Защита резервных копий от вирусов-шифровальщиков

Одной из важнейших угроз для информационной инфраструктуры бизнеса являются вирусы-шифровальщики. Попадая в инфраструктуру, они шифруют или удаляют все данные, до которых могут добраться. Свежая резервная копия делает их неэффективными, поэтому вирусы также стараются удалить или повредить резервные копии, до которых могут добраться. Если у них это получается, восстановление данных может занять недели и потребовать существенных материальных затрат.

Чтобы защититься от этой угрозы, исключите возможность внесения изменений в резервные копии после их создания. Для этого храните резервные копии в Object Storage и используйте для них блокировку версии объекта.

Данная блокировка защищает хранимые в Object Storage резервные копии, которые созданы:

• вручную;
• с помощью стороннего ПО для резервного копирования — например, VEEAM или Commvault.

Чтобы защитить резервные копии в Object Storage:

1. Создайте бакет.
2. Включите строгий режим блокировки.
3. Проверьте корректность настроек.
4. Удалите временные ресурсы.

Шаги настройки описаны с использованием веб-консоли.

Подготовьте Object Storage к работе

Назначьте пользователю роль storage.bucket.admin. Все дальнейшие действия нужно будет выполнять под этим пользователем.

1. Создайте бакет

1. Выберите в веб-консоли нужный проект из списка в верхней строке навигации.
2. В левом меню выберите Object Storage.
3. Нажмите кнопку Создать.
4. Укажите имя бакета backup-bucket.
5. Если это требуется, установите ограничение на размер бакета.
6. При необходимости добавьте теги.
7. В разделе Версионирование включите опцию Включено.
8. Нажмите Создать.

2. Включите строгий режим блокировки

1. Настройте в веб-консоли бакет:

   1. Нажмите на имя бакета backup-bucket.
   2. Перейдите на вкладку Защита данных.
   3. Включите опцию Блокировка объектов. В открывшемся окне:

      • В разделе Блокировка по умолчанию для новых версий выберите Включено.
      • В разделе Тип блокировки выберите Compliance. Этот тип блокировки исключает изменение объекта в течение указанного срока.
      • Введите срок блокировки в днях или годах. Например, 1 день.

        Внимание

        Включенная настройка запрещает удаление или перезапись версий объектов, а также удаление бакета, до истечения срока блокировки.

        В целях тестирования укажите 1 день.

      • Нажмите кнопку Сохранить.
2. Если вы используете стороннее ПО для резервного копирования, укажите в нем такой же срок блокировки, как вы ранее указали для бакета.

3. Проверьте корректность настроек

Проверка считается успешной, если загруженный в бакет объект не получится изменить. Попытайтесь удалить объект (удаление — частный случай изменения):

1. В бакете backup-bucket перейдите на вкладку Объекты.
2. Загрузите объект с именем backup_full_20250828_1430.tar.gz в бакет.
3. Включите опцию Показать версии.
4. Удалите загруженный объект. Веб-консоль отобразит сообщение Файл удалён backup_full_20250828_1430.tar.gz. При этом в списке объектов:

   • Объект отображается с типом Маркер удаления.
   • Оригинальная копия объекта сохранена в виде версии объекта.
5. Попробуйте удалить эту версию объекта. Веб-консоль отобразит сообщение об ошибке Файл защищён от удаления блокировкой объектов.

Это означает, что настройка выполнена корректно, и файлы в бакете защищены от изменения.

4. Удалите временные ресурсы

Важно

Объекты, созданные в рамках этого руководства, подлежат тарификации.

Когда срок блокировки бакета истечет, удалите временные ресурсы:

• объект;
• бакет.