Привет, Хабр. В мае этого года увидела свет новая версия нашей системы резервного копирования – Кибер Бэкап 17.0. Ниже расскажем, что нового появилось в продукте, что улучшилось, и немного заглянем в будущее.
Про развитие продукта
При планировании новых версий продукта мы ориентируемся на пять векторов развития. Они позволяют нам формировать последовательную и прозрачную дорожную карту, которая крайне полезна не только нам самим, но и нашим заказчикам и партнерам. Вот эти векторы:
Кроссплатформенность. Поддержка инфраструктуры заказчиков во всем ее многообразии и обеспечение защиты растущего числа ОС, платформ виртуализации, СУБД и приложений.
Прозрачность и наглядность. Предоставление в реальном времени данных о работе системы и происходящих в ней событиях, обеспечение средств мониторинга, формирования отчетов, рассылки уведомлений и оповещений, сбор и обработка ошибок, хранение диагностической информации.
Безопасность. Соответствие современным требованиям и моделям безопасности, способность интегрироваться в системы и политики безопасности организаций и предоставление активной защиты от вирусов-шифровальщиков.
Единообразие. Поддержка новых объектов защиты и новых аппаратных платформ обеспечивается преимущественно за счет использования собственных механизмов, продукт обеспечивает централизацию, оптимизацию и автоматизацию.
Рост вместе с инфраструктурой. Обеспечение масштабируемости от небольших до крупных, географически распределенных инфраструктур, предоставление поддержки соответствующих платформ, средств управления, развертывания и мониторинга.
Давайте посмотрим, как эти направления развития нашли свое отражение в обновленном Кибер Бэкапе.
Кроссплатформенность
Для нас обеспечение кроссплатформенности включает не только увеличение числа поддерживаемых объектов защиты – ОС, платформ виртуализации, приложений и СУБД. Сюда относится и актуализация защиты уже поддерживаемых объектов защиты. Так, в Кибер Бэкапе 17.0 расширен список поддерживаемых отечественных операционных систем. Теперь резервное копирование доступно для ОС Astra Linux 1.7.5 и 1.8, РЕД ОС 8. Также добавлена поддержка платформы виртуализации zVirt версий 4.0 и 4.1, подтверждена совместимость продукта с платформами виртуализации VMware ESXi 8.0 Update 2 и VMware vCenter Server 8.0 Update 2, а также СУБД ProximaDB 2.0 и Jatoba 5.
Суммируем улучшения в виде таблицы.
Объект защиты | Кибер Бэкап 16.5 | Кибер Бэкап 17.0 |
|---|---|---|
Операционные системы семейства Linux | Версии ядра 3.0–6.2 | Версии ядра 3.0–6.7, в том числе Астра Linux 1.7.5, 1.8 и РЕД ОС 8 |
Виртуализация на уровне гипервизора | VMware ESXi, vCenter Server 4.1–8.0 zVirt 3.0–4.1 | VMware ESXi, vCenter Server 4.1–8.0 Update 2 zVirt 3.0–4.2 |
Приложения | Proxima DB 2.0 Jatoba 4–5 | 2.0–3.0 Jatoba 4–5 (исправлены проблемы с гранулярным |
В то же время мы отключаем поддержку старых, уже редко используемых объектов зашиты. Так, в Кибер Бэкапе 17.0 прекращена поддержка ОС Windows Home Server 2011, Windows MultiPoint Server 2010/2011/2012 и Windows Small Business Server 2011.
А самое главное, в Кибер Бэкапе 17.0 реализовано безагентное резервное копирование виртуальных машин Basis DynamiX Enterprise и добавлена защита платформы контейнеризации приложений и сервисов Kubernetes (в этом релизе защищаем пространства имен и конфигурационные файлы). Также расширили поддержку коммуникационной платформы VK WorkMail: теперь можно в любой момент времени восстановить любое письмо с любого носителя, даже с ленточного устройства.
Защита виртуальных машин Basis DynamiX Enterprise
В новой версии СРК добавлена возможность безагентного резервного копирования и восстановления виртуальных машин, работающих под управлением платформы Basis DynamiX Enterprise. Поддерживается Basis DynamiX Enterprise версии 3.8.8 или выше. На момент публикации резервное копирование на уровне гипервизора (безагентный режим) поддерживается только через остановку виртуальной машины. Хотим подчеркнуть, что мы активно работаем вместе с командой Базис, чтобы найти наилучшее решение для решения этой проблемы. Мы твердо уверены, что наша совместная работа и усилия приведут к разработке эффективных мер, которые позволят нам обеспечить полную функциональность нашего продукта.
Также можно выполнять резервное копирование с установкой агентов внутрь ВМ (агентский режим). Доработки защиты виртуальных машин Basis DynamiX Enterprise будут продолжены в следующих версиях Кибер Бэкапа.
Как мы ориентируемся в многообразии платформ виртуализации или как выбрать следующего
В вопросах приоритизации мы ориентируемся на тенденции на рынке, потребности наших клиентов, технологическую зрелость команды, которая развивает и обслуживает решение, а еще мы ценим открытость в вопросах технологических партнерств. Все это позволяет нам выстроить свои приоритеты правильно и действовать с холодным расчетом. Мы понимаем, что рынок, особенно сейчас, турбулентен, и пересматриваем свои приоритеты в зависимости от новых вводных данных. А еще мы держим в уме, что можем обеспечить защиту базовой платформы и тем самым убить сразу несколько зайцев. Именно так мы поступили с поддержкой oVirt. Это дало нам возможность с небольшими доработками реализовать поддержку сразу нескольких платформ виртуализации от разных вендоров: zVirt, ROSA Virtualization и РЕД Виртуализация. Теме защиты платформ виртуализации в Кибер Бэкапе мы планируем посвятить отдельный материал. Следите за нашими публикациями! |
Резервное копирование пространства имен Kubernetes
Kubernetes – одна из самых популярных платформ для быстрого развертывания приложений и сервисов и управления ими, а новый Кибер Бэкап обеспечивает надежную защиту пространства имен и конфигурационных файлов этой платформы. При использовании агента для Kubernetes создается резервная копия настроек пространства в хранилище Кибер Бэкапа и снапшот диска, который сохраняется на СХД кластера Kubernetes у заказчика. При необходимости можно вернуть пространство на момент создания резервной копии. Это обеспечивает дополнительный уровень защиты от ошибок пользователя и различных сбоев. Поддерживается Kubernetes версии 1.24 и выше.
Работы по защите Kubernetes будут продолжены в следующих версиях Кибер Бэкапа. Мы планируем реализовать поддержку резервного копирования постоянных томов (persistent storage).
Расширение поддержки VK WorkMail
В новой версии СРК мы сделали ряд доработок поддержки почтового сервиса VK WorkMail, в результате которых появилась возможность гранулярного восстановления и улучшилась поддержка ленточных устройств.
При восстановлении из резервной копии стали доступны следующие варианты:
восстановление отдельных писем из архива на всех поддерживаемых локациях;
восстановления папок из архива на всех поддерживаемых локациях;
восстановление в оригинальную и новую локацию.
В части поддержки ленточных устройств теперь можно:
выполнять резервное копирование почтовых ящиков напрямую на ленты;
создавать полные и инкрементные резервные копии;
восстанавливать данные напрямую с лент.
Также мы добавили оповещения об истечении срока токена. Администратор может получить два уведомления: о том, что срок действия токена истечет через месяц, и о том, что срок действия токена уже истек. В случае истечения срока токена процессы резервного копирования почтовых ящиков VK WorkMail будут остановлены.
Поддержка тегов виртуальных машин на платформе VMware
Теги позволяют добавлять к виртуальным машинам метаданные, определяя категории, ОС, критичность приложений, принадлежность к департаментам и другое. Управление виртуальными машинами с помощью тегов в VMware теперь стало еще проще благодаря новой функциональности в Кибер Бэкапе 17.0: поддержка резервного копирования и восстановления тегов упрощает процесс восстановления и освобождает администраторов от рутинной настройки метаданных ВМ.
В будущих обновлениях планируется добавить поддержку динамических групп объектов защиты на основе тегов, что значительно упростит процесс обновления планов защиты при изменениях в ВМ.
Прозрачность и наглядность
Веб-консоль Кибер Бэкапа позволяет отслеживать состояние защищаемой инфраструктуры, всех системных процессов и метрик в реальном времени. Данные доступны для внешних систем мониторинга через публичный API, а выделенная роль оператора мониторинга (появилась в версии 16.5) служит для наблюдения за работой системы и формирования отчетов.
В Кибер Бэкапе 17.0 мы реализовали фильтруемый журнал событий, а также улучшили подсистему мониторинга. Добавлена возможность выгрузить события журнала глубиной до 180 дней (в версии 16.5 было 90 дней) – теперь администратор может смотреть и анализировать события за более продолжительный срок. Также упрощен сбор и анализ информации о задачах резервного копирования: добавлены новые колонки в список планов защиты: «Последний запуск», «Следующий запуск» и «Прошло с запуска».
Информация о времени запуска поможет администратору эффективнее контролировать состояние планов и при необходимости производить расследование инцидентов.
Безопасность
Ежедневно мы сталкиваемся с новыми вызовами в области кибербезопасности, которые могут иметь серьезные последствия для репутации нашей компании. Утрата или утечка ценных данных, повреждение резервных копий и финансовые потери – всё это реальные угрозы. Кроме того, в последние годы мы заметили увеличение запросов от наших партнеров и клиентов на обеспечение более высокого уровня безопасности, включая сертификацию ФСТЭК России. Мы понимаем важность этих запросов и прилагаем все усилия для обеспечения безопасности наших систем и данных. Релиз 17-й версии стал толчком для развития нашего направления по информационной безопасности, также мы интегрировали принципы безопасной разработки. Это не просто процесс, а философия, которая способствует созданию надежных и защищенных программных продуктов. Безопасная разработка стала неотъемлемым элементом доверия со стороны наших клиентов и партнеров, а также является обязательным требованием для успешного прохождения сертификации ФСТЭК.
Таким образом, Кибер Бэкап может использоваться в значимых объектах критической информационной инфраструктуры (КИИ) 1 категории, в государственных информационных системах (ГИС) 1 класса защищенности, в автоматизированных системах управления производственными и технологическими процессами (АСУ ТП) 1 класса защищенности, в информационных системах персональных данных (ИСПДн) при необходимости обеспечения 1 уровня защищенности персональных данных и в информационных системах общего пользования II класса.
Примечание: Версия 17.0 в процессе сертификации ФСТЭК.
Реализация практик безопасной разработки позволила нам обнаружить и устранить несколько критических уязвимостей в библиотеках, которые мы используем в продукте:
Номер в Базе данных уязвимостей | Описание |
|---|---|
BDU:2021-00232 | Уязвимость компилятора библиотеки сериализации данных protobuf, позволяющая нарушителю выполнить произвольный код |
BDU:2023-02381 | Уязвимость фреймворка Flask, связанная с возможностью отправки файла cookie-сеанса одного клиента другим пользователям, позволяющая нарушителю получить доступ к защищаемой информации |
BDU:2024-01921 | Уязвимость набора инструментов для работы с PostgreSQL pgx, связанная с непринятием мер по защите структуры SQL-запроса, позволяющая нарушителю выполнять произвольные SQL-запросы |
BDU:2024-01928 | Уязвимость пакета реализации набора стандартов JWE, JWS, JWT go-jose для языка программирования Go, связанная с некорректной обработкой сильно сжатых входных данных, позволяющая нарушителю вызвать отказ в обслуживании
|
Единообразие
Под единообразием мы понимаем то, что продукт одинаково работает со всеми объектами защиты, предоставляя единый интерфейс для выполнения всех задач, связанных с резервным копированием и восстановлением. В Кибер Бэкапе 17.0 в этом направлении появилось два улучшения.
Первое относится к платформам виртуализации. Теперь платформы виртуализации HOSTVM и SpaceVM вынесены в отдельные пункты в списке защищаемых устройств. Это позволяет обеспечить более наглядное представление платформ виртуализации в списках объектов защиты.
Второе – более глобальное. Теперь агенты для CommuniGate Pro, PostgreSQL, VK WorkMail, Базис DynamiX и Kubernetes могут использовать хранилища Кибер Инфраструктуры в качестве места хранения резервных копий данных. Таким образом, начиная с версии Кибер Бэкап 17.0 всем агентам СРК доступны географически распределенные хранилища с высокой масштабируемостью.
О новой версии Кибер Инфраструктуры рассказывали здесь.
Рост вместе с инфраструктурой
Каждый новый релиз улучшает поддержку крупных ИТ-инфраструктур в нашей СРК. Не стал исключением и Кибер Бэкап 17.0. Мы добавили поддержку производительной СУБД PostgreSQL для сервера управления и обеспечили поддержку управления пользователями LDAP/AD на Linux.
Поддержка PostgreSQL для сервера управления
Для хранения всех конфигураций, метаданных и сведений о резервных копиях сервер управления использует СУБД. В предыдущих версиях Кибер Бэкапа для хранения служебных данных серверу управления были доступны встроенная СУБД SQLite или внешняя – Microsoft SQL Server.
В новой версии продукта появилась возможность использовать СУБД PostgreSQL для хранения служебной информации сервера управления, что повышает производительность сервера управления и позволяет управлять резервным копированием большего числа устройств в единой инсталляции системы. PostgreSQL можно установить либо на машину, предназначенную для сервера управления, либо на отдельную машину. Для установки можно использовать PostgreSQL или Postgres Pro версии 14, 15 или 16.
В настоящее время можно выбрать PostgreSQL в качестве СУБД для сервера управления при инсталляции на Linux. Эта возможность поддерживается только для новых развертываний СРК. Миграция текущих инсталляций с SQLite на PostgreSQL планируется в будущих релизах. Также в будущих релизах планируется поддержка кластерных конфигураций PostgreSQL.
Поддержка управления пользователями LDAP/AD на Linux
В Кибер Бэкапе 17.0 реализована возможность использования учетных записей и групп из Microsoft Active Directory для доступа на сервер управления, развернутый на ОС Linux, в том числе Astra Linux, Альт, РЕД ОС и РОСА.
В следующих релизах мы планируем поддержать интеграцию сервера управления под управлением ОС Linux с Astra Linux Directory (ALD Pro) для выбора доменной учетной записи и управления ей через веб-консоль Кибер Бэкапа.
Кибер Бэкап. Что дальше?
Наша дорожная карта – это уверенный путь к созданию целостного продукта, наполненного инновациями и функциональностью. Она отражает наше стремление совершенствовать продукт в наиболее значимых для отрасли и наших заказчиков направлениях: производительность, надежность и безопасность. Итак, что же будет дальше:
Реализуем поддержку платформы OpenNebula – востребованной платформы облачных вычислений для управления разнородными инфраструктурами распределенных центров обработки данных.
Не забываем о новинках в корпоративном сегменте: поддержим VK WorkDisk – платформу с удобным интерфейсом, гибкими опциями администрирования и функционалом совместного редактирования текстовых документов, таблиц и презентаций.
В рамках повышения уровня безопасности добавляем журнал аудита, что позволит отслеживать все операции с объектами резервного копирования, пользователями, запусками планов и изменением конфигураций. Также планируем реализовать интеграцию с системами управления информационной безопасностью: совместимость с SIEM-системами повышает уровень защиты данных и обеспечивает мониторинг безопасности.
А еще мы хотим добавить хранилище паролей, что позволит эффективно управлять всей конфигурацией резервного копирования без необходимости менять планы защиты, если нужно изменить пароль.
Кроме того, мы повышаем отказоустойчивость сервера управления и будем поддерживать кластер Patroni для установок с PostgreSQL.
Особое внимание уделяем повышению производительности и сейчас смотрим в направлении поддержки технологии Changed Block Tracking (CBT) для oVirt-подобных систем: использование этой технологии позволит ускорить процесс создания резервных копий.
Последнее, но не менее важное: улучшение алгоритмов работы с ленточными устройствами, что обеспечит более надежное и эффективное создание резервных копий.
Смотрите и слушайте
6 июня мы проводим онлайн-мероприятие, посвященное выходу Кибер Бэкапа 17.0. Специалисты Киберпротекта подробно расскажут о новинках в продукте, напомнят о его ключевых возможностях и ответят на вопросы присутствующих. Зарегистрироваться можно на странице мероприятия.
