rack2cloud/immutable-backup-blueprints

GitHub: rack2cloud/immutable-backup-blueprints

面向架构师和 SRE 的不可变备份与灾难恢复架构知识库,系统化解决身份提供者被攻破场景下的确定性数据恢复问题。

Stars: 0 | Forks: 0

# 不可变备份蓝图 ### 权限分离的恢复架构 ![状态](https://img.shields.io/badge/status-architecture--pattern-blue) ## 关于本仓库 本仓库将 Rack2Cloud 关于不可变备份架构的研究整合为一个结构化的参考,供负责数据保护设计的架构师和基础设施团队使用。 不可变备份已经从一种存储配置功能演变为一门架构学科。故障模式不再是“备份不存在”——而是“备份存在但恢复失败”。本仓库解决了这两个层面的问题:实现不可变性所需的存储和平台架构,以及实现可恢复性所需的恢复设计。 目标读者是负责备份架构、勒索软件恢复规划和灾难恢复设计的基础设施工程师、平台架构师和 SRE。 ## 问题描述 大多数备份系统依赖生产身份系统(例如 Active Directory、Entra ID)进行恢复授权。这在系统遭受入侵期间会造成致命的循环依赖。 如果您的主要身份提供者 (IdP) 被攻破,攻击者将横向移动到您的备份控制平面,利用被盗的特权账户恶意删除策略、破坏复制,或绕过不可变标志。 ## 系统模型 ![权限分离模型](https://www.rack2cloud.com/wp-content/uploads/2026/02/diagram-authority-separation.jpg) **组件:** 1. 生产域(被入侵区域) 2. 备份存储平面(零信任数据平面) 3. 独立恢复授权机构(隔离的控制平面) 4. 离线凭证链(紧急访问) ## 威胁与缓解模型 | 威胁 | 缓解策略 | | :--- | :--- | | **勒索软件 / 擦除软件** | 无法通过 hypervisor 绕过的硬件级不可变性 (WORM)。 | | **权限提升** | 独立的恢复授权(具有物理 MFA 的本地保险库账户,与 AD 解耦)。 | | **策略删除** | 带外元数据和保险库锁定,以防止保留策略发生偏移。 | | **复制破坏** | 权限隔离和逻辑气隙的仅拉取防火墙规则。 | ## 零信任架构要求 为了保证恢复,架构必须将数据平面与管理平面分离: 1. **独立的身份平面:** 备份管理账户必须驻留在专用的、隔离的域中,或使用本地物理令牌 (YubiKey)。 2. **强制不可变保留:** 对象级保留策略必须防止在定义的时间窗口内删除数据,无论管理意图如何。 3. **离线恢复路径:** 恢复能力不得依赖于生产 DNS、DHCP 或 IdP 服务的可用性。 ## 框架结构 ### 架构原则 指导不可变备份和可恢复性设计的基础原则。 **不可变性是必要条件,但非充分条件** - [不可变性不是一种策略:为勒索软件生存构建恢复孤岛](https://www.rack2cloud.com/recovery-silos-ransomware-survival/) — 拥有不可变存储与拥有可恢复架构之间的区别。 - [不可变备份:为什么对象锁是不够的](https://www.rack2cloud.com/immutable-backup-object-lock/) — 对象锁只是一个起点,而不是一个完整的架构。 - [3-2-1-1-0 备份规则:为 2026 年网络弹性更新协议](https://www.rack2cloud.com/3-2-1-1-0-backup-rule-2026-cyber-resilience/) — 针对抗对抗环境的更新版备份规则。 **可恢复性作为一种架构属性** - [您的勒索软件恢复计划存在可恢复性差距](https://www.rack2cloud.com/recoverability-gap/) — 备份完整性与恢复成功之间的差距。*( Added 2026-06-30)* - [勒索软件恢复时间是架构问题——而不是备份问题](https://www.rack2cloud.com/ransomware-recovery-architecture-problem/) — 恢复时间失败应归咎于架构决策,而不是备份失败。*(Added 2026-06-30)* - [跨区域复制不是弹性](https://www.rack2cloud.com/cross-region-replication-resilience/) — 为什么复制不能替代恢复架构。 - [您的备份系统是爆炸半径的一部分](https://www.rack2cloud.com/backup-blast-radius/) — 备份系统本身就是一个攻击面,必须将其从爆炸半径中设计排除。*(Added 2026-06-30)* ### 恢复设计 恢复是备份架构中最常见的故障点。本节将恢复视为一门设计学科来进行探讨。 **恢复架构** - [备份在恢复时失败,因为恢复设计不足](https://www.rack2cloud.com/restore-design-failure/) — 为什么恢复设计被系统性地忽视,以及这在压力下会导致什么后果。*(Added 2026-06-30)* - [恢复路径是备份设计中最被忽视的部分](https://www.rack2cloud.com/restore-path-backup-design/) — 将恢复路径作为首要的设计需求。*(Added 2026-06-30)* - [备份重水化瓶颈:为什么您的去重引擎正在拖垮您的 RTO](https://www.rack2cloud.com/backup-rehydration-rto-bottleneck/) — 去重作为恢复时的性能限制因素。 - [数据库备份保真度:为什么崩溃一致性不是数据库备份](https://www.rack2cloud.com/app-consistent-database-backup/) — 应用一致性备份作为恢复保真度的必要条件。 **RTO 和恢复指标** - [RTO、RPO 和 RTA:为什么恢复指标应主导您的基础设施设计](https://www.rack2cloud.com/rpo-rto-rta-disaster-recovery-architecture/) — 将恢复指标作为基础设施设计的输入。 - [RTO 现实:为什么没有恢复演练,您的备份毫无意义](https://www.rack2cloud.com/rto-recovery-drills-guide/) — 将恢复演练作为 RTO 验证手段。 ### 勒索软件架构 针对专门盯上备份系统的对手进行设计。 **威胁建模** - [勒索软件就绪的备份架构:三大支柱工程框架](https://www.rack2cloud.com/ransomware-ready-backup-strategy-2025-engineer-guide/) — 在对抗条件下备份架构的三大支柱框架。 - [为了解您手册的对手设计备份系统](https://www.rack2cloud.com/ransomware-backup-architecture/) — 假设对手掌握了恢复程序的备份架构设计。 - [备份首先被攻破:深入剖析 Cohesity FortKnox 及网络保险库的兴起](https://www.rack2cloud.com/backups-are-compromised-first-inside-cohesity-fortknox-and-the-rise-of-cyber-vaulting/) — 为什么备份系统是勒索软件的主要目标,以及网络保险库如何解决这一问题。 **隔离架构** - [连接的气隙:为什么大多数备份隔离会失败](https://www.rack2cloud.com/connected-air-gap-backup-isolation/) — 在真实的对抗条件下气隙设计的失败之处。*(Added 2026-06-30)* - [逻辑隔离您的数据:在零信任世界中设计气隙](https://www.rack2cloud.com/logic-gapping-data-protection-strategy/) — 针对物理气隙不切实际的环境的逻辑气隙设计。 - [不可变性不是一种策略:为勒索软件生存构建恢复孤岛](https://www.rack2cloud.com/recovery-silos-ransomware-survival/) — 用于保障勒索软件生存能力的恢复孤岛架构。 ### 恢复授权机构 恢复授权机构是一个治理层,用于决定谁可以在什么条件下、通过何种验证启动恢复。大多数恢复计划都忽略了这一点。 - [灾难恢复授权机构:大多数恢复计划中缺失的一层](https://www.rack2cloud.com/disaster-recovery-authority/) — 恢复授权机构作为 DR 设计中的结构性缺口。*(Added 2026-06-30)* - [为什么大多数灾难恢复测试并没有测试恢复](https://www.rack2cloud.com/disaster-recovery-testing-failure/) — 验证了流程但未验证恢复的 DR 测试——为什么它们能通过以及它们遗漏了什么。*(Added 2026-06-30)* - [您的 DR 测试通过了。但前提假设没有。](https://www.rack2cloud.com/dr-plan-failure/) — 前提假设失败作为 DR 测试的主要故障模式。*(Added 2026-06-30)* - [恢复结束了中断。但这并没有结束事件。](https://www.rack2cloud.com/continuity-cascade/) — 恢复后的事件管理作为一项独立的运营纪律。*(Added 2026-06-30)* - [事件恢复流程:为什么恢复完成后事件还没结束](https://www.rack2cloud.com/incident-recovery-process/) — 恢复完成后的事件生命周期。*(Added 2026-06-30)* ### 平台架构 为企业环境评估和设计不可变备份平台。 **平台比较** - [坚不可摧的保险库:Veeam、Rubrik 和 Cohesity 如何构建不可变备份](https://www.rack2cloud.com/immutable-backups-101-veeam-rubrik-cohesity-deep-dive/) — 跨三大企业级平台的平台架构对比。 - [Rubrik vs Cohesity:哪种架构能在勒索软件压力下坚守?](https://www.rack2cloud.com/rubrik-vs-cohesity-ransomware-protection/) — 对抗条件下的平台对比。*(Added 2026-06-30)* - [Rubrik vs Cohesity:哪种备份架构能真正实现扩展?](https://www.rack2cloud.com/rubrik-vs-cohesity-backup-architecture/) — 大规模场景下的平台对比。 - [Rubrik vs Cohesity:企业决策框架](https://www.rack2cloud.com/rubrik-vs-cohesity-decision-framework/) — 用于平台选择的结构化决策框架。*(Added 2026-06-30)* - [Veeam vs Commvault:企业备份平台的失败方式有何不同](https://www.rack2cloud.com/veeam-vs-commvault/) — 跨 Veeam 和 Commvault 架构的故障模式分析。 - [Rubrik vs Veeam — 设备不可变性与基础设施控制](https://www.rack2cloud.com/rubrik-vs-veeam-sovereign-backup/) — 设备不可变性与基础设施控制下的不可变性之间的架构权衡。 **成本架构** - [Veeam API 税:为什么您的不可变备份存储成本永远不是表面看到的那样](https://www.rack2cloud.com/immutable-storage-cost-calculator-guide/) — 不可变备份存储中隐藏的成本驱动因素。 - [您的备份成本并非您所想:计算存储之外的真实成本](https://www.rack2cloud.com/how-to-calculate-true-backup-costs/) — 超越存储层面的备份架构总成本。 **控制平面架构** - [Velero 加入 CNCF 与备份无关。它关乎的是控制。](https://www.rack2cloud.com/velero-cncf-backup-control/) — Kubernetes 备份控制平面作为一种架构考量。*(Added 2026-06-30)* - [AI 驱动的数据弹性:Veeam + Securiti AI vs. Rubrik + Bedrock](https://www.rack2cloud.com/ai-driven-data-resilience-veeam-rubrik/) — AI 增强的数据保护平台架构。 ### 主权与合规架构 主权、合规受限和受监管环境下的数据保护要求。 - [大多数主权策略在架构开始之前就已经失败了](https://www.rack2cloud.com/sovereignty-strategy-control-plane-failure/) — 主权作为备份设计中的预架构失败模式。 - [主权云 vs 公有云:在非确定性环境中驾驭合规性](https://www.rack2cloud.com/sovereign-cloud-vs-public-cloud-compliance-trap/) — 针对主权云环境的合规架构。 - [不可变性不是一种策略:为勒索软件生存构建恢复孤岛](https://www.rack2cloud.com/recovery-silos-ransomware-survival/) — 主权受限环境下的恢复孤岛架构。 ### 灾难恢复架构 将灾难恢复视为围绕恢复(而非备份)设计的系统。 - [为您的首个云项目构建实用的灾难恢复计划](https://www.rack2cloud.com/cloud-disaster-recovery-plan-guide/) — 针对云环境的基础 DR 架构。 - [Nutanix Async & NearSync vs VMware SRM:现代 DR 的蓝图](https://www.rack2cloud.com/nutanix-async-nearsync-vs-vmware-srm-blueprint/) — 跨 Nutanix 和 VMware SRM 的 DR 架构比较。 - [演练期间发现的配置漂移](https://www.rack2cloud.com/recovery-configuration-drift/) — 配置漂移作为一种 DR 演练失败模式。 - [为什么您的 DNS 故障转移并没有真正发生故障转移](https://www.rack2cloud.com/dns-failover-testing/) — DNS 故障转移作为一个经常未经测试的 DR 依赖项。 - [您的勒索软件计划纯属虚构:Nutanix、Cohesity、Rubrik 和 Pure 无法掩盖的 5 个恢复指标](https://www.rack2cloud.com/ransomware-recovery-metrics-nutanix-cohesity-rubrik-pure/) — 跨主要平台的恢复指标评估。 ## 评估工具 用于评估备份架构和恢复就绪情况的运营工具: | 工具 | 用途 | |------|---------| | [恢复就绪评估](https://www.rack2cloud.com/audits/recovery-readiness-assessment/) | 用于恢复前规划和差距识别的结构化审计 | | [恢复就绪分析器](https://www.rack2cloud.com/recovery-readiness-analyzer/) | 运营就绪情况测量工具 | | [恢复依赖映射器](https://www.rack2cloud.com/recovery-dependency-mapper/) | 恢复事件发生前的依赖关系映射 | | [灾难恢复授权分析器](https://www.rack2cloud.com/disaster-recovery-authority-analyzer/) | 恢复授权差距分析 | | [Veeam – 不可变存储成本估算器](https://www.rack2cloud.com/veeam-immutable-storage-cost-estimator/) | 不可变存储成本建模 | | [通用云恢复计算器](https://www.rack2cloud.com/universal-cloud-restore-calculator/) | 跨云环境的恢复成本和时间估算 | | [工程工作台:灾难恢复就绪情况](https://www.rack2cloud.com/engineering-workbench/disaster-recovery-readiness/) | DR 就绪计划的结构化起点 | ## 规范架构学习路径 [数据保护与弹性路径](https://www.rack2cloud.com/data-protection-resiliency-learning-path/) 为本仓库的内容提供了结构化的学习背景。 相关模块: - [恢复架构基础](https://www.rack2cloud.com/data-protection-resiliency-learning-path/recovery-architecture-foundations/) - [恢复平台架构](https://www.rack2cloud.com/data-protection-resiliency-learning-path/recovery-platform-architecture/) - [网络保险库架构](https://www.rack2cloud.com/data-protection-resiliency-learning-path/cyber-vault-architecture/) ## 架构审计 - [恢复就绪评估](https://www.rack2cloud.com/audits/recovery-readiness-assessment/) — 结构化的恢复前评估。 - [架构审计服务](https://www.rack2cloud.com/audits/) — 完整的审计服务目录。 ## 非目标 - 供应商功能比较 - 存储基准测试 *这是一个严格专注于权限分离的控制平面架构模型。* ## 维护说明 本仓库的维护遵循 Rack2Cloud [规范架构规范](https://www.rack2cloud.com/canonical-architecture-specifications/) 治理系统。 ## 支持 如果此框架帮助您保障了恢复路径的安全,请为仓库点个 Star。 由 [Rack2Cloud](https://www.rack2cloud.com) 维护的架构框架
标签:不可变备份, 反勒索软件, 子域名突变, 架构设计, 灾难恢复, 身份与访问控制, 零信任架构