Kas yra taisyklė 3-2-1?
Tai paprasčiausias pasaulyje patikimos kopijų strategijos aprašymas:
- 3 kopijos — originalas ir bent dvi atsarginės;
- 2 skirtingos laikmenos — pavyzdžiui, serverio diskas ir NAS saugykla arba debesija; viena laikmena gali sugesti, dvi vienu metu — gerokai rečiau;
- 1 kopija kitoje vietoje — ne tame pačiame pastate ir ne tame pačiame tinkle. Gaisras, vagystė ar šifruojantis virusas nepasiekia to, kas fiziškai ar logiškai atskirta.
Taisyklė gimė dar prieš debesijos erą, bet šiandien aktualesnė nei bet kada — būtent dėl išpirkos programinės įrangos (ransomware), kuri taikosi ne tik į darbinius duomenis, bet ir į pasiekiamas kopijas.
Kodėl „viskas OneDrive" nėra atsarginė kopija
Dažniausias nesusipratimas: „mūsų failai sinchronizuojami į debesį, tai ir yra kopija". Deja — sinchronizacija nėra atsarginė kopija. Jei failą užšifruoja virusas ar netyčia ištrina darbuotojas, sinchronizacija tą patį pakeitimą ištikimai perkelia į debesį. Po kelių minučių ir ten guli užšifruota versija.
OneDrive ir SharePoint turi šiek tiek įmontuotų apsaugų — versijų istoriją, šiukšlinę, atkūrimą į ankstesnį momentą. Bet tai dar nėra tikra atsarginė kopija: šios funkcijos galioja ribotą laiką ir, svarbiausia, nėra atskirtos nuo darbinės aplinkos — tą pačią paskyrą užvaldęs virusas ar klaida gali sunaikinti ir failus, ir jų versijas. Tikra atsarginė kopija turi dvi savybes: pakankamai ilgą versijų saugojimą atgaline data (galite grįžti į būseną prieš incidentą) ir atskirtį nuo darbinės aplinkos (to, ką pasiekia darbinė paskyra, negali sunaikinti ta pati paskyra).
Svarbu ir apie Microsoft 365: „debesyje" laikomi paštas ir dokumentai pagal atsakomybės pasidalijimo principą yra jūsų atsakomybė — Microsoft užtikrina paslaugos veikimą, bet ne jūsų duomenų atkūrimą po žmogaus klaidos ar atakos. Tam egzistuoja atskiri M365 atsarginių kopijų sprendimai.
Ransomware ir nekeičiamos kopijos
Šiuolaikinės atakos pirmiausia ieško kopijų — jas sunaikinus, auka priversta mokėti. Todėl bent viena kopija turi būti nepasiekiama iš darbinio tinklo: atjungiama laikmena, atskira paskyra su kitais prisijungimais arba vadinamoji nekeičiama (immutable) kopija, kurios nustatytą laiką negali ištrinti niekas — net administratorius.
Du klausimai, kurie apibrėžia visą strategiją
Prieš renkantis įrankius, atsakykite sau į du klausimus:
- Kiek darbo galime prarasti? Jei kopijos daromos kartą per parą, blogiausiu atveju prarandate visos dienos darbą. Vieniems tai priimtina, kitiems — katastrofa. Nuo atsakymo priklauso kopijų dažnis.
- Kiek laiko galime stovėti? Atkūrimas iš lėtos saugyklos gali trukti ilgai. Jei kiekviena prastovos valanda skausminga, strategijoje turi būti numatytas greitas atkūrimo kelias svarbiausioms sistemoms.
Šie du atsakymai (specialistų kalboje — RPO ir RTO) paverčia „darom kopijas" į apgalvotą sprendimą: ką kopijuojame, kaip dažnai, kur laikome ir kaip greitai atkuriame.
Atkūrimo testas — svarbiausia ir dažniausiai praleidžiama dalis
Kopija, kurios atkūrimas niekada nebandytas, yra tik viltis. Realybėje testai atskleidžia: kopijoje trūksta svarbaus aplanko, atkūrimas trunka daug ilgiau nei tikėtasi, arba paaiškėja, kad slaptažodį nuo šifruotos kopijos žinojo tik prieš metus išėjęs darbuotojas.
Todėl reguliarus atkūrimo testas — ne prabanga, o strategijos dalis: periodiškai atkurkite atsitiktinį failą, o bent kartą per metus — visą kritinę sistemą bandomojoje aplinkoje.
Pasitikrinimo sąrašas
- Turime bent tris duomenų kopijas dviejose skirtingose laikmenose
- Bent viena kopija — kitoje vietoje ir nepasiekiama iš darbinio tinklo
- Kopijos apima viską, kas kritiška: serverius, duomenų bazes, M365 paštą ir dokumentus
- Žinome, kiek darbo prarastume blogiausiu atveju, ir tai sąmoningas sprendimas
- Kopijų sėkmė stebima automatiškai — apie nepavykusią kopiją sužinome iš karto
- Atkūrimą išbandėme per pastaruosius metus ir žinome, kiek jis trunka
- Prieigą prie kopijų ir šifravimo raktų turi daugiau nei vienas žmogus
Jei bent pora punktų kelia abejonių — geriau tai išsiaiškinti dabar, o ne incidento rytą. Kopijų sistemas projektuojame ir prižiūrime kaip IT ūkio priežiūros dalį, o įrankius (Veeam, Acronis) tiekiame MSP modeliu.
Šaltiniai
- NKSC rekomendacijos dėl atsparumo išpirkos programinei įrangai — nksc.lt
- ENISA gairės dėl atsarginių kopijų ir veiklos tęstinumo — enisa.europa.eu