Кибер Бэкап от Acronis: возможности и настройка для физических серверов
Пока весь мир увлечённо контейнеризирует микросервисы и разворачивает Kubernetes-кластеры, в серверных комнатах тихо гудят физические серверы. На них крутятся базы 1С, почтовые серверы Exchange, боевые PostgreSQL-инстансы. И бэкапятся они — давайте будем честны — часто при помощи самописного скрипта в cron, который «вроде работает». До первого шифровальщика.
Кибер Бэкап от компании «Киберпротект» (бывшая линейка Acronis) — это система резервного копирования, заточенная под российские реалии: сертификация ФСТЭК, реестр отечественного ПО, поддержка Astra Linux и Альт. Но за вывесками импортозамещения скрывается вполне зрелый инструмент с серьёзной технической начинкой. Давайте разберёмся, что он умеет именно в разрезе физических серверов — и как его настроить, чтобы бэкапы действительно спасали.
Зачем отдельный инструмент для физических серверов
Виртуальные машины бэкапятся на уровне гипервизора — это удобно и быстро. С физическим сервером всё сложнее: нужен агент на самой машине, нужно корректно обработать открытые файлы и базы данных, а при восстановлении — учесть, что целевое железо может отличаться от исходного.
Кибер Бэкап решает эти задачи через несколько механизмов. Агент устанавливается прямо на сервер (Windows или Linux) и работает с дисками на блочном уровне. Технология Changed Block Tracking (CBT) отслеживает изменённые блоки между сеансами копирования — инкрементный бэкап сервера с терабайтами данных укладывается в минуты, а не в часы. Для консистентности данных агент использует VSS (Volume Shadow Copy) на Windows и собственные механизмы на Linux, чтобы снимок базы или почтового сервера был целостным.
Отдельная история — bare-metal restore и восстановление на отличающемся оборудовании (dissimilar hardware). Взяли бэкап со старого Dell PowerEdge, развернули на новый Supermicro — драйверы и загрузчик подтянутся автоматически. Для этого используется загрузочный носитель на базе Linux или WinPE: загружаете сервер с него, подключаетесь к хранилищу бэкапов, выбираете копию — и через 30–40 минут получаете рабочую систему на новом железе. Контроллеры RAID, сетевые карты, чипсет — всё распознаётся и подставляется.
А если нужно мигрировать физический сервер в виртуальную среду (P2V) или наоборот (V2P), Кибер Бэкап делает это через обычное восстановление резервной копии в нужную среду. Сценарий P2V особенно востребован при переезде с устаревшего железа: вместо того чтобы настраивать виртуалку с нуля, вы восстанавливаете бэкап физического сервера прямо в VMware, Proxmox или oVirt. Обратная миграция V2P пригодится, когда виртуалка упёрлась в потолок производительности гипервизора и пора переселять нагрузку на выделенный сервер.
Типы бэкапов и технологии копирования
Система поддерживает три классических типа резервного копирования, и выбор между ними — это баланс между скоростью, объёмом хранилища и временем восстановления.
| Параметр | Полный | Инкрементный | Дифференциальный |
|---|---|---|---|
| Что копирует | Все данные целиком | Изменения с последнего бэкапа (любого типа) | Изменения с последнего полного бэкапа |
| Размер копии | 100% данных | 1–5% от полного (типично) | 10–30% от полного (типично) |
| Скорость создания | Медленно | Быстро (CBT) | Средне |
| Скорость восстановления | Быстро (один файл) | Медленнее (цепочка) | Средне (два файла) |
| Зависимость | Нет | От всей цепочки | Только от полного |
CBT здесь — ключевая технология для физических серверов. Драйвер отслеживает изменённые блоки на уровне тома между сеансами копирования. Когда запускается инкрементный бэкап, агент уже знает, какие именно блоки изменились, и читает только их. На сервере с 4 ТБ данных и 50 ГБ суточных изменений разница между «копировать всё» и «копировать только изменённое» — это 4 часа против 15 минут.
Дополнительно работает дедупликация на узле хранения (сжатие повторяющихся блоков между бэкапами разных серверов) и сжатие данных при передаче. Коэффициент дедупликации для однотипных серверов с Windows может достигать 1:10 — десять серверов с похожей ОС и набором ПО занимают в хранилище место чуть больше одного полного бэкапа.
Защита приложений: не просто файлы
Скопировать файлы базы данных — это не бэкап базы. Если SQL Server в момент копирования пишет транзакцию, вы получите неконсистентный набор файлов, который не восстановится. Кибер Бэкап умеет работать с приложениями «изнутри».
Для MS SQL и Exchange агент использует VSS-провайдеры Microsoft — база замораживается на долю секунды, создаётся консистентный снимок, копирование идёт с него. Для PostgreSQL начиная с версии 18 реализовано многопоточное копирование — несколько потоков параллельно читают данные, что ускоряет бэкап крупных инстансов. Oracle поддерживается через RMAN-интеграцию. MongoDB — через mongodump с консистентным снимком.
Список поддерживаемых приложений этим не ограничивается: CommuniGate Pro, Active Directory, сервисы VK Workspace (Почта и Диск) — агенты умеют работать с каждым из них на гранулярном уровне. Для почтовых серверов это означает восстановление отдельного ящика или даже конкретного письма, для AD — отдельного объекта без отката всей базы ntds.dit.
Pre/Post-скрипты дают возможность автоматизировать кастомную логику: остановить сервис перед бэкапом, сбросить кеш, проверить целостность после. Скрипты выполняются с правами агента, поддерживают любые shell-команды на Linux и PowerShell/bat на Windows. Типичный сценарий — вызвать pg_dump для дополнительной логической копии перед блочным бэкапом или остановить очередь сообщений, чтобы не терять транзакции.
Гранулярное восстановление позволяет достать из бэкапа отдельную таблицу SQL или конкретное письмо из Exchange без восстановления всей базы. Для Exchange и CommuniGate Pro работает поиск по теме, отправителю и дате — не нужно монтировать весь почтовый архив ради одного сообщения.
Антишифровальщик на борту
Шифровальщики — бич последних лет. И атакуют они не только рабочие станции: серверный шифровальщик, попавший на файловый сервер или контроллер домена, способен парализовать компанию за минуты.
В Кибер Бэкап встроен модуль Active Protection — поведенческий анализатор на базе машинного обучения. Он отслеживает паттерны доступа к файлам: массовое переименование, аномальные объёмы записи, обращение к системным областям диска. При обнаружении подозрительной активности процесс блокируется, а повреждённые файлы автоматически восстанавливаются из локального кеша агента. Это не классический антивирус с сигнатурными базами — модуль работает именно по поведению, что позволяет ловить даже свежие, неизвестные штаммы шифровальщиков.
Помимо защиты самих файлов, Active Protection оберегает и резервные копии. Если вредоносный процесс попытается удалить или зашифровать архивы бэкапов на локальном диске, модуль перехватит операцию. Это критично для серверов, где бэкапы временно хранятся на локальных томах перед отправкой на удалённое хранилище.
С версии 18.0 этот модуль работает и на агентах для Linux. Для инфраструктур, построенных на Astra Linux или Альт, это — единственный такой механизм, интегрированный прямо в систему резервного копирования. Учитывая, что количество атак на Linux-серверы в России стабильно растёт (особенно на веб-серверы и СУБД), защита прямо в агенте бэкапа — не роскошь, а необходимость.
Настройка сервера управления
Развёртывание Кибер Бэкап начинается с установки сервера управления. Он ставится на Windows Server (2012 R2 и выше) или Linux (CentOS, Ubuntu, Astra Linux, Альт). Минимальные требования: 4 ядра CPU, 8 ГБ RAM, 100 ГБ дискового пространства. Для инсталляций на 500+ серверов стоит заложить 16 ГБ RAM и быстрые SSD для базы метаданных.
После установки открывается веб-консоль (порт 9877 по умолчанию). Последовательность настройки серверов выглядит так: сервер управления обнаруживает машины в сети по IP-диапазону или через Active Directory, далее агенты разворачиваются удалённо — без ручного обхода серверной. Для Linux-серверов агент ставится из RPM/DEB-пакета или через push-установку из консоли.
Планы защиты (раньше они назывались «планы резервного копирования») создаются в веб-интерфейсе и назначаются на группы машин. Типичный план для физического сервера: полный бэкап раз в неделю, инкрементный — каждый день в 02:00, хранение — 30 дней, целевое хранилище — NAS или выделенный узел хранения. Для серверов с СУБД добавляется отдельный план application-aware бэкапа с транзакционной консистентностью.
С версии 18 появился API управления планами защиты — можно автоматизировать создание и назначение планов через REST-запросы. Это удобно при массовом развёртывании: написали скрипт, прогнали по инвентарю — и все 200 серверов под защитой без единого клика в GUI.
Отдельно стоит упомянуть управление нагрузкой. Агент позволяет ограничить скорость передачи данных по сети, потребление CPU и дискового I/O. Если бэкап идёт в рабочее время (а иногда без этого не обойтись), можно выставить лимит в 50 Мбит/с и 30% CPU — сервер продолжит обслуживать пользователей.
Сертификация и соответствие требованиям
Для государственных организаций, субъектов КИИ и операторов персональных данных сертификация — не бонус, а обязательное условие. Кибер Бэкап (версия 17.3 — актуальная сертифицированная) имеет сертификат ФСТЭК России по 4 уровню доверия.
| Область применения | Допуск |
|---|---|
| КИИ | 1 категория значимости |
| ГИС | 1 класс защищённости |
| АСУ ТП | 1 класс защищённости |
| ИСПДн | 1 уровень защищённости |
| ИС общего пользования | II класс |
Продукт включён в реестр отечественного ПО Минцифры. Журнал аудита фиксирует все действия: кто создал план, кто запустил восстановление, кто изменил настройки. Это не декоративная функция — при проверке регулятором журнал аудита демонстрирует, что процессы резервного копирования контролируются и документируются.
Интеграция с SIEM-системами через syslog позволяет включить события бэкапа в общий контур мониторинга безопасности. Неудачный бэкап, несанкционированный доступ к консоли, изменение плана защиты — все эти события уходят в SIEM и могут триггерить алерты. Шифрование резервных копий — AES-256 как при передаче, так и при хранении. Ролевой доступ с разграничением прав вплоть до отдельных групп серверов: администратор бэкапов не обязан видеть содержимое копий, а оператор восстановления может работать только с назначенными ему машинами.
Интеграция и масштабирование
Кибер Бэкап — не изолированный продукт. Он встраивается в существующую инфраструктуру через десятки интеграций.
Хранилища: NAS по SMB/NFS, SAN по iSCSI/FC, ленточные библиотеки (включая российские от «Мобиус Технологий»), СХД YADRO TATLIN и Аэродиск. LAN-free бэкап через SAN позволяет разгрузить основную сеть — данные идут по выделенному каналу между сервером и хранилищем, минуя LAN. Для организаций, где бэкапы десятков серверов запускаются одновременно в ночном окне, это — разница между «сеть лежит до утра» и «никто ничего не заметил».
Аппаратные снапшоты на YADRO TATLIN.UNIFIED (поддержка с версии 18) ускоряют бэкап виртуальных машин на VMware, перенося нагрузку с хоста на СХД. Ленточные библиотеки тоже не забыты — для долгосрочного архивного хранения лента по-прежнему выигрывает по стоимости за терабайт, а интеграция с Кибер Бэкап позволяет строить многоуровневые схемы: горячие копии на SSD, тёплые на NAS, холодные на ленте.
Платформы: помимо «голого железа» поддерживаются около двух десятков систем виртуализации, включая Proxmox VE (безагентно с версии 18), oVirt, OpenStack, контейнерные среды Kubernetes. Совместимость с Astra Linux, Альт, РЕД ОС, РОСА — всё, что нужно для импортозамещённых инфраструктур. Интеграция с сервисами VK Workspace (Почта и Диск) — для тех, кто мигрировал с Microsoft 365.
Масштабируемость серьёзная: один экземпляр сервера управления в версии 18 держит до 20 000 виртуальных машин или 60 000 почтовых ящиков. Для физических серверов — потолок определяется скорее пропускной способностью сети и объёмом хранилища, чем лимитами самой системы. API управления планами защиты в версии 18 открывает возможности для автоматизации через скрипты и CI/CD-пайплайны.
Физическое железо никуда не уходит
Виртуализация победила во многих сценариях, но физические серверы остаются там, где нужна гарантированная производительность: высоконагруженные СУБД, GPU-вычисления, серверы с прямым доступом к аппаратным контроллерам. Серверы с лицензиями, привязанными к железу. Системы, где виртуализация вносит неприемлемую задержку. Бэкапить их «как-нибудь» — риск, который с каждым новым шифровальщиком становится всё дороже.
Кибер Бэкап закрывает эту задачу системно: блочное копирование с CBT, защита приложений на уровне транзакций, встроенный антишифровальщик, миграция P2V/V2P, сертификация для КИИ. Продукт активно развивается — версия 18 добавила Linux-антишифровальщик, многопоточный PostgreSQL-бэкап, безагентный Proxmox VE и аппаратные снапшоты YADRO. Для российского рынка серверного оборудования и инфраструктуры это — один из немногих инструментов, который закрывает и технические требования, и регуляторные.
А самописный скрипт в cron пусть отдохнёт. Он заслужил.
