстановления данных.
Как отмечает Василий Кострюков, технический директор Infinidat в России и СНГ, к сожалению, многие ИТ-руководители и собственники бизнеса недостаточно серьезно рассматривают вопросы защиты данных, слишком оптимистично относятся к уже имеющимся инструментам и воспринимают «обычное» резервное копирование как способ решения проблем. А в результате кризисные ситуации легко могут застать их врасплох и показать недостаточную подготовку персонала и инфраструктуры к угрозам.
Особенно актуально это становится с распространением ориентированных на корпорации программ-вымогателей, с повышением количества слабых мест защиты из-за перехода сотрудников на удаленку, а также для необходимости обеспечения работы критически важных сред со строгими соглашениями об уровне обслуживания. По данным специалистов кибербезопасности, угрозы атак программ-вымогателей происходят в среднем каждые 14 секунд. Значимость этой проблемы возросла после увеличения количества работающих из дома сотрудников, что дает больше возможностей для атак злоумышленников. Одновременно с этим под прицелом оказались резервные копии и системы хранения, некогда считавшиеся инструментом защиты от кибертеррористов.
Обнаружение того, как именно вымогатели проникают в ИТ-инфраструктуру, — чрезвычайно сложная задача. Но зачастую эти действия происходят, когда ущерб компании уже причинен. Стратегию поиска слабых мест и закрытия уязвимостей после произошедшей атаки едва ли можно назвать успешной, поэтому сама концепция резервного копирования тоже потребовала создания системы защиты от злоумышленников.
Изящным с технической точки зрения и максимально эффективным инструментом защиты от вымогателей и других видов киберугроз стала технология WORM (write once read many) с резервными копиями данных, которые не могут быть удалены или зашифрованы. После создания в них невозможно внести какие-либо изменения, зато получить доступ в режиме чтения можно сколько угодно раз. WORM в буквальном смысле «связывает» кибертеррористам руки и не дает шанса вредоносному программному обеспечению из категории шифровальщиков-вымогателей функционировать в системах хранения данных.
Впрочем, на традиционные резервные копии не всегда можно положиться. Особенно когда требуется обеспечить непрерывность работы. В критически важных средах резервное копирование данных в привычном понимании должно быть дополнительной, а не основной формой защиты. Установленных в свое время целевых точек восстановления (RPO) и целевого времени восстановления (RTO) резервного копирования зачастую недостаточно для выполнения современных соглашений об уровне обслуживания (SLA). Как следствие, возникает потребность в решении еще двух задач: уменьшении окна создания бэкапов и возможности мгновенного восстановления данных.
Резервным копиям лучше быть в запасе. А на передовой оптимальным решением становится использование защиты, которая основана на репликации данных в реальном времени в конфигурации Active/Active. Она способна обеспечить нулевой RPO при нулевом RTO между различными системами и должна быть дополнена частыми моментальными снимками. Это решает проблему недостаточно быстрого восстановления данных из резервной копии, когда приходится мириться с потенциально плохим RPO и пытаться минимизировать RTO. Кроме того, путем отслеживания роста, занимаемого моментальными снимками (с защитой от удаления и изменения), можно отследить момент шифрования данных по нестандартной динамике.
В погоне за низкой стоимостью многие решения для резервного копирования данных предлагают мощные алгоритмы сокращения объемов хранимых данных, в частности, дедупликацию. Но чем эффективнее это работает, тем большие потери в производительности происходят при извлечении бэкапов. Экономия на стоимости решений для резервного копирования может привести к несопоставимо большим потерям бизнеса из-за слишком медленной скорости восстановления данных. При использовании дедупликации на резервной СХД необходимо выбирать систему так, чтобы процесс восстановления был адекватно быстрым, при вменяемой цене. А если копирование происходит на магнитную ленту, появляется также риск повреждения данных и невозможности их полного восстановления, так что стоит задуматься о дублировании лент как минимум.
Новые вызовы в резервном копировании и появление решений этих вопросов подводят к мысли о том, что бизнесу необходимы инвестиции в надежно защищенные, быстрые и технологичные системы хранения. Они помогают обезопасить данные от программ-шифровальщиков или других типов атак киберпреступников и способны обеспечить бесперебойную работу и восстановление критически важных сред со строгими соглашениями об уровне обслуживания. Тот случай, когда действительно стоит перестраховаться и побыть «параноиком».