Автор: Михайленко А.
Програма-мінімум на випадок кібератаки передбачає обов’язкову наявність плану резервного копіювання важливих даних. Але комплексна стратегія ефективного захисту даних уже не обмежується створенням бекапів за правилом 3-2-1, оскільки їх самих теж необхідно убезпечити. Тільки в цьому разі ви отримуєте дійсно відмовостійку систему, яка дасть змогу покрити всі сценарії потенційної втрати даних. У Veeam подбали про те, щоб користувачі її програмних рішень мали таку можливість і реалізували нову функцію Insider Protection — вона вже доступна у Veeam Cloud Connect.
Що таке Insider Protection
Більшості компаній потрібні прості та зрозумілі рішення для створення резервних копій, їх зберігання та відновлення. Такі послуги як BaaS та DRaaS з цим чудово справляються, особливо якщо використовувати для їх реалізації програмні рішення Veeam. Сервіс-провайдери, що надають ці послуги, забезпечують своїм клієнтам можливість безпечно робити копії та реплікувати дані в хмарі, при цьому витрачати мінімум часу на налаштування і легко масштабуватися.
У більшості рекомендацій щодо створення успішного плану резервного копіювання даних є пункт про те, що необхідно зберігати копії в безпечному місці — це дуже важливо для забезпечення відмовостійкості IT-інфраструктури. Але як ще вплинути на ступінь безпеки, якщо надійне місце для зберігання бекапів уже вибрано, як у випадку з Colobridge, коли дані клієнтів зберігаються у двох сертифікованих німецьких дата-центрах, що відповідають Tier III/Tier III+?
Відсутнім фрагментом у системі, що забезпечує 360-градусний захист даних, якраз може бути функція Insider Protection. Вона забезпечує додатковий захист резервних копій даних у хмарі та дає змогу запобігти їхньому несанкціонованому видаленню або зміні навіть у тому разі, коли зловмисник зумів отримати доступ до акаунту Veeam Backup & Replication (VBR).
Insider Protection: як це працює
Припустимо, зловмисник вільно увійшов в обліковий запис VBR і може виконувати там будь-які дії — зокрема за бажанням видалити резервні копії дані через клієнтську консоль. Це цілком реальна ситуація, як показує практика: так можна завдати максимальної шкоди організації або бізнесу, паралізувавши їхню роботу на тижні та місяці вперед.
Як Insider Protection запобігти такому результату? Коли адміністратор клієнта (або зловмисник, який отримав його права) видаляє бекапи з репозиторію, з боку провайдера дані переміщуються в «Кошик». При цьому адміністратор отримує повідомлення про успішне видалення бекапів і більше не має можливості виконувати над ними будь-які дії. Вміст «Кошика» бачить тільки сервіс-провайдер, у клієнтській консолі він не відображається. Термін зберігання в «Кошику» сервіс-провайдер налаштовує індивідуально, обираючи оптимальну кількість днів — йому доводиться враховувати вартість місця в сховищі та ризики для клієнта.
На відміну від звичайних резервних копій, які розміщуються в хмарному сховищі, відновити дані з файлів, що потрапили до «Кошика», звичайним способом не вийде. Щоб отримати резервні копії, які були видалені через клієнтську консоль (тобто поміщені в «Кошик»), клієнту необхідно зв’язатися безпосередньо з постачальником хмарних послуг. А вже той зможе передати дані для відновлення, вибравши безпечний канал — наприклад, захищеним мережевим каналом або на фізичному накопичувачі. Після того як клієнт змінить авторизаційні дані у Veeam Backup & Replication, він може імпортувати передані провайдером файли Veeam VBR і відновити дані звичайним способом.
Хоча сервіс-провайдер гарантує, що навмисно або випадково вилучений бекап буде поміщений до «Кошика», відповідальність за захист безпосередньо вмісту бекапа лежить на клієнті.
Команда Colobridge докладає максимум зусиль і залучає найкращі практики для того, щоб убезпечити клієнтські дані, зокрема резервні копії даних, які зберігаються в нашій хмарі. Ми також рекомендуємо обмежувати правовий доступ до консолі, вмикати опції 2FA (двофакторної авторизації) та auto-logout (автоматичний вихід із системи), щоб не допустити вхід зловмисників у VBR. Напиши нам, щоб отримати рекомендації з побудови відмовостійкої IT-інфраструктури, підключити послуги BaaS або DRaaS, а також допомогу в складанні плану аварійного відновлення.
