Categories
Database Backup

** Learn how to protect enterprise database archives from ransomware using immutable storage. Discover technical implementation steps for AWS S3 Object Lock, ZFS, PostgreSQL, and SQL Server.

Zamonaviy tahdidlar landshaftida toʻlovchi dasturlar (ransomware) opportunistik shifrlashdan yuqori darajada maqsadli, koʻp bosqichli tovlamachilik kampaniyalariga aylandi. Murakkab doimiy tahdidlar (APT) va toʻlovchi dasturlar sindikatlari endilikda oʻzlarining tizimda boʻlish vaqtlari davomida zaxira infratuzilmasi va maʼlumotlar bazasi arxivlarini faol ravishda qidirishadi. Agar hujumchi sizning asosiy maʼlumotlar bazangizni buzib kirsa va bir vaqtning oʻzida zaxira nusxalaringizni oʻchirib tashlasa yoki shifrlasa, tashkilotingiz halokatli maʼlumotlar yoʻqotilishiga duch keladi.

Maʼlumotlar bazasi maʼmurlari (DBA) va DevOps muhandislari uchun anʼanaviy 3-2-1 zaxira strategiyasi endi yetarli emas. Maʼlumotlarning saqlanib qolishini kafolatlash uchun infratuzilma jamoalari 3-2-1-1 qoidasini qabul qilishlari kerak, bunda oxirgi «1» raqami oʻzgarmas xotirani (immutable storage) anglatadi.

Ushbu maqola toʻlovchi dasturlarga qarshi mutlaq chidamlilikni taʼminlash uchun maʼlumotlar bazasi arxivlari uchun oʻzgarmas xotirani loyihalash, joriy etish va boshqarish boʻyicha keng qamrovli, texnik tahlilni taqdim etadi.

Oʻzgarmas xotira mexanizmlari

Oʻzgarmas xotira «Bir marta yozish, koʻp marta oʻqish» (WORM) arxitekturasiga tayanadi. Maʼlumotlar oʻzgarmas maqsadli joyga yozilgandan soʻng, u hech qanday foydalanuvchi, jumladan, root huquqlariga ega maʼmurlar yoki buzilgan xizmat hisoblari tomonidan ham matematik tarzda belgilangan vaqt qulfi muddati tugamaguncha oʻzgartirilishi, shifrlanishi yoki oʻchirilishi mumkin emas.

Muvofiqlik rejimi va Boshqaruv rejimi

Oʻzgarmaslikni joriy etishda, ayniqsa AWS S3, Azure Blob yoki S3-mos keluvchi mahalliy SAN kabi bulutli obyekt xotirasida, saqlash rejimlari oʻrtasidagi farqni tushunishingiz kerak:

  • Boshqaruv rejimi (Governance Mode): Oddiy foydalanuvchilarni obyektlarni oʻchirish yoki oʻzgartirishdan himoya qiladi. Biroq, maxsus IAM ruxsatlariga ega foydalanuvchilar (masalan, s3:BypassGovernanceRetention) qulfni chetlab oʻtishlari mumkin. Bu sinov uchun foydali, ammo toʻlovchi dasturlardan himoya qilish uchun yetarli emas, chunki hujumchilar koʻpincha domen maʼmuri yoki root huquqlarigacha koʻtarilishadi.
  • Muvofiqlik rejimi (Compliance Mode): Toʻlovchi dasturlarga qarshi mudofaa uchun oltin standart. Obyekt Muvofiqlik rejimida qulflangandan soʻng, uning saqlash muddati qisqartirilishi mumkin emas va obyektni hech kim, jumladan AWS root hisobi ham oʻchira olmaydi. Qulf xotira klasteri darajasida amalga oshiriladi.

Oʻzgarmas zaxira quvurini loyihalash

Mustahkam maʼlumotlar bazasini arxivlash arxitekturasi faol maʼlumotlar bazasi operatsiyalarini oʻzgarmas arxiv darajasidan ajratadi. Siz oʻzgarmaslikni faol maʼlumotlar bazasi fayllariga (SQL Serverdagi .mdf/.ldf yoki PostgreSQL-dagi pg_data katalogi kabi) qoʻllay olmaysiz, chunki maʼlumotlar bazalari doimiy oʻqish/yozish kirishini talab qiladi.

Buning oʻrniga, oʻzgarmaslik quyidagilarga qoʻllanadi:
1. Toʻliq va differensial zaxira fayllari: Maʼlumotlar bazasining asosiy nusxalari.
2. Tranzaksiya jurnallari / WAL fayllari: Vaqt boʻyicha tiklash (PITR) uchun zarur boʻlgan maʼlumotlar bazasi oʻzgarishlarining uzluksiz oqimi.

Oʻzgarmaslik uchun xotira maqsadlari

Siz oʻzgarmas xotirani turli infratuzilma darajalarida amalga oshirishingiz mumkin:
* Bulutli obyekt xotirasi: AWS S3 Object Lock, Azure Blob Immutable Storage, Google Cloud Storage Retention Policies.
* Mahalliy obyekt xotirasi: S3 Object Lock API-larini qoʻllab-quvvatlaydigan MinIO, Cloudian yoki Pure Storage FlashBlade.
* Blok/Fayl xotirasi: Faqat oʻqish uchun moʻljallangan snapshotlar va delegatsiyalangan boshqaruvga ega ZFS yoki Linux fayl atributlari.

Oʻzgarmas xotirani joriy etish: Texnik qoʻllanmalar

1. Bulutli obyekt xotirasi: AWS S3 Object Lock

AWS-da maʼlumotlar bazasi nusxalari va tranzaksiya jurnallarini himoya qilish uchun chelak (bucket) yaratish vaqtida Object Lock-ni yoqishingiz kerak.

Birinchidan, Object Lock yoqilgan holda chelakni yarating:

aws s3api create-bucket 
    --bucket prod-db-archive-immutable 
    --region us-east-1 
    --object-lock-enabled-for-bucket

Keyin, standart saqlash siyosatini sozlang. Maʼlumotlar bazasi arxivlari uchun 30 kunlik muvofiqlik qulfi standart asos boʻlib, sizda bir oylik oʻzgarmas zaxira nusxalari boʻlishini taʼminlaydi.

aws s3api put-object-lock-configuration 
    --bucket prod-db-archive-immutable 
    --object-lock-configuration '{
        "ObjectLockEnabled": "Enabled",
        "Rule": {
            "DefaultRetention": {
                "Mode": "COMPLIANCE",
                "Days": 30
            }
        }
    }'

Maʼlumotlar bazasini zaxiralash skriptingiz yoki agentingiz ushbu chelakka fayl yuborganda, S3 avtomatik ravishda obyekt yaratilgan vaqtga 30 kun qoʻshib, Retain Until Date (Saqlash muddati) ni hisoblab chiqadi.

2. Mahalliy oʻzgarmaslik: ZFS va Linux atributlari

Agar siz maʼlumotlar bazalarini mahalliy Linux zaxira serveriga arxivlayotgan boʻlsangiz, chattr buyrugʻi yordamida psevdo-oʻzgarmaslikka yoki ZFS snapshotlari yordamida haqiqiy oʻzgarmaslikka erishishingiz mumkin.

Linux chattr dan foydalanish:
+i (oʻzgarmas) bayrogʻi faylni oʻzgartirish, oʻchirish yoki nomini oʻzgartirishni oldini oladi.

# Maʼlumotlar bazasini dump qilish
pg_dump -U postgres -Fc mydb > /backups/mydb_$(date +%F).dump

# Zaxira nusxasini oʻzgarmas qilish
sudo chattr +i /backups/mydb_$(date +%F).dump

# Atributni tekshirish
lsattr /backups/mydb_$(date +%F).dump
# Natija: ----i---------e------- /backups/mydb_2023-10-27.dump

Eslatma: chattr oddiy toʻlovchi dastur skriptlarini toʻxtatsa-da, root huquqiga ega murakkab hujumchi shunchaki chattr -i buyrugʻini ishga tushirishi mumkin. Shuning uchun, bu qatʼiy RBAC va izolyatsiya qilingan zaxira tarmoqlari bilan birlashtirilishi kerak.

ZFS snapshotlaridan foydalanish:
ZFS ancha kuchliroq himoyani taʼminlaydi. Snapshot olib, unga «hold» (ushlab turish) qoʻyish orqali siz snapshotning oʻchirilishini oldini olasiz.

# Zaxira maʼlumotlar toʻplamining snapshotini olish
zfs snapshot tank/db_backups@archive_$(date +%F)

# Oʻchirishni oldini olish uchun snapshotga hold qoʻyish
zfs hold keep_30_days tank/db_backups@archive_$(date +%F)

# Hatto root ham holdni olib tashlamasdan bu snapshotni oʻchira olmaydi
zfs destroy tank/db_backups@archive_$(date +%F)
# Natija: cannot destroy 'tank/db_backups@archive_...': dataset is busy

Maʼlumotlar bazasiga xos arxivlash strategiyalari

Vaqt boʻyicha tiklashga (PITR) erishish uchun siz tranzaksiya jurnallarini oʻzgarmas xotirangizga doimiy ravishda arxivlashingiz kerak.

pgBackRest bilan PostgreSQL WAL arxivlash

pgBackRest – bu PostgreSQL uchun juda ishonchli zaxira vositasi boʻlib, u S3-mos keluvchi xotirani mahalliy darajada qoʻllab-quvvatlaydi. Write-Ahead Logs (WAL) fayllaringizni himoya qilish uchun pgBackRest ni toʻgʻridan-toʻgʻri oʻzgarmas S3 chelagingizga yuborish uchun sozlang.

pgbackrest.conf faylingizda:

[global]
repo1-type=s3
repo1-s3-bucket=prod-db-archive-immutable
repo1-s3-region=us-east-1
repo1-s3-endpoint=s3.amazonaws.com
repo1-s3-key=AKIAIOSFODNN7EXAMPLE
repo1-s3-key-secret=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY

# Saqlash muddati S3 Object Lock konfiguratsiyangizga mos kelishiga ishonch hosil qiling
repo1-retention-full=2
repo1-retention-archive=2

[prod_cluster]
pg1-path=/var/lib/postgresql/14/main

Muhim mulohaza: Agar S3 chelagingiz 30 kunlik Muvofiqlik qulfini talab qilsa, lekin pgBackRest repo1-retention-archive asosida 14 kundan keyin WAL fayllarini oʻchirishga urinsa, oʻchirish API chaqiruvlari muvaffaqiyatsiz boʻladi. Zaxira dasturingizning saqlash siyosati xotira darajasidagi oʻzgarmas qulfdan katta yoki unga teng boʻlishini taʼminlashingiz kerak.

Microsoft SQL Server: URL manziliga zaxiralash

SQL Server toʻgʻridan-toʻgʻri S3-mos keluvchi obyekt xotirasiga mahalliy zaxiralashni qoʻllab-quvvatlaydi. Siz SQL Server Agent ishini .bak va .trn fayllarini toʻgʻridan-toʻgʻri oʻzgarmas chelakka yozish uchun sozlashingiz mumkin.

CREATE CREDENTIAL [s3://prod-db-archive-immutable.s3.us-east-1.amazonaws.com]
WITH IDENTITY = 'S3 Access Key',
SECRET = 'AccessKeyID:SecretAccessKey';
GO

BACKUP DATABASE [ProductionDB]
TO URL = 's3://prod-db-archive-immutable.s3.us-east-1.amazonaws.com/ProductionDB_Full.bak'
WITH FORMAT, COMPRESSION, STATS = 10;
GO

CloudSave bilan avtomatlashtirish va orkestrlash

Oʻzgarmas saqlash bayroqlarini boshqarish, kirish kalitlarini aylantirish va maʼlumotlar bazasini saqlash siyosatlari hamda xotira qulflari oʻrtasidagi sinxronizatsiyani maxsus skriptlar orqali taʼminlash juda xatolarga moyil. Cron ishida yoki API chaqiruvidagi bitta notoʻgʻri konfiguratsiya arxivlaringizni ochiq qoldirishi yoki qarovsiz, qulflangan obyektlar tufayli bulutli xotira xarajatlarining keskin oshishiga olib kelishi mumkin.

CloudSave kabi korporativ zaxira platformalari ushbu arxitekturani soddalashtiradi. CloudSave AWS S3 Object Lock, Azure Blob Immutable Storage va mahalliy S3-mos keluvchi API-lar bilan mahalliy darajada integratsiyalashadi.

CloudSave-da maʼlumotlar bazasini zaxiralash rejasini sozlashda:
1. Platforma SQL Server uchun VSS (Volume Shadow Copy Service) yoki PostgreSQL uchun pg_start_backup() API-ni avtomatik ravishda boshqaradi.
2. U deduplikatsiya qilingan, shifrlangan zaxira maʼlumotlarini toʻgʻridan-toʻgʻri xotira maqsadiga uzatadi.
3. CloudSave WORM API chaqiruvlarini (masalan, PutObjectRetention) har bir obyekt uchun dinamik ravishda qoʻllaydi va xotira qulfi davomiyligini siyosatda belgilangan saqlash jadvali bilan mukammal darajada moslashtiradi.
4. Agar hujumchi CloudSave boshqaruv konsoliga buzib kirsa ham, ular zaxira nusxalarini oʻchira olmaydi, chunki muvofiqlik qulfi zaxira dasturi tomonidan emas, balki asosiy xotira infratuzilmasi tomonidan amalga oshiriladi.

Oʻzgarmas maʼlumotlar bazasi arxivlari uchun eng yaxshi amaliyotlar

Oʻzgarmas arxitekturangiz haqiqatan ham chidamli ekanligiga ishonch hosil qilish uchun quyidagi tizim muhandisligi boʻyicha eng yaxshi amaliyotlarga amal qiling:

1. Qatʼiy NTP sinxronizatsiyasi

Oʻzgarmas qulflar matematik jihatdan vaqt belgilariga bogʻlangan. Agar xotira massivingiz yoki zaxira serveringizdagi NTP (Network Time Protocol) xizmati buzilgan boʻlsa yoki vaqt siljishi yuz bersa, bu qulflarning muddatidan oldin tugashiga yoki umuman tugamasligiga olib kelishi mumkin. Xotira infratuzilmangiz autentifikatsiya qilingan, ortiqcha NTP manbalaridan foydalanishiga ishonch hosil qiling.

2. IAM rollari va hisob maʼlumotlarini izolyatsiya qilish

Oʻzgarmas chelakka yozish uchun ishlatiladigan hisob maʼlumotlari faqat s3:PutObject va s3:PutObjectRetention ruxsatlariga ega boʻlishi kerak. Ular hech qachon s3:DeleteObject yoki s3:PutBucketObjectLockConfiguration ruxsatlariga ega boʻlmasligi kerak.

Maʼlumotlar bazasini zaxiralash agenti uchun eng kam imtiyozli IAM siyosati namunasi:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:PutObject",
                "s3:GetBucketObjectLockConfiguration"
            ],
            "Resource": [
                "arn:aws:s3:::prod-db-archive-immutable",
                "arn:aws:s3:::prod-db-archive-immutable/*"
            ]
        }
    ]
}

3. Saqlash muddatini belgilash

Asosiy tezkor tiklash darajangizda muvofiqlik qulflarini haddan tashqari uzoq muddatlarga (masalan, muvofiqlik uchun 7 yil) oʻrnatmang. Maʼlumotlar bazalari juda katta hajmdagi WAL/tranzaksiya jurnali maʼlumotlarini yaratadi. Ushbu maʼlumotlarni yillar davomida qulflash xotira xarajatlarining eksponensial oʻsishiga olib keladi.
Buning oʻrniga, bosqichma-bosqich yondashuvdan foydalaning:
* Operatsion tiklash darajasi: Toʻliq va jurnallar uchun 14 dan 30 kungacha oʻzgarmas saqlash.
* Uzoq muddatli arxiv darajasi: 1-7 yil davomida Vault Lock bilan Glacier/Deep Archive-ga koʻchirilgan oylik toʻliq zaxira nusxalari.

4. Havo bilan ajratilgan (Air-Gapped) VPC-larda muntazam tiklash sinovlari

Oʻzgarmaslik maʼlumotlarning oʻchirilmasligini kafolatlaydi, lekin maʼlumotlarning mantiqiy buzilishlardan xoli ekanligini kafolatlamaydi. Siz oʻzgarmas maʼlumotlar bazasi arxivlaringizni izolyatsiya qilingan, havo bilan ajratilgan VPC yoki VLAN-ga tiklashni avtomatlashtirishingiz kerak. Strukturaviy yaxlitlikni tekshirish uchun tiklangan maʼlumotlarda DBCC CHECKDB (SQL Server) yoki pg_amcheck (PostgreSQL) ni ishga tushiring.

Xulosa

Toʻlovchi dasturlarga qarshi mudofaa – bu buzilish sodir boʻlgan deb taxmin qilish mashqidir. SIEM tizimingizda ogohlantirish ishga tushguncha, tahdid subyektlari allaqachon zaxira infratuzilmangizni buzishga uringan boʻlishi mumkin. Maʼlumotlar bazasi arxivlaringizni Muvofiqlik rejimida oʻzgarmas xotiradan foydalangan holda loyihalash orqali siz hujumchilarni ularning asosiy taʼsir kuchidan mahrum qilasiz. Bulutli API-lardan, ZFS hold-laridan yoki CloudSave kabi korporativ orkestrlash platformasidan foydalanasizmi, WORM xotirasini joriy etish endi ixtiyoriy emas — bu zamonaviy maʼlumotlar bazasini boshqarish va falokatdan tiklanishning majburiy ustunidir.

Bo’limlar