Сравниваем Air-Gap и неизменяемое резервное копирование (Immutable Backup)

Сравниваем Air-Gap и неизменяемое резервное копирование (Immutable Backup). Чем эти технологии отличаются и какая технология подойдет вам лучше. Давайте разберемся.

Согласно отчету Data Protection Trend за 2023 год, 85% из 4200 опрошенных организаций пострадали как минимум от одной атаки с использованием программ-вымогателей в 2022 году.

Еще более поразительным было то, что 39% производственных данных организации были либо зашифрованы, либо уничтожены во время атаки, а число жертв в среднем составляло всего лишь возможность вернуть половину (55%) того, что было затронуто.

Поскольку киберугрозы не проявляют никаких признаков замедления, неудивительно, что большинство компаний внедрили технологии неизменяемости и Air Gap (т.е. живучего хранилища), чтобы гарантировать, что их усилиям по восстановлению данных не помешают программы-вымогатели.

Целью этой статьи является обсуждение различий между технологиями резервного копирования с воздушным зазором (Air Gap) и неизменяемого резервного копирования (Immutable Backup), а также то, как организации могут использовать эти решения в своей стратегии киберустойчивости.

Обзор стратегий киберустойчивости

Шаг 1. Обеспечьте защиту резервных копий

На протяжении десятилетий изолированное хранилище резервных копий было наиболее надежным вариантом, который компании могли использовать для защиты своих критически важных активов от большинства угроз. Использование ленточных носителей WORM или жестких дисков гарантировали, что данные, однажды записанные и перемещенные за пределы офиса, позволят организациям восстановить свои данные в случае катастрофы.

С тех пор отказоустойчивые хранилища данных, такие как ленты, получили развитие благодаря тому, что компании стали использовать более безопасные архитектуры и подходы к гибридному облаку.

Неизменяемость стала более распространенной, поскольку она предлагает те же функции, что и WORM, с меньшими затратами на управление носителями.

При построении стратегий киберустойчивости и аварийного восстановления как Air Gap, так и Immutable Backup могут иметь свои плюсы и минусы. Однако вы можете использовать обе технологии в сочетании друг с другом, чтобы получить сверхзащищенную и отказоустойчивую резервную копию критически-важных данных.  

Во-первых, всегда рекомендовалось в случае сбоя в работе рабочей площадки обеспечить наличие второй резервной копии. Традиционное правило 3-2-1 рекомендует использовать 3 копии ваших данных, используя как минимум 2 типа носителей, причем 1 копия находится за пределами сайта.

Большинство организаций переняли эту практику и расширили правило 3-2-1 до правила 3-2-1-1-0, включив в него неизменяемость и тестирование из-за постоянно растущего риска киберугроз.

Добавленный к правилу номер 1-0 предполагает, что 1 копия должна быть «автономной» (недоступной через воздушный зазор (Air Gap) или неизменяемой (Immutable Backup) и иметь 0 ошибок (проверенных регулярным тестированием). Это помогает обеспечить высочайший уровень возможности восстановления данных после любого типа катастрофы.

Шаг 2 – Уменьшите возможности доступа

Теперь все дело в доступе и трудностях для злоумышленников не только получить доступ к информационным системам, но и попытаться уничтожить резервные копии, необходимые для восстановления. Поэтому мы рекомендуем вам использовать киберустойчивую архитектуру.

На вашем производственном объекте все должно иметь надлежащий контроль доступа. Вы должны отслеживать производственную среду на предмет подозрительной активности и создавать отчеты, чтобы обеспечить защиту всех ваших информационных систем и контролировать наличие защищенных резервных копий.

Определите роли пользователей для доступа к среде резервного копирования. Включите многофакторную аутентификацию (MFA) на сервере резервного копирования, чтобы создать более безопасную среду, защищающую пользователей от взлома.

Далее используйте

неизменяемую хранилище в качестве первого носителя резервной копии, обеспечивающего восстановление в случае ошибок, киберугроз или случайного удаления данных.

Самое главное, часто тестируйте эти резервные копии, чтобы проверить их содержимое и убедиться, что у вас не возникнет непредвиденных проблем во время восстановления. Эти устройства хранения могут варьироваться от специализированного оборудования, устройств дедупликации и интегрированного оборудования S3.

У вас должна быть резервная копия за пределами офиса которая должна зашифрована и защищена от кражи. Стихийные бедствия и физический несанкционированный доступ пользователей — не единственная причина, по которой полезно хранить изолированную копию в автономном режиме и за пределами офиса.

Целостность данных, юридические споры, а также правила соблюдения/хранения данных могут не быть типичными событиями потери данных, но они гарантируют, что у вас есть копия чистых данных, которые можно использовать для любых нужд, связанных с данными.  

Что такое резервная копия с воздушным зазором?

Воздушный зазор (Air Gap) — это способ изоляции важных данных путем отделения копии либо физически (извлечение ленты из привода), либо недоступности из сети (например, отключены сетевые порты или маршруты). Резервное копирование с воздушным зазором имеет множество преимуществ, в том числе:            

Защита от программ-вымогателей и других вредоносных программ, поскольку эти резервные копии недоступны с сервера резервного копирования или из другого места в сети. Если эти резервные копии правильно извлекаются/изолируются и о них заботятся (например, контролируются температура, грязь/пыль, влажность и т. д.), вероятность неудачного восстановления невелика.

 Предотвращение несанкционированного доступа и утечки данных с помощью шифрования. При рассмотрении резервных копий, особенно тех, которые были изолированы или иным образом удалены от объекта, становится еще более важным, чтобы устройства или носители были зашифрованы. Представьте себе, что вы создали резервную копию вашего контроллера домена без шифрования, а затем злоумышленник восстановил вашу резервную копию на своем сервере. Теперь они могут неторопливо собирать ваши учетные данные, чтобы подготовиться к атаке на ваши производственные системы.

Шифрование резервных копий (особенно удаленных) является важным шагом в защите конфиденциальных данных компании от доступа неавторизованных пользователей.

Сохранение целостности данных гарантирует, что содержимое не было изменено вредоносным образом.

Целостность данных имеют решающее значение не только для соблюдения нормативных требований, но и для надежного восстановления. Для организаций в сфере здравоохранения, правительства, финансов и т. д. хранение различных типов данных в течение длительного времени может варьироваться от нескольких лет до неопределенного срока и в некоторых случаях требует поддержания безопасной цепочки хранения.

Нарушения в соблюдении нормативных требований могут иметь юридические последствия, которые могут привести к огромным штрафам для организаций, неспособных предоставить данные полностью и в срок.

Неизменяемые резервные копии

Неизменяемая резервная копия — это копия данных, которая имеет управление доступом на основе ролей и другие типы аутентификации и не может быть изменена или удалена до истечения установленного времени.

Однако она не находится в автономном режиме, как резервная копия с воздушным зазором, поскольку она по-прежнему подключена и доступна из сети. Существует множество поставщиков технологий, которые используют этот тип неизменяемости как локально, так и в облаке и могут включать блокировку объектов, безопасные снимки и защищенный репозиторий. 

Резервные копии с воздушным зазором и неизменяемые резервные копии

Поскольку неизменяемая резервная копия решает те же задачи «живучести», что и резервная копия с воздушным зазором, существуют как сходства, так и различия. Оба типа резервных копий обеспечивают устойчивость к программам-вымогателям и соответствие нормативным требованиям.

Но между ними есть различия:

Традиционное резервное копирование с воздушным зазором, такое как лента, может повлечь за собой дополнительные затраты на управление носителем и работу с поставщиками для правильного хранения резервных копий. Это также справедливо и для неизменяемого хранилища, поскольку оно может расти в геометрической прогрессии, если изменится политика данных.

Целевое время восстановления (RTO) также является переменной в зависимости от используемого носителя данных. Например, при тестировании скорость восстановления из облака было медленнее, чем  восстанавление с ленты. Восстановление из облака заняло недели, а восстановление с ленты - несколько дней.

Необходимо разработать план аварийного восстановления, который будет отвечать вашим требованиям.

Обе технологии существуют, чтобы помочь организациям быстрее восстанавливать данные, и их совместное использование только увеличивает шансы на успешное восстановление после киберсобытия.

Защитите свои данные с Veeam

Согласно отчету о тенденциях в области программ-вымогателей за 2023 год, 82% из 1200 организаций, которые ранее подвергались кибератакам, теперь используют неизменяемые облачные технологии, в то время как 64% используют неизменяемые диски, а ленты по-прежнему актуальны, причем 14% заявляют, что они используют их в своей стратегии защиты данных.

Поскольку организации стремятся внедрить более устойчивые к кибербезопасности стратегии защиты данных, Veeam продолжает формировать прочные партнерские отношения с поставщиками оборудования и облачных технологий, чтобы упростить внедрение неизменяемых репозиториев резервных копий, решений с воздушным зазором или (что рекомендуется) и того, и другого.

Благодаря последней версии v12, включающей неизменяемость с помощью Microsoft Azure, Direct to S3 с неизменяемостью и улучшениями для ленты, организация может быстро внедрить добавление еще одного защитного уровня для защиты от программ-вымогателей.