前幾篇聊完備份的觀念、RPO、RTO,這篇想回到一個很實際的問題:備份到底該放在哪裡,才算真的安全?
這個問題其實業界早就有一套經典答案,叫做3-2-1原則。但我發現這套原則講的人很多,真正搞懂「為什麼是這樣設計」的人卻不多。這篇想從原則的邏輯,一路聊到現在企業實際上多做的那一步。
3-2-1原則的內容很簡單:
聽起來像是一個口訣,但每一個數字背後,其實都是在防一種特定的風險。
只留一份正式資料加一份備份,聽起來也不差,但這代表整個保護只靠「一份備份」撐著。萬一這唯一的備份剛好在復原時損壞、剛好在做維護、剛好也被波及,就完全沒有退路。
多留一份備份,本質上就是多留一次犯錯的空間。
如果所有備份都放在同一種儲存設備、同一套系統上,這套系統本身出問題(韌體錯誤、設定錯誤、甚至同一批硬碟同時故障),就可能一次把所有備份一起賠上。
用兩種不同的媒介(例如:磁碟儲存 + 磁帶,或是本地儲存 + 雲端儲存),本質上是在降低同一種故障模式,把所有備份一次打掉的機率。
這是最多企業容易忽略的一環。所有備份都放在同一個機房,遇到火災、淹水、機房級的災害,正式資料跟備份會一起完蛋——備份的意義也就沒了。
異地的這一份,不一定要離很遠,但至少要確保「同一個意外事件,不會同時波及正式環境跟這份備份」。
3-2-1原則設計的年代,還沒有勒索軟體大規模攻擊備份系統這種問題。這幾年業界慢慢在3-2-1之外,多加了一個概念——至少一份備份,要跟正式環境、甚至跟網路環境隔離。
這也是「氣隙」(Air Gap)概念興起的原因:如果攻擊者能透過網路連到備份系統,備份跟正式資料就有同時被攻破的風險。讓其中一份備份離線、隔離、平常連不到,就算正式環境跟其他備份都中鏢,還有這一份乾淨的版本能救命。
近幾年不少銀行、政府機關在導入的「資安隔離復原環境」,核心邏輯就是把3-2-1原則裡的「異地」,再往前推一步,變成「異地又離線」。
如果把這些邏輯串起來,現代企業備份的思路大概是這樣:
每往前一步,防的都是不同層級的意外——從「單一備份壞了」,一路防到「整個機房沒了」,再到「有心人士刻意攻擊」。
下一篇想開始聊企業備份實際運作的細節,從備份視窗、增量、全備份,講講企業每天到底在跟時間賽跑什麼。
你們現在的備份架構,做到3-2-1的哪一步了?
IT幫幫忙,一起把複雜的企業IT架構講清楚。
#IT幫幫忙 #備份 #321原則 #資料保護 #氣隙 #資安 #企業IT #Presales