Nienaruszalne repozytoria na backup
Skuteczne metody ochrony systemu backupu oraz pamięci masowych przed typowymi wektorami ataków.
Backup, który można skasować, to iluzja ochrony
Cryptolockery są zaprogramowane, by zniszczyć kopie zapasowe przed rozpoczęciem szyfrowania danych. Bez backupu organizacje nie mają wyjścia — by odzyskać dane, płacą okup.
Infekcja
Minuta 0Pracownik otwiera załącznik lub klika link. Złośliwy kod uruchamia się automatycznie w tle. Nic nie wskazuje, że coś się dzieje.
Rekonesans
Minuty 1–10Ransomware automatycznie skanuje sieć lokalną. Identyfikuje udziały sieciowe, serwery plików, systemy backupu i repozytoria kopii zapasowych.
Niszczenie backupów
Minuty 10–30Automatycznie kasuje kopie VSS, wyłącza usługi backupu, usuwa lub szyfruje repozytoria. Produkcja nadal działa.
Szyfrowanie
Godziny 1–6Masowe szyfrowanie danych produkcyjnych. Aplikacje przestają działać, a to co jeszcze jest dostępne działa bardzo wolno. Backupów już nie ma.
Żądanie okupu
Na ekranach pojawia się wiadomość z instrukcją płatności.
Trzydzieści minut to za mało na reakcję. Jedyną odpowiedzią jest architektura, która nie wymaga reakcji.
Jak realizuje się nienaruszalność?
Nienaruszalne repozytorium to takie, w którym zapisane dane nie mogą być skasowane, nadpisane ani zmodyfikowane przez nikogo — włącznie z administratorem — przez z góry określony czas.
Nienaruszalność jest realizowana na poziomie systemu plików lub protokołu obiektowego. W momencie zapisu kopii zapasowej ustawiany jest czasowy zamek retencji — przejęte konto administratora po prostu dostaje odmowę, niezależnie od poziomu uprawnień.
Object Storage
S3 Object Lock · Compliance mode
Scality ARTESCA+, Veeam Data Cloud Vault — nawet administrator storage'u nie może usunąć danych przed końcem okresu retencji.
SzczegółyHardened Repository
chattr +i · jednorazowe poświadczenia
Linux — atrybut immutable blokuje modyfikację pliku na poziomie niższym niż system operacyjny. Brak stałego dostępu z zewnątrz.
SzczegółyCloud Connect
Separacja domen · Insider Protection
Skompromitowane konto w sieci klienta nie ma żadnego dostępu do infrastruktury dostawcy. Kosz systemowy chroni przed celowym usunięciem.
SzczegółyNienaruszalne repozytoria
Każde środowisko IT jest inne. Porównaj cztery podejścia do nienaruszalności i wybierz to, które najlepiej odpowiada Twojej infrastrukturze i budżetowi.
Scality ARTESCA+
ARTESCA+ to oprogramowanie do obiektowego przechowywania danych (S3 compatible), które można uruchomić na posiadanym już sprzęcie lub zamówić jako gotowy hardware appliance — w wersji tower dla małych środowisk lub rack dla większych.
Nienaruszalność kopii zapasowych zapewnia S3 Object Lock w trybie Compliance, a unikalną cechą architektury jest brak ekspozycji API S3 w sieci lokalnej, gdyż komunikacja między Veeam a repozytorium odbywa się wewnątrz izolowanego kontenera, co eliminuje jeden z typowych wektorów ataku.
ARTESCA+ jest szczególnie przydatna w scenariuszach disaster recovery. Uruchomiona na osobnym serwerze — poza środowiskiem produkcyjnym — działa jako niezależna platforma odtworzeniowa. Veeam Software Appliance zintegrowany w tym samym urządzeniu pozwala rozpocząć przywracanie systemów bez konieczności wcześniejszego odtwarzania infrastruktury backupu.
Veeam Data Cloud Vault
Veeam Data Cloud Vault to usługa nienaruszalnego repozytorium w chmurze, zarządzana bezpośrednio przez Veeam i zbudowana na infrastrukturze Microsoft Azure oraz na AWS. Usługa jest aktualnie dostępna w ponad 17 regionach na całym świecie, w tym w pełnym pokryciu Unii Europejskiej, co jest istotne z perspektywy zgodności z wymogami RODO.
Nie wymaga żadnej infrastruktury po stronie klienta — wystarczy licencja Veeam i kilka minut konfiguracji. Nienaruszalność (immutability) jest wbudowana w usługę i aktywna domyślnie.
Transfery danych oraz operacje odtwarzania są wliczone w cenę usługi, bez osobnych rozliczeń za egress czy odtwarzanie, co czyni model kosztowy w pełni przewidywalnym.
Veeam Hardened Repository
Veeam Hardened Repository to dedykowany serwer Linux pełniący rolę repozytorium backupu, podłączony do środowiska Veeam metodą Direct Attached Storage. Fizyczna separacja od sieci produkcyjnej oraz brak wspólnych poświadczeń dostępu sprawiają, że jest naturalnie odizolowany od potencjalnego atakującego.
Nienaruszalność jest realizowana na poziomie systemu plików, gdzie po zapisie kopii zapasowej Veeam automatycznie ustawia atrybut immutable (chattr +i) na plikach repozytorium. Żadna operacja kasowania ani modyfikacji nie jest możliwa do czasu wygaśnięcia okresu retencji (brak konta root).
VHR można uruchomić na posiadanym już sprzęcie — wystarczy użyć obrazu ISO z systemem RockyLinux. To czyni go jedną z najbardziej ekonomicznych metod wdrożenia nienaruszalnego repozytorium w modelu on-premises.
Veeam Cloud Connect
Veeam Cloud Connect to właściwie usługa Backup as a Service, którą najczęściej implementuje się jako kopię zapasową poza siedzibą (Off-site Backup). Rolę zdalnego repozytorium pełni infrastruktura dostawcy usług.
Jednocześnie dostawca może zapewnić najem licencji systemu Veeam Backup & Replication (Veeam Data Platform) lub Veeam Agent, które są konieczne, żeby skorzystać z usługi.
Kluczowym mechanizmem ochrony jest pełna separacja domen uwierzytelniania — skompromitowane konta w sieci klienta nie dają żadnego dostępu do infrastruktury po stronie dostawcy. Atakujący przejmując środowisko klienta nie ma możliwości dotarcia do zdalnych kopii zapasowych.
Funkcja Insider Protection stanowi dodatkową warstwę zabezpieczenia — nawet jeśli kopia zapasowa zostanie celowo usunięta z konsoli klienta, przechowujemy ją w koszu systemowym przez 14 dni, zatem usunięcie jest odwracalne.
Porównanie repozytoriów
| Scality ARTESCA+ | Veeam Data Cloud Vault | Veeam Hardened Repository | Veeam Cloud Connect | |
|---|---|---|---|---|
| Model cenowy | Capex / Opex | Opex | Capex / Opex | Opex |
| Cena 1TB (netto) | 45 zł/m-c | 90 zł/m-c | 20 zł/m-c | 80 zł/m-c |
| Czas uruchomienia | ~30 dni | 1 dzień | ~30 dni | 60 minut |
| Lokalizacja | On-premises | Chmura | On-premises | Chmura |
| Wymagany sprzęt | Tak | Nie | Tak | Nie |
| Mechanizm immutability | S3 Object Lock | Natywna | chattr +i | Insider Protection |
| Dostępność | Wymagane wdrożenie | Aktywacja w 24h | Wymagane wdrożenie | Aktywacja w 1h |
Materiały do pobrania
Poniżej znajdują się ulotki produktowe oraz opisy dotyczące technologii i najlepszych praktyk z zakresu przechowywania kopii zapasowych.
Scality ARTESCA+
Veeam Data Cloud Vault
Veeam Hardened Repository
Veeam Cloud Connect
Nienaruszalność repozytorium backupu jest fundamentem cyberodporności
Nienaruszalne repozytoria stanowią ostatnią linię obrony — ale cyberodporność to więcej niż jeden mechanizm. Poznaj autorską metodykę Viability, która łączy analizę widoczności danych, backup i odtwarzanie, monitorowanie oraz nienaruszalność w jeden spójny system ochrony.
Poznaj 4 Pierścienie Cyberodporności
Zastanawiasz się, które repozytorium wybrać?
Porozmawiajmy. Dobierzemy rozwiązanie do Twojej infrastruktury, budżetu i wymagań.
Zarezerwuj konsultacjęKliknij przycisk rezerwacji — nastąpi przekierowanie do kalendarza naszego eksperta, gdzie wybierzesz dogodny termin spotkania online.