Luokitellut sotilaalliset pilviworkloadit eivät ole abstrakteja resursseja. Ne pyörittävät maalitusjärjestelmiä, viestintäinfrastruktuuria ja tiedustelufuusiokerroksia, jotka määrittävät, kykeneekö joukko ylläpitämään tilannetietoisuutta tulitaistelussa. Kun nämä workloadit kaatuvat — ja laitteet hajoavat, tilat menettävät sähkön ja vastustajat luotaavat jokaista tavoitettavissa olevaa pintaa — organisaatio tarvitsee testatun ja toteutettavissa olevan palautussuunnitelman, joka palauttaa ne missiolle siedettävässä ajassa. Luokiteltujen järjestelmien varmuuskopiointi ja katastrofipalautus ei ole pienennetty versio kaupallisesta DR:stä; se on erillinen insinööritekninen ala, jota muokkaavat akkreditointivaatimukset, kryptografiset avainriippuvuudet ja operatiivinen todellisuus siitä, että nopeinta palautusta eniten tarvitsevat järjestelmät ovat vaikeimpia palauttaa paineen alla.
Tässä artikkelissa tarkastellaan luokiteltujen pilviworkloadien koko palautuspinoa: kuinka johtaa RTO- ja RPO-tavoitteet mission kriittisyystasolta, kuinka suunnitella varmuuskopiointiarkkitehtuuri, joka täyttää luokitusraja-vaatimukset, kuinka hallita salausavaimia niin, että ne selviytyvät ensisijaisen toimipisteen vikaantumisesta, kuinka varmuuskopioida tietokantoja ja Kubernetes-klustereita, kuinka testata palautusta ympäristöissä, jotka rajoittavat fyysistä pääsyä, ja kuinka palauttaa kryptografinen jatkuvuus kun järjestelmät on palautettu. Käsittely on teknistä ja operatiivista — tämän alan päätökset kuuluvat yhteistyössä toimiville platform-insinööreille, tietoturvavastaaville (ISSO) ja ohjelma-arkkitehdeille.
RTO- ja RPO-vaatimukset sotilaallisille C2- ja ISR-järjestelmille
Recovery Time Objective (RTO) ja Recovery Point Objective (RPO) eivät ole kaupallisesta mallista tuotuja IT-palvelutasosopimuksia. Luokitelluissa puolustusjärjestelmissä ne johdetaan operatiivisesta temposta — rytmistä, jolla komentajat tarvitsevat ajantasaista dataa päätöksentekoa varten — ja mission kriittisyydestä, joka määrittää, kuinka kauan kyvykkyys voi olla poissa käytöstä ennen kuin missio heikkenee hyväksymättömälle tasolle.
Käytännöllinen kriittisyyskehys jakaa järjestelmät kolmeen tasoon:
- Taso 1 — Missionkriittiset C2- ja reaaliaikaiset ISR-järjestelmät. Komento- ja johtamisalustat, reaaliaikainen sensorifuusio ja aktiiviset maalitusjärjestelmät. RTO: alle neljä tuntia. RPO: alle 15 minuuttia. C2-järjestelmä, joka on poissa käytöstä yli neljä tuntia aktiivisen operaation aikana, heikentää komentajan kykyä antaa, seurata ja tarkistaa käskyjä. RPO yli 15 minuuttia tarkoittaa mahdollista viimeaikaisen maaliutus- tai tilannetiedon menetystä, jota ei voida rekonstruoida.
- Taso 2 — ISR-analyysi- ja mission tukijärjestelmät. Tiedusteluanalyysiasemat, viestinnän tallennus ja logistiikanhallinta. RTO: 8–24 tuntia. RPO: yksi–neljä tuntia. Nämä järjestelmät tukevat mission suunnittelua ja arviointia reaaliaikaisen toteutuksen sijaan; niiden puuttuminen heikentää tehokkuutta, mutta ei välittömästi pysäytä operaatioita.
- Taso 3 — Hallinnolliset ja arkistointijärjestelmät. Henkilöstöjärjestelmät, arkistotallennus ja hallinnolliset sovellukset. RTO: 48–72 tuntia. RPO: 24 tuntia. Pitkäkestoinen poissaolo on operatiivisesti siedettävää; enintään yhden työpäivän datan menetys on hyväksyttävää.
Tasomäärittelyn kriittinen suunnitteluimplikaatio on, että Tason 1 RTO-tavoitteet — alle neljän tunnin palautus — ovat saavutettavissa vain hot- tai warm-standby-arkkitehtuureilla. Kylmä varmuuskopiointi (nauha- tai levyvarmuuskopiointi ilman käynnissä olevaa standbya) tuo mukanaan palautusvaiheita, joita ei yhdessä voida suorittaa neljässä tunnissa: median nouto, infrastruktuurin provisiointi, käyttöjärjestelmän palautus, sovelluskerroksen palautus, tietoturvavalvonnan varmistus ja ISSO:n hyväksyntä. Ohjelma, joka uskoo saavuttavansa neljän tunnin RTO:n pelkällä kylmällä varmuuskopioinnilla, ei ole mallintanut todellista palautusproseduuriaan.
RTO-budjetti on jaettava vaiheisiin ja laskettava yhteen ennen kuin se hyväksytään tavoitteeksi:
| Palautusvaihe | Hot standby | Warm standby | Kylmä varmuuskopiointi |
|---|---|---|---|
| Failover-päätös ja valtuutus | 5–15 min | 15–30 min | 30–60 min |
| Median nouto / avainpalautus | N/A (live-replikaatio) | 15–30 min | 60–180 min |
| Infrastruktuurin ja käyttöjärjestelmän palautus | 0–15 min | 30–60 min | 60–120 min |
| Sovellusten ja datan palautus | 0–5 min | 20–60 min | 60–240 min |
| Tietoturvavalvonnan varmistus + ISSO:n hyväksyntä | 30–60 min | 60–90 min | 60–120 min |
Tietoturvavalvonnan varmistusvaihe — luokitusmerkintöjen, tarkastuslokin, pääsynhallintakontrollien ja kryptografisten sidosten toimivuuden vahvistaminen palautetussa järjestelmässä — jätetään usein pois kaupallisista RTO-malleista. Luokitelluille järjestelmille se on pakollinen ennen toimintaan paluuta. Tarkka RTO-tavoite ottaa sen huomioon.
Varmuuskopiointiarkkitehtuuri luokitelluille workloadeille
Luokiteltujen workloadien varmuuskopiointiarkkitehtuuri lähtee kahdesta ehdottomasta vaatimuksesta: luokitusrajan eristämisestä ja akkreditoinnin jatkuvuudesta. Jokainen luokitusenklaavi vaatii fyysisesti erillistä varmuuskopiointiinfrastruktuuria — erilliset tallennusnoodit, erillinen media, erilliset varmuuskopiointiohjelmistoinstanssit, jos ohjelmisto käyttää yhteistä hallintatasoa. Konsolidoitu varmuuskopiointiinfrastruktuuri, joka kattaa useita enklaaveja, on vaatimustenmukaisuusrikkomus riippumatta siitä, onko varmuuskopiointidata salattu, koska yhteinen hallintaso luo potentiaalisen piilokanavan ja laajentaa hyökkäyspintaa.
Akkreditoinnin jatkuvuus tarkoittaa, että palautusympäristöllä — infrastruktuurilla, johon luokiteltu data palautetaan katastrofin aikana — on oltava voimassa oleva käyttövaltuutus (ATO) ennen katastrofia, ei vasta sen jälkeen. Yleisin luokiteltu DR-epäonnistuminen jälkitarkasteluissa ei ole puuttuva varmuuskopio; se on varmuuskopio, joka on olemassa mutta jota ei laillisesti voida palauttaa vaaditussa ajassa, koska palautusympäristön ATO on vanhentunut.
Muuttumaton varmuuskopiointivarasto on pakollinen kontrolli luokitelluille Tason 1 ja Tason 2 workloadeille. Muuttumattomuus — joka on toteutettu laitteisto- tai laiteohjelmistotasolla kirjoituskerran median tai compliance-tilassa olevan object lockin avulla — varmistaa, ettei kiristyshaittaohjelmatoimija tai haitallinen sisäpiiriläinen, joka murtaa varmuuskopiointiinfrastruktuurin, voi poistaa tai muuttaa varmuuskopiojoukkoja. Ohjelmistopohjainen WORM, jonka riittävän etuoikeutettu tili voi ohittaa, ei täytä tätä vaatimusta. Paikallisille luokitelluille tallennusratkaisuille laitteistopohjainen WORM-nauha (LTO WORM-kaseteilla) tai laiteohjelmistotason muuttumattomuudella varustettu levylaite on asianmukainen valinta. Suvereenille luokitellulle pilviympäristölle compliance-tilassa oleva S3-yhteensopiva object lock tarjoaa vastaavan suojan.
Kolmikerroksinen arkkitehtuuri täyttää koko palautusskenaarioden kirjon:
- Kerros 1 — Paikallinen muuttumaton varmuuskopiointi. Jatkuva tai tuntivälein tapahtuva inkrementaalinen varmuuskopiointi paikalliseen WORM-tallennukseen akkreditoidun toimipisteen sisällä. Suojaa operatiivisilta virheiltä: vahingossa tapahtuva poisto, tietokantakorruptio, kiristyshaittaohjelmat. Nopein palautuspolku ei-katastrofaalisiin vikaantumisiin.
- Kerros 2 — Synkroninen replikaatio warm standbyhyn. Tason 1 järjestelmille tietokantatransaktiolokit ja kriittinen tila replikoidaan toissijaiseen noodiin samassa tai rinnakkaisessa akkreditoidussa toimipisteessä. Tämä kerros tukee alle neljän tunnin RTO:ta. Replikaatio pysyy akkreditointirajan sisällä — toissijainen noodi on osa samaa akkreditoitua ympäristöä.
- Kerros 3 — Ajoittainen offsite-kopio DR-toimipisteeseen. Viikoittain tai kuukausittain salatut varmuuskopiokopiot siirretään fyysisesti erilliseen akkreditoituun toimipisteeseen. Tämä kerros suojaa katastrofaaliselta ensisijaisen toimipisteen menetykseltä. Taktisessa reunapilvessä katkonaisten operaatioiden aikana siirto on fyysinen — salattu media kuljetetaan valtuutetun kuriirin toimesta — ja kuriirin kauttakulkuaika on sisällytettävä sen DR-skenaarion RTO-laskelmaan, jota se kattaa.
Air-gapped-DR-toimipisteet tuovat mukanaan erityisen suunnitteluhaasteen: offsite-kopio on aina jäljessä ensisijaisesta fyysisten siirtojen välisellä ajanjaksolla. Ohjelma, joka siirtää varmuuskopiomediaa DR-toimipisteeseen viikoittain, hyväksyy jopa seitsemän päivän mahdollisen datan menetysikkunan skenaariolle, jossa ensisijainen toimipiste tuhoutuu. Tämä aukko on dokumentoitava, mission viranomaisen hyväksyttävä ja heijastettava järjestelmän valmiussuunnitelmaan — sitä ei voida piilottaa arkkitehtuuriin.
Varmuuskopiointidatan salaaminen: avainten hallinta palautukseen asti
Jokainen luokiteltujen workloadien varmuuskopiointijoukko on salattava levossa AES-256:lla (tai järjestelmän luokitustasoon hyväksytyllä kansallisella vastaavalla). Vaikeampi ongelma ei ole itse salaus — se on sen varmistaminen, että salauksen purkuavaimet selviytyvät ensisijaisen toimipisteen vikaantumisesta ja ovat käytettävissä DR-toimipisteessä palautusaikabudjetin puitteissa.
Suositeltu avainten hierarkia luokitellulle varmuuskopiointisalaukselle on kolmitasoinen:
- Avainten salausavain (KEK). Master-avain, jota säilytetään laitteistoturvamoduulissa (HSM) akkreditoidun toimipisteen sisällä. KEK ei koskaan poistu HSM:stä selkokielisenä. KEK:n käyttö vaatii monen osapuolen valtuutuksen — vähintään kahden valtuutetun henkilön erilliset HSM-todennustunnistetiedot (m-of-n-kvorumikaava, tyypillisesti 2-of-3 tai 3-of-5).
- Datansalausavain (DEK). Ainutlaatuinen AES-256-avain, joka luodaan jokaista varmuuskopiointityötä varten. DEK salaa varmuuskopiointidatan. Kun varmuuskopiointityö valmistuu, DEK salataan (kääritään) KEK:llä HSM:n sisällä ja kääritty DEK tallennetaan varmuuskopiointimetatietojen rinnalle. Selkokielinen DEK ei koskaan kirjoiteta levylle.
- Avainten escrow DR-toimipisteessä. KEK synkronoidaan toissijaiseen HSM:ään DR-toimipisteessä joko jatkuvan HSM-klusteririn replikaation tai ajoittaisen avainten varmuuskopiointimenettelyn kautta. Toissijainen HSM säilyttää KEK:ä yhtä turvallisessa ympäristössä ja luovuttaa sen valtuutetuille palautusoperaattoreille julistetun katastrofin aikana, mahdollistaen paikallisen DEK:n avaamisen ja varmuuskopiointidatan purkamisen.
Escrow-synkronoinnin taajuus määrittää DR-toimipisteen KEK:n enimmäisvanhuuden. Kiertäville KEK:eille (vuotuinen tai tiheämpi kierrätys) escrow-päivityksen on tapahduttava yhden kiertojakson sisällä. Escrow-menettelytapa — mukaan lukien DR-toimipisteen HSM:n vaatimat todennus- ja valtuutusvaiheet päivitetyn avaimen hyväksymiseksi — on dokumentoitava, ja dokumentaatio on säilytettävä DR-toimipisteessä (ei vain ensisijaisessa toimipisteessä).
Syvempää kontekstia HSM-valinnasta ja postkvanttiavaintenhallinnan HSM-arkkitehtuureista, jotka tarjoavat pitkäaikaisen suojan kvanttitietokonepohjaisille hyökkäyksille tallennetulle salakirjoitustekstille, löytyy linkitetystä käsittelystä. Yllä oleva avainten hierarkia on yhteensopiva postkvantti-KEK-algoritmien kanssa (CRYSTALS-Kyber tai ML-KEM CNSA 2.0 -tasoilla) muuttamatta kerroksien rakenteellisia suhteita.
DR-käsikirjaa, jota ei ole harjoiteltu kokonaisuudessaan alusta loppuun — mukaan lukien DR-toimipisteen HSM-todennus ja DEK:n avaaminen — ei ole validoitu sen haavoittuvimman vaiheen osalta. Avainten palautus on harjoiteltava nimettynä vaiheena jokaisessa täysimittaisessa palautusharjoituksessa, eikä sitä voida jättää oletetuksi kyvykkyydeksi.
Tietokantavarmuuskopiointistrategiat operatiivisille C2-järjestelmille
Operatiiviset C2-järjestelmät tallentavat yleensä tilansa relaatiotietokantoihin: PostgreSQL on hallitseva avoimen lähdekoodin valinta akkreditoituihin puolustuspilviympäristöihin. Standardi kaupallinen varmuuskopiointi "päivittäinen täysi dump plus yöllinen differentiaalivarmistus" ei täytä Tason 1 järjestelmien RPO-vaatimuksia — 15 minuutin RPO vaatii jatkuvan varmuuskopiointimekanismin, joka tallentaa jokaisen sitoutetun transaktion.
PostgreSQL:n Write-Ahead Log (WAL) tarjoaa tämän mekanismin. Jokainen sitoutettu tietokantamuutos kirjoitetaan WAL-segmenttiin ennen kuin se sovelletaan datatiedostoihin. Arkistoimalla WAL-segmentit jatkuvasti akkreditoituun varmuuskopiointivarastoon heti niiden kirjoittamisen jälkeen kertyy täydellinen muutosloki, joka voidaan toistaa eteenpäin mistä tahansa perusvarmuuskopiosta mihin tahansa ajankohtaan asti — aina viimeiseen arkistoituun segmenttiin ennen vikaantumista. Tätä kutsutaan Point-in-Time Recovery (PITR) -menetelmäksi.
Konfiguraatio postgresql.conf-tiedostossa jatkuvaa WAL-arkistointia ja salausta varten:
wal_level = replica
archive_mode = on
archive_command = '/opt/backup/encrypt-wal.sh %p %f'
archive_timeout = 60 # force segment switch every 60 seconds maximum
restore_command = '/opt/backup/decrypt-wal.sh %f %p'
recovery_target_time = '2026-06-25 14:30:00 UTC' # set in recovery.conf
Skriptin encrypt-wal.sh tulee salata WAL-segmentti HSM-pohjaisella DEK:llä ennen kirjoittamista arkistointipaikkaan. archive_timeout-arvo 60 sekuntia varmistaa, että jopa matalakuormituksen aikana WAL-segmentit arkistoidaan vähintään kerran minuutissa, rajoittaen RPO:n noin yhteen minuuttiin normaaleissa olosuhteissa.
C2-järjestelmille, jotka koostuvat useista mikropavleuista, jotka jakavat hajautettua tilaa — yleinen kaava, jossa maalitusdata virtaa sensori-fuusiopalvelun, päätöstukipalvelun ja viestintäyhdyskäytävän välillä — varmuuskopiointijohdonmukaisuus vaatii, että kaikkien palveluiden tietokantojen tilannekuvat otetaan samassa loogisessa ajankohdassa. Varmuuskopiointijoukko, jossa maalituspäivitys on tulikontrollin tietokannassa mutta ei vielä ISR-fuusion tietokannassa, tuottaa loogisesti epäjohdonmukaisen palautustilan. Johdonmukaiset tilannekuvat mikropalveluiden välillä saavutetaan seuraavilla tavoilla:
- Hajautettu tilannekuvien koordinaattori, joka lähettää hiljentämissignaalin kaikille palveluille, odottaa lennossa olevien transaktioiden tyhjenemistä, laukaisee tilannekuvat kaikissa tietokannoissa samanaikaisesti ja vapauttaa hiljentämisen.
- Varmuuskopiointia edeltävät koukut konttiorkestraattorissa, jotka kutsuvat jokaisen palvelun hiljentämis-APIa ennen volyymitilannekuvan laukaisemista.
- Järjestysnumero tai globaali transaktiotunniste, joka leimataan jokaiseen tilannekuvajoukkoon, mikä mahdollistaa palautusmenettelyjen varmistamisen, että kaikilla palautusjoukkon komponenteilla on sama looginen aikaleima ennen palautukseen sitoutumista.
Kubernetes-workloadien varmuuskopiointi
Velero on standardi avoimen lähdekoodin työkalu Kubernetes-workloadien varmuuskopiointiin sekä kaupallisissa että puolustuskonteksteissa. Luokitellussa air-gapped-klusterissa Veleroon käyttöönotto vaatii erityisiä mukautuksia: kaikkien Veleron kontainerikuvien, lisäosakuvien (erityisesti CSI-lisäosa ja mahdolliset object storage -tarjoajaliitin) ja Velero CLI -binaarin on oltava esivaiheistettuna klusterin paikallisessa kuvajärjestelmässä ennen katastrofia, koska klusteri ei voi noutaa kuvia ulkoisista rekistereistä palautuksen aikana.
Velero varmuuskopioi Kubernetes API -objektit — Deploymentit, DaemonSetit, Servicet, ConfigMapit, Secretit, PersistentVolumeClaimsit, NetworkPolicyt, RBAC-objektit ja mukautetut resurssit — ja laukaisee CSI-volyymitilannekuvat pysyvälle datalle. Velero-varmuuskopiointiaikataulu luokitellulle klusterille:
apiVersion: velero.io/v1
kind: Schedule
metadata:
name: classified-cluster-hourly
namespace: velero
spec:
schedule: "0 * * * *" # every hour
template:
storageLocation: classified-backup-location
volumeSnapshotLocations:
- classified-csi-snapshots
includedNamespaces:
- c2-platform
- isr-fusion
- comms-gateway
hooks:
resources:
- name: db-quiesce
includedNamespaces:
- c2-platform
labelSelector:
matchLabels:
app: postgres
pre:
- exec:
command:
- /bin/sh
- -c
- psql -c "SELECT pg_start_backup('velero', true);"
timeout: 60s
post:
- exec:
command:
- /bin/sh
- -c
- psql -c "SELECT pg_stop_backup();"
timeout: 60s
ttl: 720h # 30-day retention
Mitä Velero ei varmuuskopioi: etcd-tilaa (Velero lukee API-palvelimelta, ei suoraan etcd:stä), noditason käyttöjärjestelmäkonfiguraatiota, control plane -binaareja eikä dataa, joka on kirjoitettu nodin paikalliseen tallennukseen pysyvien volyymien ulkopuolelle. etcd on varmuuskopioitava erikseen. Kolmen noodin control planelle suoritetaan seuraavat komennot jokaisella control plane -noodilla ja salataan tulos:
ETCDCTL_API=3 etcdctl snapshot save \
/tmp/etcd-snapshot-$(date +%Y%m%d-%H%M%S).db \
--endpoints=https://127.0.0.1:2379 \
--cacert=/etc/kubernetes/pki/etcd/ca.crt \
--cert=/etc/kubernetes/pki/etcd/server.crt \
--key=/etc/kubernetes/pki/etcd/server.key
# Encrypt snapshot before archiving
gpg --symmetric --cipher-algo AES256 \
--batch --passphrase-file /etc/backup/etcd-key.txt \
/tmp/etcd-snapshot-*.db
# Verify snapshot integrity
etcdctl snapshot status /tmp/etcd-snapshot-*.db
etcd-tilannekuvat olisi ajastettava tunneittain kaikille control plane -nooddille, ja salatut tilannekuvat kirjoitettava samaan akkreditoituun varmuuskopiointivarastoon, jota käytetään Veleron varmuuskopioihin. Täydellinen Kubernetes DR -strategia vaatii sekä Veleron (workload-kerroksen tilaa varten) että etcd-tilannekuvia (klusteri-kerroksen tilaa varten). Pelkästään toisen palauttaminen tuottaa palautumattoman klusterin — etcd:ssä olevien API-objektien ja volyymeissa olevan pysyvän datan on oltava keskenään johdonmukaisia.
PersistentVolumeClaimien tilannekuvastrategiat riippuvat käytetystä storage class:sta. CSI-pohjaisille tallennusratkaisuille luokitelluissa ympäristöissä tallennusohjain on toteutettava CSI snapshot -rajapinnalla ja tilannekuvat on tallennettava akkreditoituun varastoon. NFS:lle tai vanhoille tallennusratkaisuille, jotka eivät tue CSI-tilannekuvia, Veleron tiedostojärjestelmäpohjaisessa varmuuskopiointitilassa (Kopia-pohjainen) voidaan varmuuskopioida PVC-data kopioimalla tiedostoja suoraan liitetyistä volyymeista — hitaampaa kuin CSI-tilannekuvat, mutta sovellettavissa mihin tahansa tallennustyyppiin.
Palautuksen testaus luokitelluissa ympäristöissä
Palautuksen testaus luokitelluissa ympäristöissä on rajoittuneempaa kuin kaupallisissa ympäristöissä: et voi käynnistää mielivaltaista julkista pilviympäristöä palautuskohteeksi, et voi testata tuotantodatalla akkreditointirajan ulkopuolella eikä voi suorittaa palautusharjoituksia operatiivisten tuntien aikana ilman ennakkolupaa ja testattua peruutussuunnitelmaa.
DR-harjoitusaikataulu luokitellulle ohjelmalle olisi noudatettava kolmitasoista tahtia:
- Pöytäharjoitus — neljännesvuosittain. Palautustiimi käy läpi käsikirjan suullisesti, tunnistaen epäselvät vaiheet, miehittämättömät roolit tai dokumentoimattomat riippuvuudet. Järjestelmiin ei kosketa. Tulos: päivitetty käsikirja ja lista korjattavista puutteista.
- Toiminnallinen harjoitus — puolivuosittain. Osa palautusmenettelystä suoritetaan live-ympäristössä: esimerkiksi palautetaan yksittäinen tietokanta varmuuskopiosta ja varmistetaan datan eheys, tai palautetaan Velero-varmuuskopio yhdestä nimiavaruudesta ja vahvistetaan sovelluksen käynnistyminen. Osittainen kattavuus alhaisemmalla kustannuksella ja riskillä kuin täysimittainen harjoitus.
- Täysimittainen palautusharjoitus — vuosittain minimissään, puolivuosittain Tasolla 1. Täydellinen päästä päähän -palautus varmuuskopiosta karanteenoiduun palautusympäristöön. Kaikki palautusvaiheet suoritetaan, mukaan lukien avainten palautus, tietoturvavalvonnan varmistus ja ISSO:n hyväksyntä. Todelliset RTO ja RPO mitataan ja verrataan tavoitteisiin.
Datan eheyden varmistus palautuksen jälkeen vaatii enemmän kuin tietokannan käynnistymisen vahvistamisen. Relaatiotietokannoille eheyden varmistus sisältää:
# PostgreSQL post-restore integrity checks
# 1. Verify row counts match expected values from pre-backup audit log
psql -c "SELECT schemaname, tablename, n_live_tup
FROM pg_stat_user_tables ORDER BY schemaname, tablename;"
# 2. Check for constraint violations after restore
psql -c "SELECT conname, conrelid::regclass
FROM pg_constraint WHERE NOT convalidated;"
# 3. Verify WAL replay reached the target recovery time
psql -c "SELECT pg_last_xact_replay_timestamp();"
# 4. Run application-layer health check
curl -sf https://c2-platform.internal/health/deep | jq '.checks'
RTO:n mittausmenetelmän on oltava tarkka: kello käynnistyy, kun katastrofi on virallisesti julistettu (ei silloin, kun vika ensin havaitaan — tapahtuman havaitseminen ja julistaminen voi kestää 15–30 minuuttia, joka on vähennettävä jäljellä olevasta budjetista). Kello pysähtyy, kun ISSO virallisesti hyväksyy palautetun järjestelmän valmiuden luokiteltuun toimintaan — ei silloin, kun sovellus palauttaa ensimmäisen onnistuneen terveystarkistuksen. Näiden kahden tulkinnan välinen ero voi olla 60–90 minuuttia, mikä voi ratkaista, täyttääkö ohjelma sopimusperäisen tai sääntelyllisen RTO-sitoumuksensa.
Testaushuomio: Tuottavimmat DR-harjoitukset sisältävät tahallisia epäonnistumisia: vaihdetaan ensisijainen palautusoperaattori pois harjoituksen puolivälissä testatakseen, voiko varaoperaattori jatkaa; korruptoidaan WAL-segmentti varmistaakseen, että eheyden tarkistus havaitsee sen ja tiimi perääntyy aiempaan palautuspisteeseen; tai estetään pääsy ensisijaiseen HSM:ään pakottaakseen DR-toimipisteen avainpalautuspolku. Harjoitukset, jotka aina onnistuvat ihanteellisissa olosuhteissa, kouluttavat tiimiä tilanteisiin, jotka eivät muistuta todellisia katastrofeja.
Kryptografinen jatkuvuus palautuksen jälkeen
Järjestelmä, joka on palautettu varmuuskopiosta, ei ole kryptografisesti identtinen varmuuskopioituun järjestelmään. Riippuen siitä, milloin varmuuskopio otettiin suhteessa viimeiseen avainkiertoon, sertifikaatin myöntämiseen tai istunnon muodostamiseen, palautettu järjestelmä saattaa toimia vanhentuneella kryptografisella materiaalilla, joka on vanhentunut, peruutettu tai epäjohdonmukainen yhdistettyjen järjestelmien nykyisen tilan kanssa. Kryptografinen jatkuvuus on joukko menettelytapoja, jotka sovittavat palautetun järjestelmän kryptografisen tilan operatiiviseen ympäristöön palautuksen jälkeen.
HSM-failoverin uudelleenavauttaminen. Kun ensisijainen HSM vikaantuu ja DR-toimipisteen toissijainen HSM ottaa hallinnan, ensimmäinen askel on varmistaa, että toissijaisen HSM:n avainvarasto on ajantasainen. HSM:ille, jotka käyttävät jatkuvaa klusterin replikaatiota, toissijaisen pitäisi olla ajantasainen viimeisen replikaation sydämenlyönnin mukaan — tyypillisesti sekuntien tarkkuudella. HSM:ille, jotka käyttävät ajoittaisia avainvarmuuskopiointimenettelyitä, toissijainen saattaa olla jäljessä varmuuskopiointivälin verran. Avaimet, jotka on luotu tai kierrätetty viimeisen varmuuskopioinnin jälkeen, eivät ole toissijaisessa ja ne on johdettava tai myönnettävä uudelleen ennen kuin niistä riippuvat järjestelmät voivat toimia. Avainvaraston tarkistus — vertaamalla toissijaisen HSM:n avainlistaa ensisijaisen viimeiseen tarkistuslokiin — on ensimmäinen kryptografinen toimi HSM-failoverin jälkeen.
Sertifikaattien tila palautuksen jälkeen. Kubernetes-klusterin sertifikaateilla ja sovellusten TLS-sertifikaateilla on vanhentumispäivämäärät, jotka etenevät riippumatta siitä, onko järjestelmä käynnissä. 30 päivää vanha varmuuskopio palauttaa klusterin tilaan, jossa 30 päivää on kulunut jokaisen sertifikaatin jäljellä olevasta voimassaoloajasta. Jos jokin sertifikaatti oli 30 päivän sisällä vanhentumisesta varmuuskopiointihetkellä, se on vanhentunut palautetussa klusterissa. Sertifikaattien tarkistusmenettely:
# Audit all Kubernetes control-plane certificate expiry
kubeadm certs check-expiration
# Renew expired or near-expiry control-plane certificates
kubeadm certs renew all
# For cert-manager application certificates: force re-issuance
# by deleting Certificate resources and letting cert-manager re-issue
kubectl get certificates -A -o json | \
jq -r '.items[] | select(.status.notAfter < now | todate) |
"\(.metadata.namespace)/\(.metadata.name)"' | \
xargs -I{} kubectl delete certificate -n $(echo {} | cut -d/ -f1) \
$(echo {} | cut -d/ -f2)
# Verify cert-manager issues new certificates
kubectl get certificaterequests -A --watch
Istunnon avainten uudelleenmuodostaminen. Istunnon avaimet — TLS-kättelyjen ja salattujen kanavien muodostuksen aikana neuvotellut efemeerit symmetriset avaimet — eivät koskaan tallennu HSM:ään eikä niitä varmuuskopioida. Ne ovat olemassa vain kommunikoivien prosessien muistissa. Palautuksen jälkeen, joka palauttaa järjestelmän varmuuskopiosta, kaikki varmuuskopiointihetken aktiiviset istunnot ovat poissa; palautetulla järjestelmällä ei ole istuntotilaa. Yhdistetyt järjestelmät — muut klusterin noodit, etäsensorit, C2-vertaiset — yrittävät muodostaa istuntoja uudelleen palautetun järjestelmän pitkäaikaisilla tunnistetiedoilla (sertifikaateilla ja HSM-pohjaisilla avaimilla). Jos nämä tunnistetiedot ovat ajantasaisia ja voimassa, istunnon uudelleenmuodostaminen on automaattista ja läpinäkyvää. Jos ne ovat vanhentuneita tai expired, istunnon uudelleenmuodostaminen epäonnistuu ja jokainen yhteys on alustettava manuaalisesti uudelleen sen jälkeen, kun tunnistetietoja koskeva ongelma on ratkaistu.
Uudelleenavauttamismenettelyt palautuksen jälkeen. Järjestelmissä, joissa itse palautustapahtumaa käsitellään mahdollisena avainten kompromissin indikaattorina — erityisesti jos vika aiheutui tietoturvatapahtumasta eikä laitteisto- tai virtavikaantumisesta — ISSO voi vaatia täyttä uudelleenavauttamiskierrosta ennen kuin järjestelmä palaa luokiteltuun toimintaan. Uudelleenavauttaminen sisältää uusien KEK:ien luomisen palautetussa HSM:ssä, kaiken datan DEK:ien uudelleensalaamisen uudella KEK:llä ja uusien sertifikaattien jakamisen kaikille yhdistetyille järjestelmille. Tämä on pitkäkestoinen prosessi, joka on budjetoitava palautusaikajanaan, jos on olemassa edes pienin mahdollisuus sen vaatimisesta. Suunnitteluasiakirjoissa on nimenomaisesti käsiteltävä uudelleenavauttamista vs. olemassa olevilla avaimilla jatkamista koskeva päätös ja määriteltävä kummankin polun kriteerit.
Risteymä varmuuskopiointiinsinöörinnin, avainten hallinnan ja Kubernetes-operaatioiden välillä, jota luokiteltu pilvi-DR vaatii, ei kuulu minkään yksittäisen työkalun tai kehyksen piiriin. Se rakentuu yhdistelmästä platform-tason varmuuskopiointityökaluja (Velero, etcdctl, pg_basebackup), HSM-integroitua avainten hallintaa ja operatiivisia menettelytapoja, joita on harjoiteltu olosuhteissa, jotka lähestyvät todellisia katastrofeja. Ohjelmat, jotka investoivat harjoituskadensiin — ja rehellisiin jälkitarkasteluselvityksiin, jotka seuraavat — suoriutuvat johdonmukaisesti paremmin kuin ne, jotka käsittelevät DR:ää dokumentointiharjoituksena.
Luokiteltujen pilvien resilienssi Corvus Quantumin avulla
Corvus Quantum tarjoaa kryptografisen infrastruktuurin, joka on rakennettu puolustuksen ohjelmille, jotka operoivat luokiteltuja pilviworkloadeja — HSM-pohjainen avainten hallinta DR-toimipisteen escrow-tuella, muuttumattoman varmuuskopioinnin integraatio ja akkreditoituihin ympäristöihin suunniteltu palautusarkkitehtuuri. Jos suunnittelet varmuuskopiointia ja palautusta luokitellulle pilviohjelmalle tai korjaat puutteita olemassa olevassa DR-suunnitelmassa, insinööritiimimme on saatavilla teknisiin esittelyihin.