Zasada 3-2-1 oznacza utrzymywanie co najmniej trzech kopii danych, na dwóch różnych rodzajach nośnika lub w odmiennych systemach, przy czym jedna kopia znajduje się poza główną lokalizacją. W nowoczesnym środowisku warto rozszerzyć ją o kopię offline lub niezmienialną oraz regularne testy odtwarzania.
1. Co oznaczają liczby 3-2-1?
- 3 kopie: dane produkcyjne oraz co najmniej dwie dodatkowe kopie,
- 2 różne rozwiązania: np. repozytorium dyskowe i obiektowe albo lokalny backup i taśma,
- 1 kopia poza lokalizacją: inny budynek, centrum danych lub chmura.
W praktyce coraz częściej stosuje się wariant 3-2-1-1-0: dodatkowa kopia offline lub immutable oraz zero błędów potwierdzonych testem.
2. RPO i RTO
RPO określa, ile danych organizacja może utracić, a RTO — jak długo może trwać przywrócenie usługi. Jeżeli księgowość może stracić najwyżej godzinę pracy, backup wykonywany raz na dobę nie spełnia wymagania. Jeżeli serwer ma wrócić w dwie godziny, samo pobranie wielu terabajtów z chmury może być zbyt wolne.
3. Co kopiować?
4. Odporność na ransomware
Konto używane do wykonywania backupu nie powinno być zwykłym administratorem domeny. Repozytorium należy odseparować sieciowo, ograniczyć dostęp i stosować osobne dane uwierzytelniające. Kopia immutable lub offline utrudnia skasowanie punktów przywracania przez atakującego, który przejął środowisko produkcyjne.
5. Retencja i wersje
Krótka retencja może nie wystarczyć, jeżeli problem zostanie wykryty po kilku tygodniach. Warto łączyć częste kopie krótkoterminowe z rzadszymi kopiami miesięcznymi i rocznymi. Zasady retencji powinny uwzględniać potrzeby biznesowe, przepisy, koszt przestrzeni i ryzyko przechowywania danych dłużej niż to konieczne.
6. Monitoring zadań backupu
Powiadomienie o sukcesie nie powinno być jedynym mechanizmem kontroli. Należy alarmować o braku zadania, nietypowo małym rozmiarze kopii, wydłużeniu czasu, błędach repozytorium i kończącej się przestrzeni. Raport powinien trafiać do osoby, która ma obowiązek zareagować.
7. Test odtwarzania
Test powinien obejmować różne poziomy: pojedynczy plik, bazę, całą maszynę wirtualną i — okresowo — pełny scenariusz awarii. Należy mierzyć czas, zapisywać problemy i aktualizować instrukcję. Odtworzenie powinno odbywać się w odizolowanym środowisku, aby nie nadpisać produkcji i nie uruchomić potencjalnie zainfekowanego systemu w sieci.
| Test | Minimalna częstotliwość | Co potwierdza |
|---|---|---|
| Pojedynczy plik | Co miesiąc | Dostępność repozytorium i wersji |
| Baza danych | Co kwartał | Spójność aplikacyjną |
| Maszyna wirtualna | Co kwartał | Uruchomienie systemu i sieci |
| Scenariusz awarii | Co najmniej raz w roku | RTO, procedury i odpowiedzialność |
8. Backup w chmurze
Chmura może być dobrym miejscem na kopię poza lokalizacją, ale trzeba sprawdzić szyfrowanie, retencję, możliwość blokady usunięcia, koszty odczytu i czas pobierania. Synchronizacja plików w usłudze chmurowej nie zawsze jest pełnym backupem, szczególnie gdy usunięcie automatycznie synchronizuje się na wszystkie urządzenia.
9. Dokumentacja
Instrukcja odtworzenia powinna być dostępna również podczas awarii głównych systemów. Musi zawierać dane kontaktowe, kolejność uruchamiania usług, lokalizację kluczy, wymagania sieciowe i decyzję, kto zatwierdza przywrócenie. Kopia instrukcji powinna znajdować się poza środowiskiem produkcyjnym.
Źródła i dalsza lektura
Słownik
Skróty i pojęcia użyte w artykule
Kliknij wybraną nazwę, aby rozwinąć jej znaczenie.
3-2-1
Co najmniej 3 kopie danych, zapisane na 2 różnych rodzajach nośników, z czego 1 kopia znajduje się poza główną lokalizacją.
RPO
Maksymalna akceptowalna utrata danych mierzona czasem od ostatniego poprawnego punktu odtworzenia.
RTO
Maksymalny akceptowalny czas przywrócenia działania usługi po awarii.
NAS
Urządzenie lub serwer udostępniający przestrzeń plikową przez sieć.
SAN
Dedykowana sieć pamięci masowej udostępniająca zasoby blokowe serwerom.
VM
Maszyna wirtualna, której pełny stan może być objęty kopią zapasową lub replikacją.
BCP
Plan utrzymania kluczowych procesów organizacji podczas awarii lub innego zakłócenia.
DR
Proces odtworzenia infrastruktury i usług po poważnej awarii, katastrofie lub cyberataku.
Immutable backup
Kopia zabezpieczona przed zmianą lub usunięciem przez określony czas, także przez konto administratora.
Air gap
Oddzielenie kopii od systemu produkcyjnego w taki sposób, aby atak lub awaria nie objęły obu środowisk jednocześnie.

