«Иммунитет от шифровальщиков» (Сервер независимого резервного копирования)

Ключевое преимущество

Переход от уязвимых внешних дисков к серверу, который невозможно зашифровать. Сейчас ваш бэкап на внешнем HDD уничтожается одновременно с ПК в момент атаки вируса-шифровальщика. Услуга «Иммунитет от шифровальщиков» выстраивает независимый сервер на базе Debian и Restic: данные шифруются еще на рабочей станции, а сервер бэкапов доступен по сети только ночью. Даже если хакер проникнет на сервер, без ключа расшифровки ваши файлы для него — бесполезный набор символов. Это ваша защита бизнеса от остановки.

Настройка независимого сервера резервного копирования и защиты от шифровальщиков

Знакома ли вам ситуация?

Ваши критичные данные защищены лишь формально. Вы или ваши коллеги сталкиваются со следующим:

  1. Для резервного копирования используются обычные внешние жесткие диски, подключенные к ПК. При заражении шифровальщиком (Ransomware) вирус автоматически портит все подключенные тома — бэкапы погибают вместе с оригиналами, оставляя бизнес без шансов на восстановление.
  2. Классический файловый сервер или NAS стоит в сети 24/7 с открытым доступом по SMB. Если один компьютер в офисе заразится, вирус по локальной сети шифрует и сам сервер бэкапов, сводя на нет все вложения в безопасность.

Вы рискуете коммерческой тайной, базами 1С и клиентскими базами данных. Обычный внешний диск или всегда включенный сетевой ресурс в такой ситуации не спасают — они становятся логическим продолжением зараженного компьютера.

Я настрою независимый сервер бэкапов по архитектуре Zero Trust: он будет невидим для офисной сети днем и примет только криптографически-защищенные пакеты данных ночью.

Как работает «Иммунитет от шифровальщиков» (Restic + SFTP + nftables)

Я разворачиваю на выделенной виртуальной машине (Debian 12) систему неизменяемых (immutable) бэкапов. Данные шифруются на ПК клиентом до отправки по сети, а доступ к серверу жестко лимитирован по времени и криптографическим ключам.

Как это происходит:

  1. Преднастройка и аудит (удаленно): получение доступов к ВМ или гипервизору, проверка сети, генерация SSH-ключей — 1 час.
  2. Установка и жесткая заточка ОС (Debian 12): обновление, удаление лишних сервисов, настройка изолированного SFTP-пользователя (Chroot) — 2 часа.
  3. Настройка Restic и политик безопасности (Time-based access): инициализация репозитория, настройка динамического файрволла (nftables) для открытия порта только на время бэкапа — 4 часа.
  4. Настройка агентов на рабочих станциях (до 5 шт.) и финальное тестирование: установка Restic на Windows, настройка скриптов очистки, тест восстановления (restore) и сдача документации — 3 часа.

Что важно знать: Решение не требует покупки дорогого proprietary ПО (Veeam, Acronis) и отдельных аппаратных NAS. В качестве ОС выбран Debian 12 — это гарантирует простоту настройки Chroot-окружения для SFTP и nftables, а также легкость поиска специалистов для поддержки в будущем (в отличие от FreeBSD). Бэкапы хранятся в зашифрованном виде, и даже администратор сервера не может прочитать ваши данные без ключа.

Почему настройка удаленно — это выгодно?

Многие думают, что для внедрения сервера бэкапов корпоративного уровня нужен выезд инженера, закупка железа и долгий простой. Это не так.

Я провожу работы удаленно через SSH. Если у вас еще нет сервера, я подключусь к вашему гипервизору (Proxmox VE или VMware ESXi), создам изолированную ВМ и настрою её. Чистое время работы — около 10 часов для базового сценария. Вы получаете уровень защиты, сопоставимый с энтерпрайз-решениями, не переплачивая за логистику и простой инженера в пробках.

Базовый иммунитет
Включено:
  • Аудит доступов, создание ВМ (при необходимости) и установка Debian 12
  • Жесткая заточка ОС, настройка Chroot SFTP и блокировка входов по паролю SSH
  • Настройка динамического файрволла (nftables) — доступ только по ночам
  • Настройка агентов Restic на 5 рабочих станциях (Windows)

* идеальное решение для малого бизнеса, чтобы закрыть вопрос уязвимых внешних дисков и защитить до 5 ПК от потери данных

   Заказать услугу 
15 000 ₽12 000 ₽ / 10 часов
Иммунитет Pro (Автотестирование)
Включено:
  • Всё, что входит в «Базовый иммунитет»
  • Настройка агентов Restic на до 15 рабочих станций
  • Автоматизированный еженедельный тест восстановления (restore) данных
  • Интеграция легковесного почтового клиента (msmtp) для алертов при ошибках восстановления

* для среднего бизнеса, которому нужна не просто копия данных, а железобетонная гарантия того, что бэкап реально сработает в час Икс

   Заказать услугу 
19 500 ₽15 600 ₽ / 13 часов
Корпоративный иммунитет (Сложная инфраструктура))
Включено:
  • Всё, что входит в «Иммунитет Pro»
  • Настройка сложных политик ротации (Retention) под специфику архива (1С, базы SQL)
  • Организация маршрутизации между филиалами для централизованного бэкапа
  • Разработка регламента Fail-safe и обучение локального ИТ-специалиста

* максимальная защищенность для предприятий с нестандартной топологией сети и жесткими требованиями к времени восстановления (RTO/RPO)

   Заказать услугу 
от 25 000 ₽от 20 000 ₽ / от 15 часов

Частые вопросы (FAQ)

Несмотря на превосходство FreeBSD в сетевом стеке и ZFS, для задачи файлового бэкапа по SFTP/SSH Debian подходит лучше. У Restic отличная нативная поддержка Linux, настройка Chroot-окружения реализуется стандартными средствами OpenSSH из коробки, а настройка современного nftables для временного ограничения доступа проще и лучше документирована в Linux-экосистеме. Кроме того, найти специалиста по Debian на рынке намного проще, что снижает риски для клиента в будущем.
Это физически невозможно при нашей архитектуре. Во-первых, Restic шифрует данные на рабочей станции еще до отправки по сети. На сервере лежат только зашифрованные блоки — без ключа это мусор. Для вируса-шифровальщика резервные копии выглядят как непонятные данные. Во-вторых, пользователь бэкапов сидит в Chroot-тюрьме без права командной строки. В-третьих, порт 22 закрыт файрволлом днем, что исключает попытки вируса забить диск мусорными данными (DoS-атака).
Категорически нет. Это жесткое правило безопасности. Если вы даете доступ к гипервизору, я зайду в его веб-интерфейс, создам новую изолированную виртуальную машину, установлю на нее Debian 12 и уже внутри этой ВМ буду настраивать файрволл, SSH и Restic. Безопасность хост-системы не будет нарушена.
Потеря пароля от репозитория математически равна потере самих данных — восстановить их будет НЕВОЗМОЖНО. Это цена абсолютной конфиденциальности (даже я, как исполнитель, не имею к ним доступа). При сдаче проекта пароль вносится в передаточный акт, и вы обязаны сохранить его в надежном корпоративном менеджере паролей.
Бэкап, который не проверен — не бэкап. В тарифе «Иммунитет Pro» и выше мы автоматизируем этот процесс. Раз в неделю (в воскресенье в 05:00) сервер автоматически запускает скрипт: он проверяет криптографические хеши (restic check), восстанавливает последние данные во временную папку, проверяет, что файлы распаковались корректно, удаляет их и отправляет отчет на вашу почту (через безопасный msmtp, без открытых портов).

Важно: Чтобы сервер бэкапов был максимально защищен, он должен быть изолирован. Если ваши сотрудники еще работают удаленно без защиты, рекомендую предварительно заказать услугу Настройка WireGuard на MikroTik.

Решать вам, продолжить рисковать бизнесом из-за уязвимых внешних дисков или

Внедрить «Иммунитет от шифровальщиков» и перевести резервное копирование в режим архитектуры Zero Trust. Я удаленно настрою независимый, криптографически-защищенный сервер бэкапов на Debian, сделав ваши данные неуязвимыми для вирусов-шифровальщиков.

   Включить Иммунитет 
Настройка VPS, VDS и серверов Linux
-20%
20% OFF

Летняя Акция!

До конца июня скидка на услуги 20%

Осталось--дней--часов
Смотреть услуги