Stfw.RuНужен ли Backup?
Хакер-спец #1 2006
🕛 23.06.2006, 12:26
Нужен ли Backup?Внедрение любой технологии так или иначе связано с затратами и рисками. К резервному копированию это относится не меньше, чем к чему-либо другому. Резервное копирование - это технология защиты информации. Прежде чем бросаться внедрять ее, особенно в корпоративной среде, следует точно выяснить, где именно и почему ее внедрять, чтобы в дальнейшем пребывать в полном убеждении в том, что резервное копирование является оптимальным решением. Давайте посмотрим на резервное копирование с разных сторон и выясним, для чего оно может потребоваться, во что обойдется, и что можно использовать вместо него.
Какие основные черты резервного копирования?
Резервное копирование - процесс не постоянный и обычно происходит по какому-либо расписанию.
Восстановление из резервного копирования, как правило, процесс, требующий времени, в течение которого доступ к информации может быть затруднен.
Резервное копирование можно проводить на съемный носитель.
Копий может быть практически неограниченное число, и они могут быть различного срока давности.
Стоимость резервного копирования относительно невелика.
Можно выбирать какие данные и когда резервировать.
Любой файл хранится в архиве полностью, даже если изменился только частично.
Восстановление данных возможно только при наличии соответствующих привилегий.
Не нужно забывать, что резервирование это в первую очередь технология защиты информации.
Так какие риски устраняет или смягчает резервное копирование?
Риск потери информации в результате отказа оборудования
Вы ни разу не были в такой ситуации? Вы в ней будете.
кажется наиболее очевидным. Действительно, любое оборудование рано или поздно ломается. И особенно это относится к дисковым накопителям. Наличие резервной копии данных позволяет восстановить данные в случае отказа.
В корпоративной среде отказ оборудования не должен рассматриваться как чрезвычайная ситуация. Отказ оборудования должен быть предусмотрен заранее и должны использоваться методы, которые позволяют в такой ситуации минимизировать финансовые потери, связанные, например, с простоем системы. Какие имеются конкурирующие технологии? Конечно же это технологии отказоустойчивости - отказоустойчивые дисковые массивы, кластерные системы и дублирующие сервера. Давайте рассмотрим преимущества и недостатки.
Отказоустойчивые дисковые массивы (RAID)
RAID (Redundant Array of Inexpensive Disks - избыточный массив недорогих дисков) - технология, позволяющая системе <выжить> при отказе жесткого диска за счет хранения избыточной информации. Существует несколько различных технологий RAID, обычно называемых уровнями. В простейшем случае, вместо одного диска, одна и та же информация синхронно записывается на два диска. Это зеркалирование дисков или RAID уровня 1. Другой распространенный тип это RAID уровня 5 - чередование данных с четностью, который требует трех или более дисков. В таком случае данные <размазываются> по всем диском, при этом на одном из дисков хранится информация о четности, которая позволяет восстановить фрагмент данных, если один из дисков отказал. Диски меняются ролями, т.е. для следующего блока информации четность будет храниться на другом диске.
Данные Четность
RAID уровня 5 с тремя дисками
По сравнению с RAID 1 это позволяет потерять меньше места под хранение избыточных данных (при наличии любого числа дисков в массиве мы теряем один). Обе технологии позволяют защитить от выхода из строя не более чем одного из дисков. Существует возможность выживания и при выходе из строя более чем одного диска за счет хранения избыточной информации по принципу матриц Хэмминга, однако, на практике такой метод используется чрезвычайно редко из-за больших потерь на хранение избыточной информации. Существуют как аппаратные, так и программные реализации RAID.
Давайте сравним RAID с резервным копированием. Преимущества RAID очевидны:
Основное преимущество - RAID способен продолжать работу без останова системы. При этом, возможно, система будет работать несколько менее производительно, например, из-за необходимости восстанавливать информацию по четности в случае RAID 5.
Некоторые уровни RAID, в частности RAID 5, за счет <размазывания> информации по нескольким дискам и параллельному обращению к ним приводят к повышению быстродействия дисковой подсистемы, особенно при аппаратной реализации.
Большая часть аппаратных реализаций RAID способна к автоматическому восстановлению при наличии жесткого диска в горячем резерве.
Недостатки RAID в большинстве своем не велики и частично устранимы:
Затраты на дополнительные диски и RAID контроллер. Для корпоративной среды они не так уж существенны.
При выходе более чем одного диска система становится неработоспособна и информация не подлежит восстановлению. При использовании двух дисков из разных партий вероятность их одновременного выхода из строя невелика.
Есть вероятность отказа аппаратного RAID контролера. В критичных системах данная ситуация должна быть предусмотрена - политика закупки оборудования должна предусматривать закупку совместимых по формату данных RAID котроллеров и наличие одного из них в резерве.
RAID не защищает от выхода из строя другого оборудования или сбоев операционной системы. Впрочем, и резервное копирование тоже не защищает.
Кластерные системы
Кластер - это несколько компьютеров (узлов), функционирующих как единая система, способная работать даже при полном выходе из строя одного из узлов, что и является основным преимуществом кластера. Кроме того, нагрузка так же делится между узлами. Кластер может быть реализован как на уровне операционной системы, так и на уровне отдельного серверного приложения. К недостаткам можно отнести то, что не любой кластер поддерживает дублирование файловой информации между системами, очень часто используется единый разделяемый диск, а так же высокую стоимость оборудования и программного обеспечения.
Дублирующие (резервные) сервера
Дублирующий сервер, в отличие от кластера, реплицирует информацию с основного сервера, но не обслуживает клиентов, пока основной сервер функционирует. В случае выхода из строя основного сервера дублирующий сервер его заменит. Поскольку в штатном режиме работы нагрузка на сервер относительно небольшая, один и тот же сервер может дублировать несколько основных серверов, в частности используя технологию виртуальных машин, для простоты передачи этой роли в случае аварии.
Напрашивается следующий вывод: резервное копирование - не лучшее средство борьбы с отказами оборудования и должно использоваться либо как <довесок> к основной технологии, например RAID, либо в домашних системах и небольших офисах, где стоимость оборудования является критичной.
Нежелательная утрата или модификация информации в результате неосторожных или злонамеренных действий
Реальная ситуация: звонок библиотекаря разработчикам системы электронного каталога.
- Вы знаете, я уронила очки на клавиатуру, а оно мне пишет <ждите, идет удаление>.
Ни RAID, ни кластер, ни любая другая технология обеспечения отказоустойчивости не защищает против ошибок операционной системы, программного обеспечения или человека, в результате которых данные изменяются или удаляются. Сразу скажу, что резервное копирование является одним из лучших решений для таких ситуаций, т.к. можно хранить копии разного срока давности, например, за каждый день последней недели, двухнедельной, месячной, полугодовой и годовой давности. Возможность использования внешних съемных носителей существенно снижает стоимость хранения информации. Тем не менее, рассмотрим и конкурирующие технологии, тем более, что для некоторых задач они подходят лучше.
Технология <Теневого копирования> (Shadow Copy)
Технология теневого копирования реализована в Microsoft Windows 2003, но сходные технологии реализованы и в продуктах третьих разработчиков на разных платформах (например, RestoreIT от Farstone). Идея достаточно проста: в дисковом разделе по расписанию (по умолчанию в Shadow Copy - дважды в день) отслеживаются все изменения на самом низком уровне, и имеется возможность восстановить состояние диска в целом, или даже предыдущие версии отдельных файлов на момент создания теневой копии.
(возможность восстановить предыдущую версию есть только при доступе к файлу через сетевой ресурс).
Преимущества теневых копий - простота использования, возможность восстановления файла самим пользователем без вмешательства администратора. Недостаток в том, что копии отъедают место на жестком диске, нельзя задать копирование отдельных файлов или каталогов, невозможно гарантировать количество копий и нельзя установить, хранение, например, копии месячной давности. Но в целом технология вполне заслуживает внимания. Похожий подход (автоматическое хранение старых версий) реализован и во многих системах документооборота. Следует заметить, что технология теневого копирования реализована и в Windows XP, через нее сделана возможность восстановления (отката) системы и резервного копирования в ntbackup, однако интерфейса для восстановления отдельных файлов, к сожалению, нет.
Системы контроля версий
Современные системы контроля версий, такие как CVS, Subversion или коммерческие продукты, можно (и иногда довольно удобно) использовать не только для контроля версий исходного когда программ, но и для хранения версий, например, корпоративных документов. Недостаток такого подхода в его <чистом> виде в том, что требуется приучить пользователя работать с такой системой, что не всегда легко, кроме того, с некоторыми типами двоичных файлов такие системы работают крайне неэффективно.
Восстановление данных на уровне приложения
Многие приложения, работающие с данными, например системы управления базами данных поддерживают журналы транзакций, позволяющие откатить изменения к определенному моменту времени. Иногда это требует нетривиальных действий, как, например, в случае с Microsoft SQL Server (см. статью ). В любом случае, сбрасывать со счетов такой способ не стоит, т.к. по использованию он весьма похож на резервную копию, но дает более полный контроль над тем, к какому моменту времени в прошлом следует восстановить систему.
Какие же преимущества у резервного копирования?
Резервная копия, хранящаяся отдельно, выживает даже тогда, когда все жесткие диски были намеренно отформатированы. Это позволяет рассматривать резервное копирование как одно из средств защиты от возможных атак извне или изнутри. Возможность держать старые архивные копии наравне со свежими, делает резервное копирование незаменимым в ситуациях, когда утеря важных данных обнаружена спустя длительное время.
Физические угрозы - кражи, пожары, подтопления, и т.д.
А так же: диверсии, серьезные проблемы электросети, электромагнитные излучения и т.д.
Вот, пожалуй, ситуация, в которой резервное копирование вне конкуренции. Резервное копирование легко организовать на машину находящуюся в другом, достаточно удаленном помещении. Резервную копию на внешнем носителе, например ленте, легко положить в банковскую ячейку, где она будет в сохранности даже в случае серьезных катаклизмов. Любое серверное помещение это всегда помещение с повышенной опасностью. Пожар может случиться даже под водой. А водой вас могут затопить даже если нет пожара. Все подобные <катастрофические> ситуации кажутся маловероятными только до тех пор, пока в них не попадаешь. А большая, территориально разбросанная компания рано или поздно обязательно пострадает от катаклизмов.
Какие риски связаны с внедрением резервного копирования?
Любая технология, которая дает какие-либо преимущества, обязательно имеет и обратную сторону. Потери, связанные со стоимостью оборудования, программного обеспечения и человеческие ресурсы необходимые на внедрение и поддержание резервного копирования это еще не все. В случае резервного копирования, есть достаточно серьезные риски, связанные с безопасностью данных.
Безопасность данных во время хранения
Обеспечить безопасность сменных носителей зачастую бывает гораздо сложнее, чем обеспечить безопасность, например, файлового сервера. Процедура резервного копирования и дальнейшего хранения и учета и контроля копии должна быть организована таким образом, чтобы исключить возможность выноса или даже кратковременного доступа посторонних к резервной копии.
Безопасность процесса резервного копирования
В большинстве случае резервное копирование происходит автоматически. Для доступа к данным обычно требуются повышенные привилегии. Поэтому процесс, обеспечивающий резервное копирование запускается из-под учетной записи с повышенными привилегиями, что уже само по себе связано с определенным риском.
Давайте рассмотрим несколько из возможных векторов атаки на систему резервирования:
Атака на учетную запись. Усугубляется еще и тем, что блокировка учетной записи после неудачных попыток входа недопустима, т.к. сопряжена с возможностью атаки на отказ в обслуживание.
Атаки через файловую систему (символьные линки и всевозможные рэйсы, атаки на возможные ошибки переполнения буфера, форматных строк, доступа к файлам архивов и т.п.)
Атаки на сетевые компоненты - пожалуй, самая серьезная из угроз. На сегодняшний момент не известно ни одной коммерческой системы резервного копирования масштабов предприятия, в которой не было бы обнаружено уязвимостей сетевых компонент. При этом следует учитывать, что агенты резервного копирования устанавливаются не на сам Backup-сервер, а в места хранения данных, что делает проблему еще более существенной.
Атаки на уязвимости во взаимодействии с другими компонентами. Например, преднамеренное размещение вируса в файловой системе, чтобы антивирус остановил процесс резервного копирования на доступе к файлу.
Итак:
Резервное копирование необходимо. Но только в домашней сети или в мелком офисе резервное копирование используется без применения каких-либо других технологий обеспечения сохранности данных. Процесс внедрения резервного копирования должен быть тщательно продуман и взвешен, никаких <внезапных> решений быть не должно. Резервная копия это средство защиты данных последнего эшелона, которое используется на самые крайние случаи. В большинстве ситуаций для предотвращения потери данных или восстановления утерянных данных должны применяться другие, более удобные технологии.
Перепечатка данной статьи невозможна без разрешения издательства Gameland