rack2cloud/immutable-backup-blueprints
GitHub: rack2cloud/immutable-backup-blueprints
面向架构师和 SRE 的不可变备份与灾难恢复架构知识库,系统化解决身份提供者被攻破场景下的确定性数据恢复问题。
Stars: 0 | Forks: 0
# 不可变备份蓝图
### 权限分离的恢复架构

## 关于本仓库
本仓库将 Rack2Cloud 关于不可变备份架构的研究整合为一个结构化的参考,供负责数据保护设计的架构师和基础设施团队使用。
不可变备份已经从一种存储配置功能演变为一门架构学科。故障模式不再是“备份不存在”——而是“备份存在但恢复失败”。本仓库解决了这两个层面的问题:实现不可变性所需的存储和平台架构,以及实现可恢复性所需的恢复设计。
目标读者是负责备份架构、勒索软件恢复规划和灾难恢复设计的基础设施工程师、平台架构师和 SRE。
## 问题描述
大多数备份系统依赖生产身份系统(例如 Active Directory、Entra ID)进行恢复授权。这在系统遭受入侵期间会造成致命的循环依赖。
如果您的主要身份提供者 (IdP) 被攻破,攻击者将横向移动到您的备份控制平面,利用被盗的特权账户恶意删除策略、破坏复制,或绕过不可变标志。
## 系统模型

**组件:**
1. 生产域(被入侵区域)
2. 备份存储平面(零信任数据平面)
3. 独立恢复授权机构(隔离的控制平面)
4. 离线凭证链(紧急访问)
## 威胁与缓解模型
| 威胁 | 缓解策略 |
| :--- | :--- |
| **勒索软件 / 擦除软件** | 无法通过 hypervisor 绕过的硬件级不可变性 (WORM)。 |
| **权限提升** | 独立的恢复授权(具有物理 MFA 的本地保险库账户,与 AD 解耦)。 |
| **策略删除** | 带外元数据和保险库锁定,以防止保留策略发生偏移。 |
| **复制破坏** | 权限隔离和逻辑气隙的仅拉取防火墙规则。 |
## 零信任架构要求
为了保证恢复,架构必须将数据平面与管理平面分离:
1. **独立的身份平面:** 备份管理账户必须驻留在专用的、隔离的域中,或使用本地物理令牌 (YubiKey)。
2. **强制不可变保留:** 对象级保留策略必须防止在定义的时间窗口内删除数据,无论管理意图如何。
3. **离线恢复路径:** 恢复能力不得依赖于生产 DNS、DHCP 或 IdP 服务的可用性。
## 框架结构
### 架构原则
指导不可变备份和可恢复性设计的基础原则。
**不可变性是必要条件,但非充分条件**
- [不可变性不是一种策略:为勒索软件生存构建恢复孤岛](https://www.rack2cloud.com/recovery-silos-ransomware-survival/) — 拥有不可变存储与拥有可恢复架构之间的区别。
- [不可变备份:为什么对象锁是不够的](https://www.rack2cloud.com/immutable-backup-object-lock/) — 对象锁只是一个起点,而不是一个完整的架构。
- [3-2-1-1-0 备份规则:为 2026 年网络弹性更新协议](https://www.rack2cloud.com/3-2-1-1-0-backup-rule-2026-cyber-resilience/) — 针对抗对抗环境的更新版备份规则。
**可恢复性作为一种架构属性**
- [您的勒索软件恢复计划存在可恢复性差距](https://www.rack2cloud.com/recoverability-gap/) — 备份完整性与恢复成功之间的差距。*( Added 2026-06-30)*
- [勒索软件恢复时间是架构问题——而不是备份问题](https://www.rack2cloud.com/ransomware-recovery-architecture-problem/) — 恢复时间失败应归咎于架构决策,而不是备份失败。*(Added 2026-06-30)*
- [跨区域复制不是弹性](https://www.rack2cloud.com/cross-region-replication-resilience/) — 为什么复制不能替代恢复架构。
- [您的备份系统是爆炸半径的一部分](https://www.rack2cloud.com/backup-blast-radius/) — 备份系统本身就是一个攻击面,必须将其从爆炸半径中设计排除。*(Added 2026-06-30)*
### 恢复设计
恢复是备份架构中最常见的故障点。本节将恢复视为一门设计学科来进行探讨。
**恢复架构**
- [备份在恢复时失败,因为恢复设计不足](https://www.rack2cloud.com/restore-design-failure/) — 为什么恢复设计被系统性地忽视,以及这在压力下会导致什么后果。*(Added 2026-06-30)*
- [恢复路径是备份设计中最被忽视的部分](https://www.rack2cloud.com/restore-path-backup-design/) — 将恢复路径作为首要的设计需求。*(Added 2026-06-30)*
- [备份重水化瓶颈:为什么您的去重引擎正在拖垮您的 RTO](https://www.rack2cloud.com/backup-rehydration-rto-bottleneck/) — 去重作为恢复时的性能限制因素。
- [数据库备份保真度:为什么崩溃一致性不是数据库备份](https://www.rack2cloud.com/app-consistent-database-backup/) — 应用一致性备份作为恢复保真度的必要条件。
**RTO 和恢复指标**
- [RTO、RPO 和 RTA:为什么恢复指标应主导您的基础设施设计](https://www.rack2cloud.com/rpo-rto-rta-disaster-recovery-architecture/) — 将恢复指标作为基础设施设计的输入。
- [RTO 现实:为什么没有恢复演练,您的备份毫无意义](https://www.rack2cloud.com/rto-recovery-drills-guide/) — 将恢复演练作为 RTO 验证手段。
### 勒索软件架构
针对专门盯上备份系统的对手进行设计。
**威胁建模**
- [勒索软件就绪的备份架构:三大支柱工程框架](https://www.rack2cloud.com/ransomware-ready-backup-strategy-2025-engineer-guide/) — 在对抗条件下备份架构的三大支柱框架。
- [为了解您手册的对手设计备份系统](https://www.rack2cloud.com/ransomware-backup-architecture/) — 假设对手掌握了恢复程序的备份架构设计。
- [备份首先被攻破:深入剖析 Cohesity FortKnox 及网络保险库的兴起](https://www.rack2cloud.com/backups-are-compromised-first-inside-cohesity-fortknox-and-the-rise-of-cyber-vaulting/) — 为什么备份系统是勒索软件的主要目标,以及网络保险库如何解决这一问题。
**隔离架构**
- [连接的气隙:为什么大多数备份隔离会失败](https://www.rack2cloud.com/connected-air-gap-backup-isolation/) — 在真实的对抗条件下气隙设计的失败之处。*(Added 2026-06-30)*
- [逻辑隔离您的数据:在零信任世界中设计气隙](https://www.rack2cloud.com/logic-gapping-data-protection-strategy/) — 针对物理气隙不切实际的环境的逻辑气隙设计。
- [不可变性不是一种策略:为勒索软件生存构建恢复孤岛](https://www.rack2cloud.com/recovery-silos-ransomware-survival/) — 用于保障勒索软件生存能力的恢复孤岛架构。
### 恢复授权机构
恢复授权机构是一个治理层,用于决定谁可以在什么条件下、通过何种验证启动恢复。大多数恢复计划都忽略了这一点。
- [灾难恢复授权机构:大多数恢复计划中缺失的一层](https://www.rack2cloud.com/disaster-recovery-authority/) — 恢复授权机构作为 DR 设计中的结构性缺口。*(Added 2026-06-30)*
- [为什么大多数灾难恢复测试并没有测试恢复](https://www.rack2cloud.com/disaster-recovery-testing-failure/) — 验证了流程但未验证恢复的 DR 测试——为什么它们能通过以及它们遗漏了什么。*(Added 2026-06-30)*
- [您的 DR 测试通过了。但前提假设没有。](https://www.rack2cloud.com/dr-plan-failure/) — 前提假设失败作为 DR 测试的主要故障模式。*(Added 2026-06-30)*
- [恢复结束了中断。但这并没有结束事件。](https://www.rack2cloud.com/continuity-cascade/) — 恢复后的事件管理作为一项独立的运营纪律。*(Added 2026-06-30)*
- [事件恢复流程:为什么恢复完成后事件还没结束](https://www.rack2cloud.com/incident-recovery-process/) — 恢复完成后的事件生命周期。*(Added 2026-06-30)*
### 平台架构
为企业环境评估和设计不可变备份平台。
**平台比较**
- [坚不可摧的保险库:Veeam、Rubrik 和 Cohesity 如何构建不可变备份](https://www.rack2cloud.com/immutable-backups-101-veeam-rubrik-cohesity-deep-dive/) — 跨三大企业级平台的平台架构对比。
- [Rubrik vs Cohesity:哪种架构能在勒索软件压力下坚守?](https://www.rack2cloud.com/rubrik-vs-cohesity-ransomware-protection/) — 对抗条件下的平台对比。*(Added 2026-06-30)*
- [Rubrik vs Cohesity:哪种备份架构能真正实现扩展?](https://www.rack2cloud.com/rubrik-vs-cohesity-backup-architecture/) — 大规模场景下的平台对比。
- [Rubrik vs Cohesity:企业决策框架](https://www.rack2cloud.com/rubrik-vs-cohesity-decision-framework/) — 用于平台选择的结构化决策框架。*(Added 2026-06-30)*
- [Veeam vs Commvault:企业备份平台的失败方式有何不同](https://www.rack2cloud.com/veeam-vs-commvault/) — 跨 Veeam 和 Commvault 架构的故障模式分析。
- [Rubrik vs Veeam — 设备不可变性与基础设施控制](https://www.rack2cloud.com/rubrik-vs-veeam-sovereign-backup/) — 设备不可变性与基础设施控制下的不可变性之间的架构权衡。
**成本架构**
- [Veeam API 税:为什么您的不可变备份存储成本永远不是表面看到的那样](https://www.rack2cloud.com/immutable-storage-cost-calculator-guide/) — 不可变备份存储中隐藏的成本驱动因素。
- [您的备份成本并非您所想:计算存储之外的真实成本](https://www.rack2cloud.com/how-to-calculate-true-backup-costs/) — 超越存储层面的备份架构总成本。
**控制平面架构**
- [Velero 加入 CNCF 与备份无关。它关乎的是控制。](https://www.rack2cloud.com/velero-cncf-backup-control/) — Kubernetes 备份控制平面作为一种架构考量。*(Added 2026-06-30)*
- [AI 驱动的数据弹性:Veeam + Securiti AI vs. Rubrik + Bedrock](https://www.rack2cloud.com/ai-driven-data-resilience-veeam-rubrik/) — AI 增强的数据保护平台架构。
### 主权与合规架构
主权、合规受限和受监管环境下的数据保护要求。
- [大多数主权策略在架构开始之前就已经失败了](https://www.rack2cloud.com/sovereignty-strategy-control-plane-failure/) — 主权作为备份设计中的预架构失败模式。
- [主权云 vs 公有云:在非确定性环境中驾驭合规性](https://www.rack2cloud.com/sovereign-cloud-vs-public-cloud-compliance-trap/) — 针对主权云环境的合规架构。
- [不可变性不是一种策略:为勒索软件生存构建恢复孤岛](https://www.rack2cloud.com/recovery-silos-ransomware-survival/) — 主权受限环境下的恢复孤岛架构。
### 灾难恢复架构
将灾难恢复视为围绕恢复(而非备份)设计的系统。
- [为您的首个云项目构建实用的灾难恢复计划](https://www.rack2cloud.com/cloud-disaster-recovery-plan-guide/) — 针对云环境的基础 DR 架构。
- [Nutanix Async & NearSync vs VMware SRM:现代 DR 的蓝图](https://www.rack2cloud.com/nutanix-async-nearsync-vs-vmware-srm-blueprint/) — 跨 Nutanix 和 VMware SRM 的 DR 架构比较。
- [演练期间发现的配置漂移](https://www.rack2cloud.com/recovery-configuration-drift/) — 配置漂移作为一种 DR 演练失败模式。
- [为什么您的 DNS 故障转移并没有真正发生故障转移](https://www.rack2cloud.com/dns-failover-testing/) — DNS 故障转移作为一个经常未经测试的 DR 依赖项。
- [您的勒索软件计划纯属虚构:Nutanix、Cohesity、Rubrik 和 Pure 无法掩盖的 5 个恢复指标](https://www.rack2cloud.com/ransomware-recovery-metrics-nutanix-cohesity-rubrik-pure/) — 跨主要平台的恢复指标评估。
## 评估工具
用于评估备份架构和恢复就绪情况的运营工具:
| 工具 | 用途 |
|------|---------|
| [恢复就绪评估](https://www.rack2cloud.com/audits/recovery-readiness-assessment/) | 用于恢复前规划和差距识别的结构化审计 |
| [恢复就绪分析器](https://www.rack2cloud.com/recovery-readiness-analyzer/) | 运营就绪情况测量工具 |
| [恢复依赖映射器](https://www.rack2cloud.com/recovery-dependency-mapper/) | 恢复事件发生前的依赖关系映射 |
| [灾难恢复授权分析器](https://www.rack2cloud.com/disaster-recovery-authority-analyzer/) | 恢复授权差距分析 |
| [Veeam – 不可变存储成本估算器](https://www.rack2cloud.com/veeam-immutable-storage-cost-estimator/) | 不可变存储成本建模 |
| [通用云恢复计算器](https://www.rack2cloud.com/universal-cloud-restore-calculator/) | 跨云环境的恢复成本和时间估算 |
| [工程工作台:灾难恢复就绪情况](https://www.rack2cloud.com/engineering-workbench/disaster-recovery-readiness/) | DR 就绪计划的结构化起点 |
## 规范架构学习路径
[数据保护与弹性路径](https://www.rack2cloud.com/data-protection-resiliency-learning-path/) 为本仓库的内容提供了结构化的学习背景。
相关模块:
- [恢复架构基础](https://www.rack2cloud.com/data-protection-resiliency-learning-path/recovery-architecture-foundations/)
- [恢复平台架构](https://www.rack2cloud.com/data-protection-resiliency-learning-path/recovery-platform-architecture/)
- [网络保险库架构](https://www.rack2cloud.com/data-protection-resiliency-learning-path/cyber-vault-architecture/)
## 架构审计
- [恢复就绪评估](https://www.rack2cloud.com/audits/recovery-readiness-assessment/) — 结构化的恢复前评估。
- [架构审计服务](https://www.rack2cloud.com/audits/) — 完整的审计服务目录。
## 非目标
- 供应商功能比较
- 存储基准测试
*这是一个严格专注于权限分离的控制平面架构模型。*
## 维护说明
本仓库的维护遵循 Rack2Cloud [规范架构规范](https://www.rack2cloud.com/canonical-architecture-specifications/) 治理系统。
## 支持
如果此框架帮助您保障了恢复路径的安全,请为仓库点个 Star。
由 [Rack2Cloud](https://www.rack2cloud.com) 维护的架构框架
标签:不可变备份, 反勒索软件, 子域名突变, 架构设计, 灾难恢复, 身份与访问控制, 零信任架构