{"id":10776,"title":"\u0411\u043b\u0430\u0433\u043e\u0434\u0430\u0440\u044f \u044d\u0442\u043e\u043c\u0443 \u043a\u043e\u043c\u043f\u044c\u044e\u0442\u0435\u0440\u0443 \u0432 \u043e\u043a\u0435\u0430\u043d \u043f\u043e\u043f\u0430\u0434\u0451\u0442 \u043c\u0435\u043d\u044c\u0448\u0435 \u043f\u043b\u0430\u0441\u0442\u0438\u043a\u0430","url":"\/redirect?component=advertising&id=10776&url=https:\/\/vc.ru\/acer_russia\/347915-acer-vypustila-pervyy-noutbuk-iz-pererabotannogo-plastika&placeBit=1&hash=368c351f012741e124bb4bc6c0b9b05d5e0f9033fab83ea5e301424877f73936","isPaidAndBannersEnabled":false}

Как сэкономить 10 миллионов долларов? Бэкапы!

На прошлой неделе хакеры зашифровали данные Garmin, и компании пришлось заплатить 10 миллионов долларов для того, чтобы получить свою информацию обратно. Сервисы компании не работали 3 дня, сломались даже колл-центры. Ценные данные можно потерять не только из-за хакеров, но и из-за банальной аварии оборудования или ошибки программиста. Вот четыре простых принципа настройки бэкапов, которые помогут вам сохранить информацию практически в любой ситуации.

Раздельная среда для бэкапов

Определите, от аварии какой части системы мы защищаемся. Если от сломанного жесткого диска — достаточно хранить копию информации на соседнем жестком диске на том же компьютере. Если от взлома или аварии на конкретном сервере — нужен второй сервер. Для защиты от аварии в серверной стойке нужно хранить копию информации на соседней стойке, от разрубленного кабеля в дата-центре потребуется второй ДЦ, а от глобальных проблем хостера — другой поставщик услуг.

Часто самый простой и дешевый вариант – отдельный поставщик инфраструктуры для резервного хранения данных. В самом базовом варианте нам нужно просто файловое (объектное) хранилище — его предоставляют все крупные облачные провайдеры: Amazon, Microsoft, Google, Yandex и Mail.ru. Выбирайте конкурента вашего основного хостера и спите спокойно. Если одновременно сломаются две такие компании — бэкапы (и компьютеры в целом) вам вряд ли понадобятся, в цене будут патроны и банки с тушенкой.

Append-only

Процесс, который создает бэкапы не должен иметь физической возможности их уничтожить. Это защитит и от хакерской атаки, и от банальной ошибки, когда кто-то случайно затрет бэкапы.

Самый простой способ — создать отдельный бакет в объектном хранилище вроде Amazon S3 и дать всем пользователям возможность в него дописывать, но никому не давать прав на удаление или изменение объектов.

Внешняя проверка создания бэкапов

Создать бекапы один раз мало, надо еще проверять, что система работает постоянно. Сам процесс создания бэкапов сообщить вам о проблеме не сможет — это как полиция, которая должна сама себя расследовать. Выход — отдельный сервис, который производит именно такой контроль и в случае чего трубит тревогу.

Простой и бесплатный способ — сервис Healthchecks.io. Выбираете в нем, с какой частотой должны создаваться бэкапы и добавляете последним шагом в процесс создания бэкапа запрос на специальный адрес внутри этого сервиса. Если сервис не получит запроса в ожидаемое время — он отправит вам смс. Федя пользуется этим сервисом уже много лет, и он не раз спасал его шкуру.

Учения — проверки на восстановление из бэкапов

Никакой бэкап не имеет смысла, если вы не сможете из него восстановиться. Бывает и так, что восстановиться-то можно, но занимает недели, и бизнес за это время несет неприемлемые убытки. Чтобы быть уверенным в качестве и скорости восстановления, нужны учения.

Самое полное учение очень «простое» — заказываете новые серверы и пытаетесь развернуть ваш сервис с нуля, из бэкапов. Необязательно проверять все части системы одновременно, можно попробовать восстановить только базу данных или только сервер приложения. Незаметное для пользователей переключение нагрузки на свежие резервные мощности — само по себе сложная инженерная задача.

Восстановлению из резервных копий — почти всегда большая работа и серьезный стресс для всех участников. Но и кайф от такой работы трудно переоценить. Это редкое в IT чувство, когда ты уверен, что всё сделал правильно.

Мы настраиваем бэкапы по этим принципам всем своим клиентам. Хотите заказать наши услуги по созданию крутой внутренней разработки? Пишите на s@samat.me.

0
18 комментариев
Популярные
По порядку
Написать комментарий...
Nikita Rogatov

У нас кластер 400 узлов и 6 Пб. Вы как его тестировать будете?

Ответить
1
Развернуть ветку
Федя и Самат

уверен, что у вас там уже всё схвачено и ваши админы могут написать статью гораздо интереснее нашей :)

Ответить
3
Развернуть ветку
Oleg Peres

Вообще-то  большинство ransomware хакеров шифруют данные несколько месяцев, то есть вы сможете восстановится только через год с не затронутых бэкапов. Так что ваше решение несколько устарело, здесь нужен координально новый подход.

Ответить
1
Развернуть ветку
Mercator

Кардинально, со всем уважением.

Ответить
1
Развернуть ветку
Федя и Самат

а есть где-то разбор, как они работают? не верится, что они портят бэкапы по полгода

Ответить
0
Развернуть ветку
Vl Al

Встречался на практике с шифровальщиком, который не трогает систему. И потихоньку шифрует данные. Ну, конечно, не полгода. Пара недель примерно. 

Ответить
0
Развернуть ветку
Ales Sharaev

Что значит шифруют несколько месяцев? Сидят в вашей сети хакеры пол-года и потихоньку шифруют файлы а админы и не знают?

Ответить
0
Развернуть ветку
Алексей Николаев

Именно. Никто может и не догадаться. При обращении к файлам идет расшифровка и отдача запросившему. Никто не обратит внимание на просевший отлик. Особенно во время эпидемии и Массовой работы на удаленке.

Ответить
0
Развернуть ветку
Ales Sharaev

Ээ права доступа уже отменили? Бэкап вне сети критических данных? Периодическую смену ключей? Опять же сложно представить что критические данные уже зашифрованы, а никто этого не заметил и попрежнему как-то к ним обращается.

Ответить
0
Развернуть ветку
Алексей Николаев

Недавняя атака на twitter первоначально была выполнена методами социальной инженерии. После получен доступ к внутренним системам уже с повышенными привилегиями. Нельзя делать упор только на техническую сторону вопроса. Да и много ли кто наизусть знает какие процессы должны работать на хосте, а какие подозрительные? Тут нужен полноценный SoC, безопасность должна быть процессом в режиме реального времени. Такие специалисты - штучный товар.

Ответить
0
Развернуть ветку
Федя и Самат

очень круто, можете подсказать где про это почитать, пожалуйста?

Ответить
0
Развернуть ветку
Vl Al

"заказываете новые серверы" - Цены на серверы начинаются от 200 000 руб. 

Ответить
0
Развернуть ветку
Федя и Самат

аренда! виртуалки! ну вы поняли

Ответить
0
Развернуть ветку
Nikita Rogatov

Какая аренда если данные внутри датацентра? А если железо не х86? А лицензии на софт?

Ответить
0
Развернуть ветку
Федя и Самат

ничего не понятно :(

Ответить
0
Развернуть ветку
Andrey Sinitsyn

Ну это совет, очевидно, для совсем молодых и маленьких. Это очень и очень базовые вещи

Ответить
0
Развернуть ветку
Федя и Самат

Я вижу довольно широкий срез IT-мира и у большинства хоть один пункт, но зафакаплен.

Ответить
0
Развернуть ветку
Andrey Sinitsyn

что не отменяет того, что это очень и очень базовые вещи :) А лишь говорит о том, что к сожалению огромное число IT-компаний (ну в вашем срезе точно) по-прежнему молодые и маленькие (по уровню зрелости своих процессов), несмотря на порой солидный возраст и клиентскую базу

Ответить
0
Развернуть ветку
Читать все 18 комментариев
Samsung представила сканер отпечатков пальцев для платёжных карт и пропусков Статьи редакции

Биометрический датчик, процессор и модуль безопасности впервые объединили на одном кристалле.

МТС выдает микрозаймы под видом безвозмездной ссуды

Как говорится, хочешь рассмешить судьбу расскажи какой ты умный. Ситуация следующая: уже 12 лет являюсь примерным и счастливым отцом подрастающего оболтуса, которому присущи пороки поколения, включая какое-то сверхестественное отвращение к печатному слову. И конечно же у оболтуса имеется современная трубка с мессенджерами, браузерами и прочими…

Панельного неба скульптура: Никита Анохин делает ночники в виде советских домов, а их покупают в России и за рубежом Статьи редакции

Мастерская Nikita Anokhin Store началась на кухне со шкатулок-сердец. В 2021 году он заработал на «Брежневках», «Свечках» и других проектах 3,6 млн рублей чистой прибыли.

Ночники Brezhnevka и «Свечка». Фото предоставлены мастерской.
Леонид Агутин стал лицом новой кампании Авито по цифровой безопасности

В новой digital-кампании Авито, направленной на обучение цифровой безопасности, Леонид Агутин рассказывает, как заботиться о близких в онлайн-среде, и о главных правилах поведения в сети. Ролик с участием Леонида Агутина появился на YouTube и в социальных сетях, также он будет распространяться в популярных сообществах в мессенджерах.

Анастасии звонят чаще, чем Владимиры — Yota подготовила статистику клиентов по именам

По данным Yota за 2021 год, самые часто встречающиеся мужские имена среди пользователей мобильного оператора – Александр, Сергей, Алексей. Женские – Елена, Наталья, Татьяна. При этом Александров на 21,4% больше, чем Елен.

Разбор "живого бота", который продвигает статьи на vc.ru

В статье, которую написал Аркадий Кашковский, я оставил сообщение о том, что в обсуждении присутствуют боты.

Японская компания выпустила устройство с колёсиком для прокрутки, которым нужно управлять ногой Статьи редакции

Стоит $27.

Патенты и электромобили: что охраняют «Яндекс», автогиганты и стартапы

Технологии совершенствования аккумуляторов и системы управления стали самыми патентуемыми разработками, связанными с электромобилями. Такие данные представил в своем исследовании крупнейший агрегатор американских и общемировых патентных данных IFI Claims.

Python-разработчик, UX-писатель и Product-менеджер. На кого учатся россияне и сколько тратят на онлайн-образование

Ко Дню студента мы выяснили, как в 2021 году изменился спрос на онлайн-образование по сравнению с 2020 годом. Рассказываем, что изменилось за год, и какие направления онлайн-образования пользуются наибольшей популярностью.

Тинькофф вгоняет клиентов в убытки

Итак, вот и еще одна, очередная история о том, как Тинькофф инвестиции без согласия проводит операции маржинальной торговли и вгоняет клиентов в убытки. А теперь по порядку

null