Резервное копирование серверов: стратегии и обзор ПО (Veeam, Acronis)
Системы бэкапа — та часть инфраструктуры, о которой вспоминают ровно в тот момент, когда всё уже сломалось. Парадокс: именно резервное копирование стоит между бизнесом и катастрофой, но бюджет на него выбивается с боем. Руководство готово платить за новые фичи, за производительность, за красивые дашборды — а бэкап воспринимается как страховка, которая «наверное, не понадобится». Понадобится. Вопрос — когда. Давайте разберёмся, какие стратегии работают в 2026 году и чем Veeam Backup & Replication отличается от Acronis Cyber Protect, когда дело доходит до реального восстановления.
Правило 3-2-1 и почему его уже недостаточно
Правило 3-2-1 десятилетиями оставалось золотым стандартом: три копии данных, два типа носителей, одна копия за пределами площадки. Просто, понятно, работает. Проблема в том, что шифровальщики тоже научились работать: они ищут сетевые шары, монтированные тома, даже NFS-ресурсы. Классическая off-site копия на NAS в соседней стойке больше не спасает, если ransomware добрался до учётных данных.
Поэтому Veeam продвигает расширенную формулу 3-2-1-1-0: те же три копии на двух носителях с одной off-site, плюс одна копия в air-gapped или immutable-хранилище, и ноль ошибок при автоматической проверке восстановления. Последний «ноль» — пожалуй, самая недооценённая часть. Бэкап, который нельзя восстановить, — это не бэкап, а архив с ложным чувством безопасности.
Факт: По данным Veeam Data Protection Trends 2024, 76% организаций сталкивались хотя бы с одной ransomware-атакой за год. Из них 25% не смогли восстановить данные полностью.
Air-gapped хранилище — физически изолированный носитель, который не подключён к сети до момента записи. Ленточные библиотеки (LTO), вынесенные объектные хранилища с WORM-политикой (Write Once Read Many), отключаемые USB-массивы — вариантов хватает. Суть одна: шифровальщик не зашифрует то, до чего не может дотянуться по сети.
Immutable-снапшоты в объектных хранилищах решают ту же задачу программно. S3 Object Lock позволяет выставить retention period, в течение которого ни один пользователь — включая root — не может удалить или перезаписать объект. Veeam и Acronis поддерживают этот механизм, но реализуют по-разному: Veeam задаёт immutability на уровне scale-out репозитория, Acronis — на уровне плана защиты.
Veeam Backup & Replication v13: Linux-поворот
Veeam долго ассоциировался с Windows-инфраструктурой. Версия 13, вышедшая осенью 2025-го, перевернула эту историю. Ядро системы переехало на Linux-аплайнс — специально подготовленный образ Rocky Linux 9.2 (JeOS, Just enough OS), который Veeam поставляет и обновляет сам. Windows-инсталляция по-прежнему поддерживается, но вектор развития очевиден. Конфигурационная база — PostgreSQL 17.6, MS SQL Server планируется к полному прекращению поддержки в будущих релизах. Для тех, кто годами строил бэкап-инфраструктуру на Windows Server, переход потребует планирования: миграция конфигурации, репозиториев и заданий поддерживается, но тестировать её стоит в лабе до продуктива.
Что изменилось по существу:
-
High Availability бэкап-сервера. Кластер из двух аплайнсов с репликацией конфигурационной базы PostgreSQL 17.6 и failover через keepalived. Если основная нода падает, пассивная подхватывает VIP-адрес и все задания продолжают работать. Для тех, кто когда-либо терял бэкап-сервер в разгар backup window, — это принципиальный шаг.
-
Scale-out репозитории. Возможность объединять локальные хранилища, дедуплицирующие устройства и объектные S3-совместимые хранилища в единый пул. Данные перемещаются между уровнями (performance → capacity → archive) автоматически, по заданным политикам.
-
Нативная поддержка лент. NDMP-бэкап, WORM-ленты, каталогизация медиа — всё из коробки. Для организаций, где лента остаётся обязательным требованием регулятора, это критично.
-
Web UI. Наконец-то полноценный веб-интерфейс вместо старой Windows-консоли.
Резервное копирование linux-серверов в экосистеме Veeam работает через Veeam Agent for Linux, который интегрируется с центральным Backup & Replication сервером. Агент поддерживает инкрементные бэкапы на уровне блоков, шифрование AES-256, бэкап из-под работающей системы с применением снапшотов. Поддерживаются физические серверы, KVM-виртуалки и — что актуально для многих — Proxmox VE. Агент работает с репозиториями Veeam напрямую: можно отправлять данные в Hardened Repository с immutability или в scale-out пул с автоматическим тирингом на S3. Управление агентами — из единой консоли Backup & Replication, что удобно, когда Linux-серверов десятки и они разбросаны по площадкам.
Acronis Cyber Protect: бэкап со встроенным антивирусом
Acronis пошёл другим путём. Вместо того чтобы фокусироваться исключительно на бэкапе, компания объединила в одной платформе резервное копирование, антивирусную защиту, управление патчами, URL-фильтрацию и мониторинг уязвимостей. Идея понятна: меньше агентов на конечной точке — меньше точек отказа и проще управление.
Acronis Cyber Protect поставляется в трёх редакциях:
|
Параметр |
Standard |
Advanced |
Backup Advanced |
|---|---|---|---|
|
Бэкап (полный, инкрементальный, дифференциальный) |
✓ |
✓ |
✓ |
|
Anti-malware / Anti-ransomware |
✓ |
✓ |
— |
|
Управление патчами |
✓ |
✓ |
— |
|
URL-фильтрация |
✓ |
✓ |
— |
|
Дедупликация |
— |
— |
✓ |
|
Поддержка лент |
— |
— |
✓ |
|
Notarization бэкапов (блокчейн) |
— |
✓ |
— |
|
Цена (сервер/год, ≈) |
от 7100 |
от 10700 |
от 9000 |
Для малого и среднего бизнеса, где нет выделенного ИБ-отдела, подход Acronis экономит время и деньги: один агент, одна консоль, один вендор. Для enterprise-сред с тысячами хостов — вопрос уже не такой однозначный. Anti-malware движок Acronis работает на базе сигнатурного анализа и поведенческих эвристик с элементами ML, но по глубине детекта специализированные EDR-решения (CrowdStrike, SentinelOne) его превосходят. Зато Acronis закрывает «гигиенический минимум» без дополнительных лицензий: защита от шифровальщиков, сканирование бэкапов на malware перед восстановлением (safe recovery), мониторинг HDD/SSD по S.M.A.R.T.
Резервное копирование linux в Acronis работает через агент, который ставится на сервер и управляется централизованно. Поддерживается image-level и file-level бэкап, bare-metal restore на отличающееся оборудование (dissimilar hardware). С 2025 года добавлена поддержка Proxmox VE 8.2+ и 9.0 — безагентный бэкап виртуальных машин и LXC-контейнеров.
Veeam vs. Acronis: прямое сравнение
Вот сводка того, что различает оба продукта, когда разговор переходит от маркетинговых презентаций к реальной инфраструктуре.
|
Критерий |
Veeam B&R v13 |
Acronis Cyber Protect |
|---|---|---|
|
Архитектура бэкап-сервера |
Linux-аплайнс (Rocky 9.2) или Windows |
Windows / Linux агенты, облачная консоль |
|
HA бэкап-сервера |
Active-passive кластер с PostgreSQL-репликацией |
Нет нативного HA — зависит от внешней кластеризации |
|
Scale-out репозитории |
Да, многоуровневые (performance / capacity / archive) |
Нет единого scale-out пула |
|
Нативная работа с лентами |
Полная (NDMP, WORM, каталог медиа) |
Ограниченная (file-level recovery с лент) |
|
Шифрование |
AES-256 (в транзите и at rest) |
AES-256 |
|
Anti-malware / EDR в составе |
Нет (интегрируется с внешними решениями) |
Да, встроенный |
|
Управление патчами |
Нет |
Да |
|
Instant VM Recovery |
Да (запуск ВМ прямо из бэкапа) |
Нет аналога — только полное восстановление |
|
Лицензирование |
Per-socket (VUL) или per-workload |
Per-workload или per-GB |
Совет: Перед покупкой запросите у обоих вендоров trial-лицензию и протестируйте восстановление на реальных данных. TCO бэкап-решения — это не стоимость лицензии, а время восстановления.
Veeam выигрывает в глубине интеграции с виртуализацией, масштабируемости хранилищ и скорости восстановления (Instant VM Recovery запускает виртуальную машину прямо из бэкапа за секунды). Acronis берёт комплексностью: если Вам нужен и бэкап, и антивирус, и patch management в одной консоли — дублировать лицензии не придётся. Есть и третий сценарий: Veeam для виртуализированных нагрузок и критичных баз данных, Acronis — для рабочих станций и филиальных серверов, где ценна встроенная защита от угроз. Гибридные конфигурации встречаются чаще, чем хотелось бы вендорам.
Disaster recovery: RPO, RTO и что за ними стоит
Disaster recovery — не просто красивая аббревиатура для презентации руководству. Это конкретные цифры: RPO (Recovery Point Objective) — сколько данных Вы готовы потерять, и RTO (Recovery Time Objective) — за какое время инфраструктура должна подняться. Если RPO = 1 час, а бэкап делается раз в сутки — арифметика не сходится. Если RTO = 15 минут, а восстановление из бэкапа занимает три часа — disaster recovery план существует только на бумаге.
Veeam подходит к DR через Instant VM Recovery и реплики. Реплика — это горячая копия виртуальной машины на резервном хосте, которая обновляется с заданным интервалом. При аварии реплика запускается за считанные минуты. Для критичных сервисов, где RPO должен измеряться минутами, а не часами — это рабочий вариант. Плюс SureBackup: автоматическое тестирование каждого бэкапа в изолированной песочнице. Если ВМ не загрузилась, сервис не ответил на healthcheck — придёт уведомление. Тот «ноль ошибок» из правила 3-2-1-1-0.
Acronis Disaster Recovery Service предлагает другую модель: восстановление в облако. Физический сервер, виртуалка, рабочая станция — всё реплицируется в облако Acronis или подключённое S3-хранилище. При аварии рабочие нагрузки поднимаются в облаке, а после восстановления площадки — возвращаются обратно (failback). Этот подход не требует дублирующего «железа» на резервной площадке, что для компаний без второго ЦОД — принципиальное преимущество. RTO настраивается под каждую рабочую нагрузку индивидуально: критичная ERP может подняться за минуты, файловый сервер — за часы. С 2025 года добавлены автоматические еженедельные тесты failover (раньше только ежемесячные), что закрывает вопрос верификации DR-плана. Результаты тестов попадают в executive-отчёты — полезно для аудита и комплаенса.
Интеграция с S3 и объектными хранилищами
Объектные хранилища стали стандартом для долгосрочного хранения бэкапов. Стоимость за гигабайт в разы ниже блочного хранения, а совместимость с S3 API делает решение вендоронезависимым.
Veeam работает с S3-совместимыми хранилищами как с capacity-уровнем в scale-out репозитории. Данные дедуплицируются, шифруются AES-256 и отправляются в объектное хранилище с поддержкой immutability (object lock). Поддерживаются AWS S3, MinIO, Backblaze B2, Wasabi и десятки других провайдеров. Архивный уровень позволяет перемещать «холодные» данные в Glacier или аналоги. Экономика простая: если терабайт на SAN стоит условные $300/мес, то на S3-совместимом хранилище — $5–20/мес. Разница в десятки раз делает хранение годовых и архивных бэкапов экономически оправданным.
Acronis поддерживает отправку бэкапов в собственное облако, а также в IONOS Cloud (S3), AWS S3 и другие совместимые хранилища. Дедупликация доступна только в редакции Backup Advanced — для Standard и Advanced редакций данные уходят в хранилище «как есть», что увеличивает объём. Для MSP-провайдеров, которые управляют бэкапами клиентов, Acronis Cyber Protect Cloud предлагает мультитенантную консоль с гибким биллингом — per-workload или per-GB. С недавних пор для бэкапов Microsoft 365 предоставляется неограниченное хранилище по подписке.
Практические рекомендации
Бэкап без тестирования восстановления — иллюзия безопасности. Эту фразу стоит распечатать и повесить в серверной. Независимо от того, выбираете Вы Veeam, Acronis или комбинацию из rsync, tar и cron-скриптов — несколько принципов остаются неизменными.
Шифруйте бэкапы и в транзите, и на хранении. AES-256 поддерживают оба решения, и нет причин этого не использовать. Если бэкап-носитель украдут или скомпрометируют — данные останутся нечитаемыми.
Мониторьте задания. Неудавшийся бэкап, о котором никто не узнал — хуже, чем отсутствие бэкапа, потому что создаёт ложную уверенность. Настройте алерты: email, Telegram-бот, webhook в систему мониторинга — что угодно, лишь бы уведомление дошло до ответственного лица.
Тестируйте восстановление регулярно. Не раз в год по регламенту, а ежемесячно. Veeam SureBackup и еженедельные DR-тесты Acronis автоматизируют этот процесс, но если бюджет не позволяет — ручной тест одного сервера раз в месяц уже лучше, чем ничего.
Разделяйте учётные записи. Аккаунт, под которым работает бэкап-агент, не должен совпадать с доменным админом. Если ransomware получит доменные креды — он не должен дотянуться до бэкап-инфраструктуры. Veeam Hardened Repository, который поставляется как отдельный ISO на базе Rocky Linux, реализует эту изоляцию на уровне ОС с одноразовыми учётными данными.
Документируйте процедуры восстановления. Runbook — пошаговая инструкция, кто, что и в каком порядке восстанавливает — должен существовать в письменном виде и храниться отдельно от инфраструктуры, которую он описывает. В идеале — в распечатанном виде в сейфе. Звучит параноидально, но когда зашифрован и Confluence, и почта, и файловый сервер — бумажный runbook становится единственным источником правды.
Не забывайте про классику. Veeam и Acronis — мощные инструменты, но для ряда задач хватает встроенных средств Linux. Связка rsync + cron для инкрементального копирования конфигов, tar + gpg для шифрованных архивов, dd для полных образов дисков — всё это по-прежнему работает. Преимущество коммерческих систем — централизованное управление, мониторинг, дедупликация и гарантированное восстановление. Но если у Вас три сервера и ограниченный бюджет — грамотно настроенный rsync с отправкой на удалённый хост по SSH закроет базовые потребности.
Какой бы путь Вы ни выбрали — Veeam с его глубокой виртуализационной интеграцией, Acronis с комплексным подходом к защите, или гибридную схему — главный вопрос не «какой софт купить», а «проверяли ли Вы восстановление на этой неделе». Софт — инструмент. А инструмент работает ровно настолько хорошо, насколько хорошо выстроен процесс вокруг него. И да — если Ваш последний тест восстановления был «где-то в прошлом квартале», возможно, стоит открыть консоль прямо сейчас. До того, как телефон завибрирует в три часа ночи.
