Вопрос или проблема
Для защиты от программ-вымогателей я хочу использовать диск WORM на моем Synology NAS в качестве основного хранилища резервных копий, который автоматически будет блокировать файлы через 2 часа после их последнего изменения. В процессе создания резервных копий данные также копируются в неизменяемое хранилище S3.
Насколько я понимаю, Veeam всегда обновляет файл .vbm каждой виртуальной машины, которую он резервирует, самыми последними метаданными. Это не будет работать на второй день каждой задачи, поскольку файл .vbm заблокирован.
Мои вопросы:
- Могу ли я указать Veeam хранить файлы
.vbmдля каждой задачи в другом месте и все равно выполнять резервное копирование на WORM? - Стоит ли мне отказаться от идеи использования WORM для моего основного хранилища резервных копий, так как оно все равно копируется в неизменяемое объектное хранилище?
- Можете ли вы предложить что-то совершенно другое?
Ответ или решение
Вопрос об использовании Veeam для резервного копирования на WORM-папку Synology, при этом сохраняя .vbm-файлы в другом месте, поднимает ряд технических и стратегических вопросов, требующих тщательного анализа.
Теория:
Veeam Backup & Replication предлагает функции для защиты данных, включая использование WORM (Write Once Read Many) хранилищ для предотвращения изменяемости данных и защиты от программ-вымогателей. Также Veeam активно использует файлы .vbm для хранения метаданных резервных копий, что позволяет определить состояние и структуру резервных копий, фазу выполнения задач и другие параметры. WORM-файлы, которые становятся неизменяемыми через определенное время, действительно вызывают проблему, так как Veeam требует возможность обновления .vbm-файлов при каждом выполнении задачи резервного копирования.
Пример:
Вы хотите использовать NAS Synology в качестве основного репозитория резервных копий с активным WORM, чтобы файлы автоматически становились неизменяемыми через 2 часа после изменения. Это разумная идея для защиты данных, однако создаёт проблему для .vbm-файлов, так как они требуют обновления, что противоречит логике WORM хранения. Альтернативно, вы также производите копии на неизменяемое S3-хранилище, что добавляет дополнительный уровень защиты.
Применение:
Рассмотрим ваши вопросы и возможные решения:
-
Сохранение .vbm-файлов в другом месте: К сожалению, в Veeam на момент написания ответа нет встроенной функции, позволяющей изменить место хранения только .vbm-файлов отдельно от основного репозитория резервных копий. Однако, можно создать сценарий (скрипт), который автоматически перемещает .vbm-файлы после завершения задания в другое расположение, не являющееся частью WORM-хранилища. Это может быть локальная или сетевая папка, которая обеспечивает необходимую доступность для обновления .vbm-файлов.
-
Пересмотр использования WORM-хранилища: Если immutable S3-хранилище служит вторичной копией резервных данных, возможно, использование WORM как основного хранилища не столь критично, особенно если это вызывает логистические или административные сложности. Однако, для повышения общей безопасности данных, важно обеспечить, чтобы хотя бы одна из копий данных была неизменяемой.
-
Предложения других стратегий:
- Задуматься о физической изоляции копий: используйте метод физического отключения накопителей, имитируя "воздушный зазор", это снижает риск воздействия программ-вымогателей.
- Рассмотрите использование репликации: применение репликации критических виртуальных машин, что позволит быстро восстановить систему в случае нападения или потери данных.
- План восстановления: поддерживайте актуальный и несколько ревизий плана восстановления, который учитывает как технические, так и организационные аспекты восстановления данных после инцидента, включая возможности тестового восстановления.
Учитывая изложенные выше аспекты, ваш выбор стратегии должен учитывать баланс между удобством администрирования, стоимостью хранения и уровнем защищенности данных, которые вы хотите достичь. Возможно, целесообразно проконсультироваться с экспертом по безопасности данных, чтобы сформировать оптимальную стратегию, соответствующую вашей уникальной ситуации и требованиям.