Veeam: backup to nie wszystko [WYWIAD]

Kamil Dudek, dobreprogramy: Jak możemy dziś zaufać złożoności systemów informatycznych w takich kwestiach jak kopie zapasowe? Są to mechanizmy wymagające absolutnego dostępu, czyli także takiego do danych wrażliwych. To niepokojąca wizja w kontekście instytucji publicznych, ochrony zdrowia, a także niedawnych masowych awarii.

Tomasz Krajewski, Senior Technical Sales Director w Veeam: Cóż, zeszłoroczny przypadek awarii CrowdStrike pokazuje, że oprogramowaniu nie można bezgranicznie ufać, ponieważ błędy zawsze mogą się zdarzyć. Co należy zrobić to założyć, że tak po prostu jest i minimalizować wpływ potencjalnych usterek na funkcjonowanie biznesu. Zabezpieczanie danych jest konieczne, więc komuś trzeba w tym zakresie zaufać. Klienci Veeam podczas awarii CrowdStrike byli w stanie przywrócić globalne kopie z dnia przed wystąpieniem usterki (CrowdStrike prędko wycofał wadliwy update - KD) i szybko stanąć na nogi bez konieczności żmudnych operacji manualnych.

Dalsza część artykułu pod materiałem wideo

Jeśli chodzi o konkretny scenariusz ochrony zdrowia i danych wrażliwych to nasze narzędzia wspierają realizowanie celów określonych w polityce bezpieczeństwa, a reguły ochrony tego typu danych pozostają takie same bez względu na branżę. Przykładowo jest to zasada, że jedna kopia backupu musi być niezmienialna (immutable) i nikt jej nie naruszy. Takie dane mogą zostać zmodyfikowane jedynie w wyniku fizycznej ingerencji w nośnik poza systemem. Ważne jest również regularne sprawdzanie czy backup jest odzyskiwalny. Samo to, że mamy kopie zapasowe jeszcze nie gwarantuje, że da się ich użyć. W kontekście branży medycznej warto wspomnieć o wsparciu dla prawa do zapomnienia. Podczas odtwarzania danych możemy uwzględnić żądanie zapomnienia, by przywrócona kopia nie przywróciła również ich.

Nie sposób rozmawiać o ochronie danych i ich odzyskiwaniu bez wspomnienia o cyberzagrożeniach. Według naszego raportu Veeam Ransomware Trends Report tylko 15% firm dotkniętych atakiem ransomware jest w stanie przywrócić dane. Reszta albo decyduje się zapłacić okup albo w jakiś sposób "zaczyna od nowa" korzystając z danych, którymi dysponuje. Czyli, mówiąc wprost, jest kompletnie nieprzygotowana na takie doświadczenie.

KD: Backup jednak nie robi się sam. Posiadanie oprogramowania to jedno, poprawna konfiguracja to co innego. Czy nie jest przypadkiem tak, że backup jest kupowany na zapas, na wyrost, a często tak naprawdę nie działa?

TK: Przede wszystkim backup powinien być częścią szerszej strategii odporności danych, na którą składa się pięć filarów: tworzenie kopii zapasowych i odzyskiwanie danych, dodatkowy backup, planowanie odzyskiwania danych po awarii, środki cyberbezpieczeństwa, a także testowanie i utrzymywanie backupu. Jego prawidłowe wdrożenie to nie jest odpowiedzialność wyłącznie działu IT. Konieczne jest opracowanie w całej firmie polityki bezpieczeństwa. To dokument, do przygotowania którego trzeba wiedzieć, jakimi danymi dysponuje firma, w jaki sposób są przetwarzane i na jaką skalę chcemy je zabezpieczać. Tym nie zajmuje się, a przynajmniej nie powinien, tylko zespół IT.

Kompetencje klientów w zakresie opracowania strategii odporności danych są różne. Z tego powodu zadaniem takich firm, jak Veeam jest zarekomendowanie konkretnych działań, w tym na przykład promowanej przez nas podstawowej reguły 3-2-1-1-0. Polega ona na tym, że dane muszą być przechowywane w trzech kopiach, z czego dwie mają znajdować się na różnych nośnikach, a jedna poza lokalizacją firmy. Niestety, nie dla każdego to jest oczywiste. Konsulting IT to oddzielna usługa i mamy partnerów, którzy mogą nas w jej wypełnianiu wesprzeć. Problem polega na tym, że tworzenie audytów i polityk bezpieczeństwa na wewnętrzny użytek to pierwsza kwestia, która jest skreślana z listy zadań klientów poszukujących oszczędności. Dlatego mało kto w Polsce potrafi powiedzieć jakie będą straty finansowe i/lub wizerunkowe, jeżeli nastąpi wyciek lub utrata danych. Tego się po prostu często nie sprawdza.

KD: Niektórzy za panaceum na utratę danych uznają chmurę. Czy migracja do chmury to nie jest przypadkiem sama w sobie strategia backupu? Wtedy zewnętrzne oprogramowanie byłoby niepotrzebne…

TK: Wiele firm, które przenoszą się do chmury twierdzi, że nie potrzebuje kopii zapasowych, bo przecież ich dane są w chmurze. Jednak zdecydowana większość dostawców, w tym Microsoft, oferuje tzw. model współdzielonej odpowiedzialności (SRM), czyli w praktyce zapewniają dostępność i ochronę infrastruktury oraz usługi, ale nie przechowywanych w niej danych. Te dwie kwestie są często ze sobą mylone, tymczasem należy pamiętać, że za dane zawsze odpowiada ich twórca, czyli właściciel danych. Zresztą, replikacja danych w chmurze to też nie jest backup. Jeżeli firma zostanie zaatakowana ransomware, to co z tego, że będzie miała bardzo porządnie zreplikowane i wielodostępne dane, skoro będą one zaszyfrowane, a dostęp do nich będzie możliwy wyłącznie po opłaceniu okupu.

Migracja do chmury jest pozornie łatwa, ale w zasadzie to trudne wyzwanie, wymagające innego zestawu umiejętności i nowego podejścia od administratorów. Znam przykład pewnego szpitala, który zdecydował się na migrację do Microsoft Azure. Rzecz, która umknęła im podczas planowania przeniesienia, to była kontrola dostępu. Zapomnieli, że w tym konkretnym scenariuszu fizyczny dostęp do zasobów możliwy wyłącznie za pośrednictwem kart dostępowych ma mniej słabych punktów, niż umieszczenie bazy danych w chmurze, gdzie jedna błędna konfiguracja udostępnia dane całemu światu. Takich przypadków jest więcej.

KD: To rozwiązania słusznie zidentyfikowanych problemów, ale jest w tym pewna pomijana kwestia - vendor lock-in. Wdrożenie zewnętrznego narzędzia do kopii zapasowych zwiększa bezpieczeństwo danych, ale wprowadza zależność od dostawcy. Potencjalnie także od konkretnej chmury. Czy z Veeam jest tak samo?

TK: Nasze rozwiązania oferują funkcje cross-cloud. Jeśli chodzi o Veeam, zjawisko "lock-in" jest rzeczywiście do pewnego stopnia obecne, podobnie jak ma to miejsce w przypadku wielu rozwiązań do tworzenia kopii zapasowych.. Ale są tacy klienci i branże, np. banki, gdzie polityka bezpieczeństwa wymusza możliwość ewakuacji z jednej chmury do innej. To oznacza, że można przywrócić kopię Veeam z jednego chmurowego środowiska na innym, osobnym, np. z Azure na AWS. Dlatego wręcz rekomendujemy unikanie lock-inu w chmurze, nie tylko w celu zwiększenia bezpieczeństwa, ale także zapewnienia lepszej przewidywalności budżetu, w tym kosztów związanych z backupem.

Nasza licencja jest uniwersalna, niezależnie od tego, z jakiego zaplecza chmurowego korzystamy, ponieważ jest związana z tzw. workload. Czyli jeżeli zdecydujemy się przeprowadzić wszystko, co mamy i wdrożyć to w konkurencyjnym środowisku chmurowym, to dalej jest to ten sam workload. Dotyczy to zarówno kontenerów, jak i wirtualnych maszyn, co zwiększa łatwość przenoszenia się. Sprzyjamy też migracji poprzez np. możliwość wdrożenia kopii maszyny fizycznej na maszynę w chmurze, z konwersją w tle.

KD: Zostawiając z boku chmurę, wspomnijmy jeszcze o aktualizacjach. Ta nielubiana kwestia bywa kluczowa dla bezpieczeństwa, także w systemach izolowanych i o ograniczonej łączności. W jaki sposób działa w nich strategia aktualizacji?

TK: Oferujemy model (blueprint) wdrożeniowy dla takich przypadków, który nazywa się Digital Bunker, czyli bunkier cyfrowy. Nasze produkty domyślnie nie aktualizują się online w tle. Zawsze istnieje możliwość przeprowadzenia aktualizacji offline z zabezpieczonego i przygotowanego pendrive'a. Dostęp do internetu nie jest wymagany do żadnych funkcji backupowych. To kluczowe, bo stworzenie cyfrowego bunkra w chmurze jest niemożliwe.

KD: Dziękuję za rozmowę.

Veeam wierzy w swoje rozwiązania - to naturalne w biznesie, chcą przecież sprzedać swoje produkty. Mimo to, dostrzec możemy jak istotną rolę w udzielonym wywiadzie przypisano właściwej obsłudze: edukacji, weryfikacji działania kopii, opracowania polityki bezpieczeństwa i analizy ryzyka. Veeam wydaje się zatem odpowiadać na nowe potrzeby (chmura, immutability, regulacje unijne), ale nie zlikwiduje problemów wynikających z czynnika ludzkiego.

Czy wdrażanie takiego oprogramowania zwiększa złożoność? Zdecydowanie. Otwartą kwestią jest jednak to, kogo stać na jaki rodzaj złożoności: obsługi oprogramowania czy odbudowy po ataku. To nie jest jednoznaczne i wbrew pozorom nie ma na to poprawnej odpowiedzi. Czasem warto się bronić za "wszelką" cenę - a czasem taniej jest po prostu zacząć od nowa. Wszyscy mamy przecież gotowy plan zarządzania kryzysowego, prawda…?