Chmura to nie backup, a Veeam robi na tym biznes. Nie są jedyni

Masowa migracja w chmurę, związana ze wzrostem dojarzałości usług i wiecznym polowaniem na oszczędności, zmieniła nieco podejście do kopii zapasowych. Wykorzystanie chmury do budowania infrastruktur oznacza, że o większość rzeczy musimy zadbać sami (żeby móc skorzystać z szybkiego wdrażania kontenerów, trzeba mieć przygotowany kontener, którego wdrożenie ma sens). Ale często wykorzystanie chmury polega na korzystaniu z gotowych usług. Zwłaszcza w tym roku, gdy np. taki Microsoft Teams urósł w oczach podczas pierwszych dni pandemii. W przypadku gotowych usług, kopie zapasowe robią się same... prawda?

Chmura potrafi rozleniwić. Google Suite umie wyszukiwać skrzynkę odbiorczą i historię czatów z taką łatwością, że cała praca zaczyna być "samo-dokumentująca się". Slack i Teams to w zasadzie wszystko, czego kiedykolwiek można żądać od platform czatowych, a płatne plany pozwalają włączyć na przykład nieograniczoną historię. Często wydaje się, że usunięcie czegoś z chmurowego konta jest prawie niemożliwe. Wszak operator wszystko trzyma u siebie.

Łatwo tu nabrać się na uproszczone postrzeganie kwestii tego, kto tak naprawdę zarządza naszymi danymi. Faktem jest, że usługodawca trzyma u siebie jakieś dane, ale pierwszy większy kryzys może unaocznić, że jest to warte mniej, niż mogłoby się wydawać. Nie ma bowiem znaczenia, że operator wszystko u siebie trzyma, jak wpuścimy wirusa, który to wszystko usunie. Weźmy za przykład Microsoft. Jasne, jest kosz i historia plików – ale czy to obejmuje wszystko? Da się wyciągnąć z kosza ustawienia kanałów? Jak się to ustawi, to pewnie można. Wszak Teamsy to niewiele ponad SharePoint + kolorowe lampki + smutek. Tylko, że wprowadzenie takich dobrości kosztuje.

Firma Veeam zidentyfikowała to niewidzialne zagrożenie, oferując kolejne wersje swoich narzędzi. W materiałach promocyjnych możemy odnaleźć silny przekaz o tym, że przekonanie o kopiach zapasowych w chmurze jest mylne. A w razie kryzysu, kopie zapasowe stworzone zewnętrznym narzędziem bardzo by się przydały. Nie jest to pogląd powszechny, ale być może wcale nie jest to efekt świadomych decyzji. Veeam to naturalnie niejedyna firma, która odkryła, że "przecież mieliśmy chmurę" to coraz częstsze zdanie wypowiadane po utracie danych. Dedykowane narzędzie do Office 365 oferuje na przykład Solarwinds (przykładów jest więcej i dla równowagi więcej mowy o nich jest na końcu). Rozwiązanie "SolarWinds Backup for Microsoft 365" pokrywa Exchange, SharePointa, OneDrive i oferuje zgodność np. z RODO i politykami retencji. Możliwe jest tworzenie wielu migawek przyrostowych dziennie oraz wygodny eksport.

Veeam zorganizowało jednak całą konferencję na temat backupów. Zapoznałem się z nową ofertą Veeam na (online'owej) konferencji VeeamOn, gdzie zademonstrowano nowe produkty. Przygotowano dla mnie materiały prasowe, na szczęście dało się odwiedzić także sesje warsztatowe, gdzie można było zobaczyć (jak zwykle nieco wydealizowany) pokaz tego, co potrafią produkty.

Zjawiłem się tam bez szczególnego przekonania. Konfrenecje pod patronatem jednej firmy bywają rozczarowujące. Zdarzają się chlubne wyjątki, jak Microsoft .NET Conf, gdzie poza jawną propagandą serwowano naprawdę wartościowe prelekcje. Ale często wychodzi, jak u VmWare, gdzie nie rozmawia się o tym, co jest możliwe, ale dlaczego dana czynność jest rzekomo możliwa tylko w produktach VmWare.

Interesowały mnie przede wszystkim trzy rzeczy: po co ktokolwiek potrzebowałby nadchodzącego "Veeam Backup dla Microsoft Office 365 v5", czy to wszystko jest w miarę programowalne i jaka jest oferta stanowiąca odpowiedź na nowe rodzaje ransomware'u. Obawiałem się, że utonę w ulotkach. Nie utonąłem. A było ich trochę: największe dotyczyły narzędzi zachowania wysokiej dostępności.

Pierwszą kwestią, która zrobiła na mnie wrażenie, to oprawa samej konferencji. Naprawdę aspirowano do zrobienia z niej miejsca do dyskusji na temat kopii zapasowych, przedstawiano case studies ratowania centrów danych, promowano heterogeniczne podejście do redundancji. Nieźle. Zawsze miło jest nie oberwać propagandą już na samym wstępie. Mimo uznania dla budowania platformy do dyskusji, zawsze warto jednak pamiętać, że takie imprezy to przede wszystkim promocja.

Prezentacja narzędzi do backupowania Office 365 również była bardzo rzetelna i merytoryczna. Aczkolwiek należy podkreślić, że zewnętrzne narzędzia do kopii zapasowej chmury Microsoftu nie są absolutnie niezbędne w każdym przypadku, co (być może) usilnie sugerowano. Niemniej, Veeam ostrzega, że jeżeli ucieknie się całkowicie w chmurę, to poleganie na historii i kopiach zapasowych tworzonych przez sam Microsoft, może się okazać niewystarczające.

Wszystko oczywiście zależy od przypadku użycia. Jeżeli chmura jest wykorzystywana jako doraźne wspomaganie, dostawca narzędzi offline i pośrednik, a dane są odkładane przy okazji innego obiegu przetwarzania, dodatkowe, holistyczne narzędzie do backupu jest raczej zbędne. Ale sposobów wykorzystania Microsoft 365 jest oczywiście więcej. Niekompletność kopii zapasowych i ich ograniczona dostępność/przenośność to kwestie, których wielu użytkowników może nie być świadomych. Nawet, jeżeli narzędzie od Veeam akurat nie jest dla nich, firma zrobiła dobrą robotę, przedstawiając tę klasę ryzyka.

A co z ransomware? Oczywistym powinno być, że same kopie zapasowe nie wystarczą. Porządny ransomware atakuje nie tylko odosobnione końcówki, ale także infrastrukturę. Dzięki temu kopie zapasowe mogą się okazać bezużyteczne, one bowiem również mogą zostać zaszyfrowane. O podejście do ransomware w Veeam zapytałem u źródła. Parę chwil poświęcił mi Rick Vanover, dyrektor ds. strategii. Oto streszczenie naszej wymiany zdań.

Kamil J. Dudek, dobreprogramy: bardzo dużo słyszę o ochronie przed ransomware i konieczności robienia backupów, ale z biegiem lat, ransomware ewoluowało z wirusa EXE atakującego komputer osobisty do rangi skomplikowanego zagrożenia, celującego w wiele płaszczyzn. W jaki sposób Veeam pracuje nad tym, by dostosowywać swoją ofertę do walki z zagrożeniami nowej generacji?

Rick Vanover, Veeam: Główną kwestią podczas wdrażania zabezpieczeń przeciwko ransomware nie są ograniczenia techniczne, a podejście (mindset) do wdrożeń. Można powiedzieć, że ludzie "niewystarczająco się boją" i projektują swoje systemy bez refleksji względem wielowarstwowości i redundancji. Żadne nowości nie rozwiążą takich braków. Dysponujemy zespołem odpowiedzi na zagrożenia ransomware, analizujemy też nowe rodzaje tego zagrożenia. Nowe zachowania wymagają czasem całkiem nowego podejścia.

**K. D.: **O jakich konkretnie nowych zachowaniach tu mowa? Czy pojawia się malware celujący bezpośrednio w rozwiązania Veeam?

**R. V.: **Nie chodzi tu o zachowania, pod które dałoby się napisać jakieś antywirusowe definicje behawioralne. Na przykład coraz częściej żąda się okupu nie za odszyfrowanie danych, a za ich nieopublikowanie. To oznacza zapotrzebowanie na inną ochronę danych wrażliwych, na przykład zgodnych z RODO. Ponadto, pojawiają się trojany, które pracują w uśpieniu i atakują tylko niektóre wersje. Mogą siedzieć niewykryte w kopiach zapasowych przez rok i wykazywać aktywność tylko gdzieniegdzie. Taki backup zostanie uznany za "poprawny", a jego przywrócenie może się okazać zgubne. Dlatego chcemy, żeby nasze formaty zapisu kopii były "skanowalne" przez antywirusy, niemodyfikowalne (immutable), a metody przywracania niekoniecznie wymagały pełnego odtworzenia dysku celem odtworzenia sprawności.

**K. D.: **Wiele zatem zależy od klienta. Czy zdarzają się wdrożenia, po których widać, że wprowadzenie tam narzędzi do kopii zapasowych raczej nie uchroni przed i sprzedanie ich wprawi jedynie odbiorcę w fałszywe poczucie bezpieczeństwa?

**R. V.: **Tak, zdarzają się takie przypadki. Wiele osób, również tych odpowiedzialnych za systemy, nie jest – powiedzmy – wystarczająco przerażona tym, co może się stać. Rozumieją kategorie zagrożeń, ale źle szacują ich prawdopodobieństwo i potencjalny wpływ. Często są też "skażeni" przyzwyczajeniami z poprzednich produktów. Takie myślenie utrudnia negocjacje i wybór rozwiązania dla klienta. Dlatego poza reklamowaniem produktów musimy edukować branżę. Taki jest cel naszych obecnych działań, żeby mieć wspólny język. Ale przypadki, w których mamy do czynienia z niebezpieczną lekkomyślnością i musimy odpowiedzieć "nie możemy wam pomóc" są dość rzadkie.

**K. D.: **Dziękuję za poświęcony czas. Miejmy nadzieję, że świadomość wzrośnie i nie będzie trzeba nikogo straszyć 🙂

Veeam zdecydowanie identyfikuje słuszną potrzebę. Narzędzia chmurowe oferują dość... zróżnicowany i niepełny zakres kopii zapasowych. Zapewne zmieni się to w najbliższych latach. Zawsze pozostanie wtedy argument, że backup i tak powinien być dostarczany heterogenicznie: narzędziem niebędącym częścią systemu. Zapotrzebowanie na backupy będzie rosło o wiele szybciej, niż wzrost świadomości na tym polu. Możliwe jednak, że dostawcy usług i infrastruktur sami zatroszczą się o rozbudowane narzędzia do tworzenia kopii zapasowych.

Póki co, udostępniają jednak na tyle rozbudowane API, że mogą to robić rozwiązania firm trzecich. Zresztą, o czym wspomniał też sam Vanover, problemem staje się nie tylko utrata dostępu do danych, ale także dostęp zbyt duży: groźba opublikowania ich bez wpłacenia okupu. Nie ma tu jednoznacznych odpowiedzi ani gotowych rozwiązań. Dlatego Veeam jeszcze długo będzie się cieszył zapotrzebowaniem na swoje usługi.

Mają jednak sporą konkurencję. Poza Solarwinds jest to przede wszystkim Acronis, oferujący backup niemal wszystkiego, co się da. Są to dedykowane narzędzia do tworzenia kopii zapasowych Azure, Office 365 i AWS, a także lokalnych wdrożeń Hyper-V, SQL Server, Windowsów... Nie brakuje także zestawu rozwiązań do przeciwdziałania ransomware.

Innym przykładem jest CodeTwo, swoją drogą Gold Partner Microsoftu za rok 2019. Są oni mniej wszechstronni, niż Acronis i Veeam, koncentrując się głównie na chmurze usługowej Microsoft 365, a nie infrastrukturalnej (typu AWS/Azure). Narzędzia CodeTwo to absolutny i imponujący kombajn. Firma chwali się ciągnącym się na wiele ekranów zbiorem funkcji. To kolejny dowód na to, że chmurze też potrzebny jest backup.