Immutable Backup та HBR — «гігієнічний мінімум» для захисту даних

Попередні статті можна прочитати тут і тут.

Розвиваючи тему захисту даних, ми впровадили два сервіси, які реалізують концепцію Zero Trust Data Management. Це відповідь на типовий сценарій сучасної атаки: коли зловмисник, скомпрометувавши адміністративний обліковий запис, насамперед намагається знищити резервні копії. Традиційна архітектура, де продуктивні системи та репозиторії резервних копій входять до одного домену адміністрування, стала надто вразливою. Наше рішення — створення архітектурного розриву між продуктивом і системою зберігання копій. Для цього ми пропонуємо два типи сервісів.

Immutable Backup — для гарантованої незмінності даних. Система гарантує незмінність даних на визначений період (Retention Policy). Протягом цього строку жодні операції модифікації або видалення неможливі навіть на найвищому рівні привілеїв. Навіть якщо хакер отримає root-права або адміністративний доступ до консолі Veeam, він отримає відмову при спробі «підчистити» архіви.

Hardened Backup Repository (HBR) — не просто «дисковий простір», а спеціалізований вузол (single-purpose appliance), побудований на трьох принципах:

1. Ізоляція прав доступу: репозиторій працює із застосуванням Single-use credentials. Облікові записи використовуються лише в момент розгортання компонентів (Data Mover) та не зберігаються в системі. У зловмисника просто немає «ключів», які можна викрасти з конфігів.
2. Блокування векторів керування: після налаштування репозиторій переводиться в режим ізольованого вузла. Усі засоби віддаленого адміністрування, включно з SSH, вимикаються на рівні конфігурації й мережевого стека. Це усуває інтерактивні канали керування — експлуатувати вразливості хоста стає неможливо.
3. Дворівневий Immutability Flag: ми використовуємо файлову систему XFS з immutable-атрибутами, поверх яких Veeam вмикає власний Retention Lock. Ця зв’язка блокує зміну об’єкта на рівні ядра системи, не дозволяючи навіть адміністратору скоротити строк зберігання копій.

Сервіси природним чином інтегруються з екосистемою Veeam, що дає змогу винести резервний контур за межі домену безпеки клієнта. У підсумку, навіть якщо Active Directory замовника повністю скомпрометовано, резервні копії залишаються у фізично та логічно ізольованому «сейфі». У сучасних реаліях це той «гігієнічний мінімум», який гарантує бізнесу виживання після будь-якої атаки шифрувальника або зламу домену адміністрування.