Почему моментальные снимки — это не резервная копия?

Технические ограничения моментальных снимков

Моментальный снимок фиксирует состояние файловой системы или тома в конкретный момент времени, однако физически данные остаются на том же исходном носителе. Моментальный снимок хранит лишь дельта-изменения относительно родительского тома. Такая архитектура порождает несколько уязвимостей:

• Во-первых, моментальный снимок не спасает при физическом разрушении хранилища. Если выйдет из строя дисковый массив, где находятся и исходный том, и его копии, все снимки будут утеряны одновременно. В дата-центрах встречаются случаи некорректной настройки уровней изоляции, например, когда моментальные снимки по умолчанию создаются на той же полке дисков, что и оригинальные данные.
• Во-вторых, моментальные снимки уязвимы для программных атак на уровне гипервизора или СХД. Если злоумышленник скомпрометирует учетную запись администратора платформы, он сможет одной командой уничтожить как снимки, так и исходные данные.

Примеры для российского рынка

Известны случаи, когда администраторы полагались на встроенные механизмы создания моментальных снимков в системах виртуализации, развернутых на типовых серверных сборках. Например, один региональный ЦОД использовал моментальные снимки для защиты биллинговых баз данных. При сбое RAID-контроллера на узле хранения повредились метаданные, описывающие цепочку снимков. Восстановление стало невозможным, так как каждый последующий снимок ссылался на испорченные блоки предыдущего.

Другой пример — атака вируса-шифровальщика в компании из сегмента среднего бизнеса. Получив доступ к гипервизору, злоумышленники сначала зашифровали файлы аппаратных снимков, которые хранились в той же сетевой папке, что и виртуальные диски, а затем — сами рабочие тома. Система по расписанию продолжала создавать новые снимки, но все они фиксировали уже зашифрованное состояние.

В государственном секторе и финансовых организациях России регуляторы (например, 187-ФЗ, 152-ФЗ) прямо требуют хранить резервные копии на физически обособленных носителях. Моментальный снимок, остающийся внутри той же системы хранения, таким требованиям не соответствует.

Когда моментальных снимков достаточно

Моментальные снимки оправданы в сценариях, где допустима единая точка отказа в виде исходного тома. Типичные случаи:

• Перед изменениями конфигурации. Обновление драйверов, установка патчей, изменение параметров ядра — если что-то пойдет не так, моментальный снимок позволит откатить изменения за считанные минуты. При этом вы контролируете процесс и понимаете, что альтернативой была бы переустановка системы из дистрибутива.

• В CI/CD-конвейерах тестовых сред. При автоматизированном тестировании допустим возврат к чистому состоянию виртуальной машины после каждого запуска. Утрата набора моментальных снимков тестового стенда не остановит бизнес-процессы.

• Для временных точек синхронизации перед созданием полноценной резервной копии. Например, моментальный снимок файловой системы позволяет сделать непротиворечивую копию данных работающей СУБД, но после завершения резервного копирования он должен быть удален.

Когда необходимо полноценное резервное копирование

Резервное копирование — это процесс создания независимой, территориально или логически изолированной копии данных, пригодной для чтения без обращения к исходному тому. Полноценное резервное копирование требуется в следующих случаях:

• Обеспечение RPO и RTO по требованиям бизнеса. Если допустимая потеря данных составляет минуты, а время восстановления — часы, моментальный снимок не предоставит гарантий. При повреждении оригинального тома восстановление из снимка на новый носитель может занять неприемлемо долгое время, так как требуется последовательное чтение всей цепочки дельт.
• Защита от физических катастроф. Пожар в серверной, затопление, кража оборудования — моментальные снимки разделяют физическую судьбу исходного диска. Резервная копия на внешнем носителе, в удаленном ЦОДе или в защищенном облаке выживет при локальной катастрофе.
• Юридически значимое архивное хранение. Требования к неизменяемости (WORM) и подтверждению целостности данных на временных горизонтах от года могут быть реализованы только через специализированные системы резервного копирования с контрольными суммами и сертифицированными средствами защиты.
• Борьба с вредоносным ПО. Модель резервного копирования предполагает, что целевая система не имеет прямого доступа к хранилищу резервных копий, а сами копии хранятся в формате, исключающем удаление или шифрование через стандартные сетевые протоколы. Моментальный снимок, доступный из той же гостевой ОС или через API гипервизора, может быть уничтожен в процессе атаки вредоносного ПО.

Заключение

Моментальные снимки — это инструмент оперативного восстановления с ограниченным сроком жизни, предназначенный для отката коротких последовательностей изменений в пределах одной системы хранения. Они не обеспечивают изоляции данных, не защищают от компрометации управляющего слоя инфраструктуры и не соответствуют требованиям регуляторов к резервному копированию.

Для российского рынка, где растет ответственность за сохранность данных и внедряются системы импортозамещенного ПО с собственными особенностями реализации моментальных снимков, критически важно выстраивать двухуровневую стратегию:

• Моментальные снимки — для возврата к предыдущему состоянию в интервале часы/сутки.
• Полноценная резервная копия на независимом носителе — как единственное средство восстановления после серьезных сбоев, атак и физического уничтожения оборудования.

Регулярное тестирование восстановления из резервных копий на изолированном стенде является обязательной процедурой верификации, не имеющей альтернативы в инфраструктурах, которые полагаются исключительно на моментальные снимки.