В много ИТ отдели един и същ сценарий се разиграва всеки път: преди да внедри чувствителна промяна в производството, някой създава моментална снимка на виртуалната машина „за всеки случай“ и остава напълно спокоен. Фалшивото чувство за сигурност, което тези снимки дават Това кара те да се натрупват с месеци… Докато един ден хранилището за данни се напълни, производителността спадне или хранилището се повреди.
Въпросът, който виси над много отбори, е ясен: Добра практика ли е да се пазят снимките за неопределено време, „защото не ви притесняват“? Или трябва да ги изтрием веднага щом вече не са необходими? За да отговорим задълбочено на този въпрос, трябва да разберем напълно какво е моментна снимка, как работи „под капака“, реалното ѝ въздействие върху производителността, съхранението, сигурността (включително ransomware) и защо никога, никога не бива да се бърка с резервно копие.
Какво е моментна снимка и какво НЕ е моментна снимка
Моментна снимка (или незабавно копие, контролна точка и т.н.) е по същество, моментна снимка на състоянието на виртуална машина в определен моментТой записва съдържанието на вашите виртуални дискове, тяхната конфигурация и, ако желаете, дори състоянието на вашата памет и процесор.
От гледна точка на хипервизора (VMware, Hyper-V, KVM, Proxmox и др.), създаването на моментна снимка замразява базовия диск в режим само за четене и Създава се нов диференциален (делта) диск, към който се пренасочват всички последващи записи.Моментната снимка не дублира целия диск. Тя само маркира точка, от която промените са отделени.
Ето защо създаването и възстановяването на моментна снимка обикновено са почти мигновени. Не се копират гигабайти данни, а указателите и метаданните се преместват.Тази скорост кара много хора да мислят, че „това е същото като резервно копие, но по-удобно“, когато в действителност това са коренно различни понятия.
Архивирането, независимо дали е на ниво файл или на ниво виртуален образ, включва генериране на пълно или инкрементално копие на данните на друг физически носител (отделен масив за съхранение, хранилище за резервни копия, лента, облак и др.). В Linux среди е често срещано Автоматизирайте архивирането с rsyncОт друга страна, моментната снимка все още зависи от същото хранилище като оригиналната машина; ако това хранилище се повреди, моментната снимка се поврежда заедно с него.
Анатомия на моментна снимка: блокове, вериги и потребление на пространство
За да видим основния проблем, нека си представим виртуална машина с един виртуален диск, съставен от няколко блока данни A, B, C, D, E. Докато не се направят моментни снимки, всички промени се записват директно на този базов диск.: ако A се модифицира и се добави F, „истинският“ диск тогава съдържа A', B, C, D, E, F.
Когато се създаде първата снимка, оригиналният диск е настроен само за четене и хипервизорът генерира диференциален диск. От този момент нататък всички записи (например промени в A' и B или появата на G) се запазват на този нов диск.Но основният диск запазва предишното си съдържание непокътнато.
Логично погледнато, виртуалната машина изглежда има само един диск, но физически вече имате два: базовият диск със „старите“ данни и делта дискът с промените„Действителният“ размер на това, което виртуалната машина трябва да заема, може да бъде например 7 блока, но поради частично дублиране в крайна сметка се оказва, че се използват 9 блока в хранилището за данни.
Ако повторите операцията и създадете втора снимка върху първата, предишната делта също става само за четене и се създава трети диференциален диск. Последователните промени (A'', D, E, H и т.н.) постепенно увеличават тази верига от дискове докато в много случаи обемът, зает от снимките, далеч не надвиши оригиналния размер на виртуалната машина.
В реални случаи не е необичайно да се открият виртуални машини с 2 TB базови дискове, които поради една или повече забравени снимки в продължение на години, Те могат да заемат 4 или 5 TB в хранилището за данни...със съответното въздействие върху разходите и производителността. И най-лошото: всичко това е подкрепено от много крехка верига от зависимости.
Влияние на веригите от моментни снимки върху производителността и надеждността
Когато виртуална машина трябва да прочете блок данни, хипервизорът не знае предварително кой диск във веригата съдържа текущата версия на този блок. Първо проверете последния диференциален диск. Ако не е намерен, слезте до предишния и така нататък, докато стигнете до базовия диск.Всяка допълнителна връзка означава повече скокове при четене.
В лаборатория с нисък входно-изходен трафик може да не забележите нищо, но на сървър с хиляди или милиони блокове и няколко стари снимки, Всяка операция за четене и запис става по-скъпаЛатентността се увеличава, приложенията стават бавни и потребителите започват да се оплакват от бавност „без видима причина“.
Другият основен риск е структурният. Всяка снимка е диск, зависим от предишната. Ако един от дисковете във веригата се повреди, цялата виртуална машина може да стане неизползваема. защото хипервизорът вече не е в състояние да реконструира пълната последователност от състояния.
Освен това, колкото по-дълго е позволено да расте една моментна снимка (особено на много активни машини, като например бази данни), Процесът на консолидация ще бъде по-тромав и бавен.Чрез премахване на веригата, системата трябва да обедини промените на всяка делта с нейния родител, една по една, което задейства операции за четене/запис и увеличава риска от проблеми, ако нещо бъде прекъснато по средата.
Поради всички тези причини, единодушната препоръка на производителите и експертите е ясна: Снимките са временни инструменти, а не постоянни системи за съхранение.Те са предназначени да ви покриват по време на промяна, а не да живеят с тях години наред в производство.
Видове снимки и техните специфични характеристики в зависимост от платформата
В зависимост от платформата за виртуализация и нивото, на което работите, Не всички снимки са еднакви или се държат по един и същи начин.Важно е да се разграничат, защото имат различни последици за съгласуваността на данните и случаите на употреба.
Във VMware, например, можете да създавате моментни снимки на паметта със запазване на състоянието или „латентни“ моментни снимки. Моментната снимка на паметта улавя точно какво има в RAM паметта и процесора в този момент.Много полезно за връщане назад след системна актуализация или сложна инсталация.
От друга страна, заглушената снимка се използва широко за поддръжка на резервни копия. VMware Tools е необходим на виртуалната машина, за да замрази файловата система на госта. и да се уверите, че дискът със моментни снимки отразява последователно състояние (избягвайки непълни транзакции, отворени файлове и др.).
В Hyper-V концепцията е същата, въпреки че Microsoft популяризира термина „контролна точка“. Технически, това е моментна снимка, която поставя оригиналния VHD/VHDX диск в режим само за четене. и създава един или повече верижно свързани дискове за диференциация.
В света на съхранението на данни, освен хипервизора, съществуват и моментни снимки на ниво масив или файлова система (ZFS, NAS системи, SAN и др.). Тези моментни снимки работят върху блокове за съхранение, а не върху конкретни виртуални машини.и обикновено се реализират с помощта на два основни подхода: Copy-On-Write (COW) и Redirect-On-Write (ROW).
В COW, когато даден блок ще бъде модифициран, „Старият“ блок първо се копира в запазената област за моментни снимки, а след това оригиналът се презаписва.Това прави четенето на стари данни бързо, но наказва записите (всяка промяна включва четене-копиране-запис).
В ROW, широко използван в съвременни системи като ZFS и All-Flash шкафове, Новите данни се записват директно на друго физическо място Указателите се актуализират, докато моментната снимка (snapshot) запазва препратки към старите блокове. Създаването на моментни снимки (snapshot) и записването в тях едва влияе на производителността, за сметка на това се увеличава фрагментацията, което може да е проблематично при традиционните твърди дискове.
Снимки срещу резервни копия: защо не са взаимозаменяеми
Една от най-разпространените грешки в информационните технологии е допускането, че тъй като можете да се върнете към предишна точка за няколко секунди, моментната снимка вече изпълнява ролята на резервно копиеТова е опасен концептуален капан.
Моментната снимка, както на ниво хипервизор, така и на ниво съхранение, Винаги зависи от системата, където се намират оригиналните данни.Ако масивът за съхранение се повреди, хранилището за данни се повреди, хостът се загуби или някой унищожи тома, вашите моментни снимки изчезват заедно с него. Няма „резервно копие“.
Истинското архивиране включва следните принципи, като правилото 3-2-1: да имате поне 3 копия на данните, на 2 различни носителя, като едното от тях да е извън обектаТова обикновено се изразява в специално хранилище за резервни копия, друг сайт, лента, облак или комбинация от тях, често със слоеве на непроменимост.
Освен това, моментните снимки не са предназначени за гранулирани възстановяванияТе ви позволяват да върнете цялата виртуална машина или том в предишно състояние, но не е лесно да възстановите отделен файл, конкретна база данни или пощенска кутия, без да засегнат останалата част от системата.
Решения за архивиране за виртуални среди (Veeam, Vinchin Backup & Recovery и др.) Те се интегрират с хипервизора, за да организират временни снимки.Извлечете последователно копие от тях в отделно хранилище и след това изтрийте тези моментни снимки. Моментната снимка е само временен инструмент в процеса на архивиране; истинската предпазна мрежа е външният архив.
И ако това не беше достатъчно, Моментната снимка не ви предпазва от сериозни физически или логически бедствия.Пожари, наводнения, кражба на хардуер, масивна повреда на диска, широко разпространено повреждане на тома... във всички тези случаи ви е необходимо копие, което се намира другаде и което можете да монтирате в чиста среда.
Най-добри практики за използване на моментни снимки без повреждане на машините
След като стане ясно какво представляват и какво не, следващият въпрос е как да ги управлявате, без да компрометирате инфраструктурата си. Тук е мястото, където се намесва дисциплината на използване и почистване. което много отбори пренебрегват от чисто удобство.
Първото правило, просто, но критично, е времето: Не бива да съхранявате моментна снимка на производствения процес за повече от 24-72 часа.VMware, например, изрично съветва да не се оставя активна една единствена снимка след този период от време, тъй като размерът ѝ ще продължи да расте и хранилището на данни ще пострада.
Количеството също има значение. Въпреки че технически можете да свържете до 32 snapshot-а на виртуална машина, В реални условия се препоръчва да не се превишават 2 или 3. най-много да се минимизира латентността и сложността на консолидацията. Всеки допълнителен диск е още един слой за четене и сливане.
Що се отнася до времето за създаване, препоръчително е да се правят моментни снимки, когато виртуалната машина да не е под голямо входно/изходно натоварванеАко системата се окаже по средата на I/O буря (вътрешно архивиране, преиндексиране, масивни натоварвания), създаването на моментни снимки може да се провали или да генерира непоследователни състояния.
На процедурно ниво е от съществено значение екипът да приеме ясни политики: Създайте моментна снимка, преди да правите критични промени, проверете дали всичко работи и я изтрийте веднага щом се потвърди стабилността.Няма „ще го оставя за всеки случай“ с месеци. Документирането кой го е създал и защо помага много, за да се гарантира, че няма да бъде забравен.
И, много важно, Не смесвайте моментни снимки с политики за съответствие и резервни копияВ ISO 27001, ENS, PCI-DSS или подобни одити, моментните снимки (snapshots) не се броят за резервни копия или валидни исторически записи. Те са оперативен механизъм, а не контрол за непрекъснатост на бизнеса.
Снимки и рансъмуер: „машината на времето“... с нюанси
През последните години рансъмуерът се превърна от неудобство в... една от най-сериозните заплахи за всяка организацияТой не просто криптира файлове: съзнателно се стреми да атакува данните, включително резервните копия, и да изтрие всяка следа, която би позволила лесното им възстановяване.
В този сценарий, моментните снимки на ниво хранилище често се продават като „машина на времето“ за незабавно отмяна на криптирането. Способността му да възстановява обем за секунди до точката преди инфекцията наистина е огромно предимство. в сравнение с много бавни пълни реставрации.
Но е важно да се прави разлика между моментни снимки на операционната система (като VSS в Windows) и моментни снимки на масиви за съхранение. Повечето съвременни рансъмуер програми изпълняват команди за премахване на VSS веднага щом той влезе.И прави това именно за да предотврати използването от потребителя на локалните точки за възстановяване на системата.
Снимките в слоя за съхранение играят ключова роля тук: Те се управляват извън операционната система и не са достъпни чрез обичайните идентификационни данни за Windows или Linux.Дори ако атакуващият получи администраторски права на сървъра, той не може директно да изтрие тези снимки от масива за съхранение с проста команда.
Когато се открие инцидент, типичната процедура е да се избере моментна снимка преди началото на криптирането и да се монтира или върне томът назад до тази точка. Няма значение дали наборът от данни е 1 TB или 100 TBТъй като указателите се пренасочват само към по-стари блокове, RTO (времето за възстановяване) е много малко в сравнение с пълно възстановяване.
Всъщност много съвременни решения използват моментни снимки не само пасивно, но и като проактивен защитен механизъмТе анализират в реално време ентропията на записаните блокове (криптиран файл много прилича на произволни данни) и при аномални пикове на ентропията и масивни записи автоматично задействат непроменими снимки или прекъсват подозрителни връзки за запис (SMB/NFS).
Непроменяеми моментни снимки, WORM и сигурно управление на привилегиите
Рансъмуерът от следващо поколение не само криптира данни. Той също така се опитва ескалирайте привилегиите към конзолата за администриране на кабината да унищожавате снимки и копия. За да издържите на този тип атака, ви е необходимо нещо повече от „нормални“ снимки.
Тук влизат в действие непроменяемите моментни снимки или технологиите WORM (Write Once, Read Many - пише веднъж, чете многократно). След като дадена моментна снимка е била заключена за определен период (например 7 дни)Никой — дори администратор с максимални разрешения — не може да го променя или изтрива, докато този период не изтече.
Тези механизми превръщат моментните снимки (snapshots) в един вид сейф с ограничено време: дори ако нападателят открадне идентификационни данни на високо нивоОткрива копия, до които няма достъп. Това гарантира поне някои чисти точки за възстановяване.
Наред с неизменността, добрите управленски практики изискват добавяне на слоеве като многофакторно удостоверяване (MFA) и принципа на двуфакторно удостоверяване. За достъп до конзолата за администриране или изтриване на моментни снимки е необходима поне една допълнителна проверка. (ЕДНОКРАТНА ПОДЛОГА на мобилен телефон, токен и др.).
За особено разрушителни операции – изтриване на критични моментни снимки, форматиране на томове, изпразване на хранилища – идеалният подход е да се приложи така нареченият „принцип на четирите очи“: изискват два различни администраторски акаунта за потвърждаване на действиетоТова намалява както риска от вътрешно насилие, така и въздействието на компрометирани пълномощия.
Въпреки всичко това, си струва да се подчертае един важен момент: Снимките, колкото и усъвършенствани или непроменяеми да са, не заместват цялостната стратегия за архивиране.Те все още зависят от изправността на шкафа или системата, в която се намират, и не ви защитават, ако хардуерът е унищожен или стане недостъпен.
Освен това, в ерата на „двоен рансъмуер“, където нападателят първо открадва чувствителни данни и след това ги криптира, Снимките решават само частта с наличносттаМожете да възстановите файловете, но течът вече е настъпил. Тогава влизат в действие други контроли, като например DLP, криптиране на данни по време на пренос и в състояние на покой, както и строги политики за управление на данните.
Кога да използвате моментни снимки и кога да използвате резервни копия
На практика, моментните снимки и резервните копия не се конкурират, а се допълват взаимно. Ключът е да използвате всеки инструмент за това, за което е предназначен. и да не разменят ролите от удобство или невежество.
Снимките са идеално подходящи за ситуации като: подготовка на актуализация на операционната система, Инсталиране на нова версия на критично приложение или промяна на чувствителни мрежови настройкиТе ви позволяват да тествате, валидирате и, ако нещо се обърка, да се върнете към предишното състояние за секунди.
Но с дисциплина: Моментната снимка се създава непосредствено преди промяната, проверява се дали всичко работи правилно и се изтрива веднага щом се прецени, че е в добро състояние.Не го оставяйте за неопределено време „за всеки случай“.
Резервните копия влизат в действие, когато говорим за реална непрекъснатост на бизнеса:
- Възстановяване на виртуални машини след загуба на хост, клъстер или цял център за данни.
- Възстановяване на конкретни файлове, които потребителят е изтрил случайно.
- Връщане към версия на базата данни отпреди седмици.
- Демонстрирайте запазване на данни по законови или регулаторни причини.
Съвременното решение за архивиране на виртуални среди предлага и допълнителни предимства: инкрементални копия, проверка на целостта, компресия, дедупликация и архивиране без локална мрежаНезабавно възстановяване чрез директно монтиране на резервните копия, миграция между платформи за виртуализация и др.
В много случаи идеалната процедура комбинира и двете. Софтуерът за архивиране използва моментни снимки на хипервизор или масив за съхранение, за да... генериране на последователни копия без спиране на прозорцитеТези моментни снимки обаче са ефимерни и се изтриват след завършване на прехвърлянето към външното хранилище.
Какъвто и да е инструментът, има една максима, която не бива да се забравя: Няма архивиране, докато възстановяването не бъде тестваноПравенето на резервни копия без тестване на периодични възстановявания е като да играете руска рулетка с данните си, а денят, в който се случи сериозен инцидент, е моментът, в който откриете, че политиката за архивиране е била безполезна.
