Sarcinile de lucru cloud militare clasificate nu sunt active abstracte. Ele rulează fluxurile de targetare, infrastructura de comunicații și straturile de fuziune a informațiilor care determină dacă o unitate menține conștiința situațională în condiții de luptă. Când aceste sarcini de lucru eșuează — iar hardware-ul cedează, facilitățile pierd alimentarea cu energie și adversarii sondează orice suprafață accesibilă — organizația are nevoie de un plan de recuperare testat și executabil care le restaurează în intervalul pe care misiunea îl poate tolera. Backup-ul și recuperarea în caz de dezastru pentru sistemele clasificate nu reprezintă o versiune redusă a DR comercial; este o disciplină inginerească distinctă, modelată de constrângerile de acreditare, dependențele de chei criptografice și realitatea operațională că sistemele cel mai des în nevoie de recuperare rapidă sunt tocmai cele mai greu de restaurat sub presiune.

Acest articol examinează stiva completă de recuperare pentru sarcinile de lucru cloud clasificate: cum să derivați țintele RTO și RPO din nivelurile de criticalitate ale misiunii, cum să proiectați o arhitectură de backup care satisface granițele de clasificare, cum să gestionați cheile de criptare astfel încât să supraviețuiască unui eșec al sitului primar, cum să realizați backup-ul bazelor de date și al clusterelor Kubernetes, cum să testați recuperarea în medii cu acces fizic restricționat și cum să restabiliți continuitatea criptografică odată ce sistemele sunt restaurate. Tratamentul este tehnic și operațional — deciziile de față aparțin inginerilor de platformă, ofițerilor de securitate a sistemelor informatice (ISSO) și arhitecților de program care lucrează împreună.

Cerințe RTO și RPO pentru sistemele militare C2 și ISR

Recovery Time Objective (RTO) și Recovery Point Objective (RPO) nu sunt acorduri de nivel de serviciu IT importate dintr-un șablon comercial. Pentru sistemele de apărare clasificate, acestea sunt derivate din tempo-ul operațional — ritmul la care comandanții au nevoie de date actuale pentru a lua decizii — și din criticalitatea misiunii, care determină cât timp o capacitate poate fi absentă înainte ca misiunea să se degradeze la un nivel inacceptabil.

Un cadru practic de criticalitate atribuie sistemele în trei niveluri:

  • Nivelul 1 — C2 esențial misiunii și ISR în timp real. Platforme de comandă și control, fuziune senzorială în timp real și sisteme active de targetare. RTO: sub patru ore. RPO: sub 15 minute. Un sistem C2 indisponibil mai mult de patru ore în cursul unei operații active afectează capacitatea comandantului de a emite, urmări și revizui ordine. Un RPO mai mare de 15 minute înseamnă o pierdere potențială de date recente de targetare sau situaționale care nu pot fi reconstruite.
  • Nivelul 2 — Sisteme de analiză ISR și suport misiune. Stații de lucru pentru analiza informațiilor, înregistrarea comunicațiilor și managementul logisticii. RTO: 8–24 ore. RPO: una până la patru ore. Aceste sisteme sprijină planificarea și evaluarea misiunii, nu execuția în timp real; absența lor degradează eficiența, dar nu oprește imediat operațiunile.
  • Nivelul 3 — Sisteme administrative și de arhivare. Sisteme de personal, stocare de arhivă și aplicații administrative. RTO: 48–72 ore. RPO: 24 ore. Indisponibilitatea prelungită este tolerabilă operațional; pierderea de date de până la o zi lucrătoare este acceptabilă.

Implicația critică de proiectare a atribuirii de nivel este că țintele RTO de Nivel 1 — restaurare sub patru ore — sunt realizabile doar cu arhitecturi hot sau warm standby. Backup-ul rece (pe bandă sau disc, fără standby activ) introduce etape de recuperare care, luate împreună, nu pot fi finalizate în patru ore: recuperarea suportului media, provizionarea infrastructurii, restaurarea sistemului de operare, restaurarea stratului de aplicații, verificarea controlului de securitate și aprobarea ISSO. Un program care crede că are un RTO de patru ore prin backup rece singur nu a modelat procedura reală de recuperare.

Bugetul RTO trebuie detaliat pe faze și sumat înainte de adoptarea ca țintă:

Faza de recuperare Hot standby Warm standby Backup rece
Decizia de failover și autorizarea 5–15 min 15–30 min 30–60 min
Recuperarea suportului media / cheilor N/A (replică live) 15–30 min 60–180 min
Restaurare infrastructură și sistem de operare 0–15 min 30–60 min 60–120 min
Restaurare aplicații și date 0–5 min 20–60 min 60–240 min
Verificarea controlului de securitate + aprobarea ISSO 30–60 min 60–90 min 60–120 min

Etapa de verificare a controlului de securitate — confirmarea că marcajele de clasificare, jurnalizarea auditului, controalele de acces și legăturile criptografice funcționează corect pe sistemul restaurat — este frecvent omisă din modelele comerciale de RTO. Pentru sistemele clasificate, aceasta este obligatorie înainte de reluarea operațiunilor. O țintă RTO precisă o include.

Arhitectura de backup pentru sarcini de lucru clasificate

Arhitectura de backup pentru sarcini de lucru clasificate pornește de la două constrângeri nenegociabile: izolarea graniței de clasificare și continuitatea acreditării. Fiecare enclavă de clasificare necesită infrastructură de backup separată fizic — noduri de stocare separate, suporturi media separate, instanțe separate ale software-ului de backup dacă acesta utilizează un plan de management partajat. Infrastructura de backup consolidată care traversează enclavele constituie o încălcare a conformității, indiferent dacă datele de backup sunt criptate, deoarece planul de management comun creează un canal covert potențial și o suprafață de atac extinsă.

Continuitatea acreditării înseamnă că mediul de restaurare — infrastructura pe care datele clasificate sunt restaurate în caz de dezastru — trebuie să dețină o Autorizație de Operare (ATO) curentă înainte de dezastru, nu doar după acesta. Cel mai frecvent eșec DR clasificat în analizele post-incident nu este un backup lipsă; este un backup care există, dar nu poate fi restaurat legal în intervalul de timp solicitat deoarece ATO-ul mediului de restaurare a expirat.

Stocarea imutabilă a backup-ului este un control obligatoriu pentru sarcinile de lucru clasificate de Nivel 1 și Nivel 2. Imutabilitatea — aplicată la nivel hardware sau firmware prin suporturi write-once sau blocare de obiecte în mod conformitate — garantează că un actor ransomware sau un insider rău intenționat care compromite infrastructura de backup nu poate șterge sau modifica seturile de backup. Un WORM aplicat software care poate fi suprascris de un cont privilegiat nu satisface această cerință. Pentru stocarea clasificată on-premises, banda WORM hardware (LTO cu cartușe WORM) sau un aparat de disc cu imutabilitate la nivel firmware este alegerea adecvată. Pentru implementările cloud clasificate suverane, stocarea de obiecte cu blocare de obiecte compatibilă S3 în mod conformitate oferă protecție echivalentă.

O arhitectură pe trei straturi satisface întreaga gamă de scenarii de recuperare:

  • Stratul 1 — Backup local imutabil. Backup-uri incrementale continue sau orare pe stocaj WORM local în cadrul facilității acreditate. Protejează împotriva erorilor operaționale: ștergere accidentală, corupție a bazei de date, ransomware. Cea mai rapidă cale de restaurare pentru eșecuri non-catastrofice.
  • Stratul 2 — Replicare sincronă la warm standby. Pentru sistemele de Nivel 1, jurnalele de tranzacții ale bazelor de date și starea critică sunt replicate la un nod secundar în aceeași facilitate acreditată sau în una co-localizată. Acest strat suportă RTO sub patru ore. Replicarea se face în interiorul graniței de acreditare — nodul secundar face parte din același mediu acreditat.
  • Stratul 3 — Copie periodică offsite la facilitatea DR. Copii de backup criptate săptămânale sau lunare transferate la o facilitate acreditată separată fizic. Acest strat protejează împotriva pierderii catastrofice a sitului primar. Pentru operațiunile cloud deconectate la marginea tactică, acest transfer este fizic — suport media criptat transportat de un curier autorizat — iar timpul de tranzit al curierului trebuie inclus în calculul RTO pentru scenariul DR pe care îl acoperă.

Siturile DR cu air-gap introduc o provocare specifică de proiectare: copia offsite este întotdeauna în urmă față de primară cu intervalul dintre transferurile fizice. Un program care transferă suporturi de backup la situl său DR săptămânal are o fereastră potențială de pierdere de date de până la șapte zile pentru scenariul în care situl primar este distrus. Această diferență trebuie documentată, acceptată de autoritatea misiunii și reflectată în planul de contingență al sistemului — nu ascunsă în arhitectură.

Criptarea datelor de backup: gestionarea cheilor pe parcursul recuperării

Fiecare set de backup pentru o sarcină de lucru clasificată trebuie criptat în repaus folosind AES-256 (sau echivalentul național aprobat pentru nivelul de clasificare al sistemului). Problema mai dificilă nu este criptarea în sine — ci asigurarea că cheile de decriptare supraviețuiesc unui eșec al sitului primar și pot fi accesate la situl DR în cadrul bugetului de timp de recuperare.

Ierarhia de chei recomandată pentru criptarea backup-urilor clasificate are trei niveluri:

  • Cheia de Criptare a Cheilor (KEK). O cheie master deținută într-un Modul de Securitate Hardware (HSM) în cadrul facilității acreditate. KEK nu părăsește niciodată HSM-ul în text simplu. Accesul la KEK necesită autorizare multi-parte — cel puțin două persoane autorizate cu acreditări de autentificare HSM separate (o schemă de cvorum m-din-n, de obicei 2-din-3 sau 3-din-5).
  • Cheia de Criptare a Datelor (DEK). O cheie AES-256 unică generată per job de backup. DEK criptează datele de backup. După finalizarea job-ului de backup, DEK este criptată (învelită) de KEK în interiorul HSM, iar DEK învelită este stocată alături de metadatele backup-ului. DEK în text simplu nu este niciodată scrisă pe disc.
  • Cheie escrow la situl DR. KEK este sincronizată cu un HSM secundar la situl DR, fie prin replicare continuă în cluster HSM, fie printr-o procedură periodică de backup al cheilor. HSM-ul secundar deține KEK într-un mediu de securitate egală și o eliberează operatorilor de restaurare autorizați în cursul unui dezastru declarat, permițând dezvelirea DEK pe loc și decriptarea backup-ului.

Frecvența de sincronizare a escrow-ului determină vechimea maximă a KEK de la situl DR. Pentru KEK-uri rotative (rotație anuală sau mai frecventă), actualizarea escrow-ului trebuie să aibă loc în cadrul unui singur ciclu de rotație. Procedura de escrow — inclusiv pașii de autentificare și autorizare necesari pentru ca HSM-ul de la situl DR să accepte cheia actualizată — trebuie documentată, iar documentația trebuie stocată la situl DR (nu doar la situl primar).

Pentru un context mai aprofundat privind selectarea HSM și arhitecturile de gestionare a cheilor HSM post-cuantice care oferă rezistență pe termen lung la atacurile cuantice asupra textului cifrat stocat, consultați tratamentul legat. Ierarhia de chei de mai sus este compatibilă cu algoritmii KEK post-cuantici (CRYSTALS-Kyber sau ML-KEM la nivelurile CNSA 2.0) fără a modifica relația structurală dintre straturi.

Un runbook DR care nu a fost exercitat niciodată end-to-end — inclusiv autentificarea HSM la situl DR și dezvelirea DEK — nu a validat cel mai predispus la eșec pas al său. Recuperarea cheilor trebuie exercitată ca un pas denumit în fiecare exercițiu complet de restaurare, nu lăsată ca o capacitate presupusă.

Strategii de backup pentru baze de date ale sistemelor C2 operaționale

Sistemele C2 operaționale persistă de obicei starea în baze de date relaționale: PostgreSQL este alegerea dominantă open-source pentru implementările cloud de apărare acreditate. Backup-ul comercial standard de „dump complet zilnic plus diferențiale nocturne" nu îndeplinește cerințele RPO ale sistemelor de Nivel 1 — un RPO de 15 minute necesită un mecanism de backup continuu care capturează fiecare tranzacție confirmată.

Write-Ahead Log (WAL) al PostgreSQL oferă acel mecanism. Fiecare modificare confirmată a bazei de date este scrisă într-un segment WAL înainte de a fi aplicată fișierelor de date. Prin arhivarea continuă a segmentelor WAL în stocajul de backup acreditat imediat după scrierea lor, acumulați un jurnal complet de modificări care poate fi redat înainte din orice backup de bază la orice punct în timp — chiar până la ultimul segment arhivat înainte de un eșec. Aceasta este Recuperarea Point-in-Time (PITR).

Configurația în postgresql.conf pentru arhivarea continuă WAL cu criptare:

wal_level = replica
archive_mode = on
archive_command = '/opt/backup/encrypt-wal.sh %p %f'
archive_timeout = 60        # force segment switch every 60 seconds maximum
restore_command = '/opt/backup/decrypt-wal.sh %f %p'
recovery_target_time = '2026-06-25 14:30:00 UTC'  # set in recovery.conf

Scriptul encrypt-wal.sh trebuie să cripteze segmentul WAL folosind DEK-ul susținut de HSM înainte de scrierea în locația de arhivă. Valoarea archive_timeout de 60 de secunde asigură că, chiar și în perioadele cu scrieri reduse, segmentele WAL sunt arhivate cel puțin o dată pe minut, limitând RPO la aproximativ un minut în condiții normale.

Pentru sistemele C2 compuse din multiple microservicii care partajează o stare distribuită — un tipar comun în care datele de targetare circulă între un serviciu de fuziune senzorială, un serviciu de suport decizional și un gateway de comunicații — coerența backup-ului necesită ca instantaneele tuturor bazelor de date de servicii să fie realizate la același punct logic în timp. Un set de backup în care actualizarea de targetare există în baza de date de control al focului, dar nu și în baza de date de fuziune ISR, produce o stare de restaurare logic inconsistentă. Instantanee coerente între microservicii se realizează prin:

  • Un coordonator de instantanee distribuit care emite un semnal de quiesce tuturor serviciilor, așteaptă drenarea tranzacțiilor în zbor, declanșează instantanee pe toate bazele de date simultan, apoi eliberează quiesce-ul.
  • Hook-uri pre-backup în orchestratorul de containere care apelează API-ul de quiesce al fiecărui serviciu înainte de declanșarea instantaneului de volum.
  • Un număr de secvență sau un ID de tranzacție global ștampilat în fiecare set de instantanee, permițând procedurilor de restaurare să verifice că toate componentele unui set de restaurare partajează același marcaj de timp logic înainte de a se angaja la restaurare.

Backup pentru sarcini de lucru Kubernetes

Velero este instrumentul open-source standard pentru backup-ul sarcinilor de lucru Kubernetes atât în context comercial, cât și de apărare. Într-un cluster clasificat cu air-gap, implementarea Velero necesită adaptări specifice: toate imaginile de containere Velero, imaginile de plugin (în special pluginul CSI și orice plugin de furnizor de stocare de obiecte), și binarul CLI Velero trebuie pre-stocate în registrul local de imagini al clusterului înainte de un dezastru, deoarece clusterul nu poate accesa registre externe în cursul recuperării.

Velero realizează backup-ul obiectelor API Kubernetes — Deployments, DaemonSets, Services, ConfigMaps, Secrets, PersistentVolumeClaims, NetworkPolicies, obiecte RBAC și resurse personalizate — și declanșează instantanee de volum CSI pentru datele persistente. Un program de backup Velero pentru un cluster clasificat:

apiVersion: velero.io/v1
kind: Schedule
metadata:
  name: classified-cluster-hourly
  namespace: velero
spec:
  schedule: "0 * * * *"          # every hour
  template:
    storageLocation: classified-backup-location
    volumeSnapshotLocations:
      - classified-csi-snapshots
    includedNamespaces:
      - c2-platform
      - isr-fusion
      - comms-gateway
    hooks:
      resources:
        - name: db-quiesce
          includedNamespaces:
            - c2-platform
          labelSelector:
            matchLabels:
              app: postgres
          pre:
            - exec:
                command:
                  - /bin/sh
                  - -c
                  - psql -c "SELECT pg_start_backup('velero', true);"
                timeout: 60s
          post:
            - exec:
                command:
                  - /bin/sh
                  - -c
                  - psql -c "SELECT pg_stop_backup();"
                timeout: 60s
    ttl: 720h                    # 30-day retention

Ce nu realizează backup Velero: starea etcd (Velero citește de la serverul API, nu direct din etcd), configurația OS la nivel de nod, binarele planului de control și datele scrise în stocajul local al nodului în afara volumelor persistente. etcd trebuie copiat separat. Pentru un plan de control cu trei noduri, rulați următoarele pe fiecare nod de control și criptați ieșirea:

ETCDCTL_API=3 etcdctl snapshot save \
  /tmp/etcd-snapshot-$(date +%Y%m%d-%H%M%S).db \
  --endpoints=https://127.0.0.1:2379 \
  --cacert=/etc/kubernetes/pki/etcd/ca.crt \
  --cert=/etc/kubernetes/pki/etcd/server.crt \
  --key=/etc/kubernetes/pki/etcd/server.key

# Encrypt snapshot before archiving
gpg --symmetric --cipher-algo AES256 \
  --batch --passphrase-file /etc/backup/etcd-key.txt \
  /tmp/etcd-snapshot-*.db

# Verify snapshot integrity
etcdctl snapshot status /tmp/etcd-snapshot-*.db

Instantaneele etcd ar trebui programate orar pe toate nodurile de control, cu instantaneele criptate scrise în același stocaj de backup acreditat utilizat pentru backup-urile Velero. O strategie DR completă pentru Kubernetes necesită atât Velero (pentru starea stratului de sarcini de lucru), cât și instantanee etcd (pentru starea stratului de cluster). Restaurarea doar a unuia dintre ele produce un cluster irecuperabil — obiectele API din etcd și datele persistente din volume trebuie să fie coerente între ele.

Strategiile de instantanee pentru PersistentVolumeClaim depind de clasa de stocare utilizată. Pentru stocajul susținut de CSI în medii clasificate, driverul de stocare trebuie să implementeze interfața de instantanee CSI, iar instantaneele trebuie stocate în stocaj acreditat. Pentru NFS sau storajul moștenire care nu suportă instantanee CSI, modul de backup al sistemului de fișiere al Velero (bazat pe Kopia) poate copia datele PVC prin copierea directă a fișierelor din volumele montate — mai lent decât instantaneele CSI, dar aplicabil oricărui tip de storaj.

Testarea recuperării în medii clasificate

Testarea recuperării în medii clasificate este mai constrânsă decât în medii comerciale: nu puteți instanția un mediu cloud public arbitrar ca țintă de restaurare, nu puteți testa cu date de producție în afara graniței de acreditare și nu puteți desfășura exerciții de restaurare în orele operaționale fără autorizare prealabilă și un plan de rollback testat.

Programul de exerciții DR pentru un program clasificat ar trebui să urmeze un cadru pe trei niveluri:

  • Exercițiu tabletop — trimestrial. Echipa de restaurare parcurge runbook-ul verbal, identificând pași neclari, roluri neocupate sau dependențe nedocumentate. Nu sunt atinse sisteme. Ieșire: un runbook actualizat și o listă de lacune de remediat.
  • Exercițiu funcțional — semestrial. Un subset al procedurii de restaurare este executat într-un mediu live: de exemplu, restaurarea unei singure baze de date din backup și verificarea integrității datelor, sau restaurarea unui backup Velero al unui namespace și confirmarea că aplicația pornește. Acoperire parțială la cost și risc mai mici decât un exercițiu complet.
  • Exercițiu complet de restaurare — anual minim, semestrial pentru Nivelul 1. O restaurare completă end-to-end din backup într-un mediu de restaurare izolat. Toate fazele de restaurare sunt executate, inclusiv recuperarea cheilor, verificarea controlului de securitate și aprobarea ISSO. RTO și RPO reale sunt măsurate și comparate cu țintele.

Verificarea integrității datelor după restaurare necesită mai mult decât confirmarea că baza de date pornește. Pentru bazele de date relaționale, verificarea integrității include:

# PostgreSQL post-restore integrity checks
# 1. Verify row counts match expected values from pre-backup audit log
psql -c "SELECT schemaname, tablename, n_live_tup
         FROM pg_stat_user_tables ORDER BY schemaname, tablename;"

# 2. Check for constraint violations after restore
psql -c "SELECT conname, conrelid::regclass
         FROM pg_constraint WHERE NOT convalidated;"

# 3. Verify WAL replay reached the target recovery time
psql -c "SELECT pg_last_xact_replay_timestamp();"

# 4. Run application-layer health check
curl -sf https://c2-platform.internal/health/deep | jq '.checks'

Metodologia de măsurare a RTO trebuie să fie precisă: cronometrul pornește când un dezastru este declarat oficial (nu când eșecul este detectat prima dată — detectarea incidentului și declararea pot dura 15–30 de minute și trebuie scăzute din bugetul rămas). Cronometrul se oprește când ISSO aprobă oficial starea de pregătire a sistemului restaurat pentru operațiunile clasificate — nu când aplicația returnează primul health check cu succes. Diferența dintre aceste două interpretări poate fi de 60–90 de minute, ceea ce poate determina dacă un program îndeplinește sau nu angajamentul său contractual sau reglementar privind RTO.

Perspectivă de testare: Cele mai productive exerciții DR introduc eșecuri deliberate: rotați operatorul principal de restaurare la mijlocul exercițiului pentru a testa că alternativul poate continua, corupți un segment WAL pentru a verifica că verificarea integrității îl detectează și că echipa revine la un punct de restaurare anterior, sau refuzați accesul la HSM-ul primar pentru a forța calea de recuperare a cheilor de la situl DR. Exercițiile care reușesc întotdeauna în condiții ideale antrenează echipa pentru condiții care nu seamănă cu dezastrele reale.

Continuitate criptografică după recuperare

Un sistem restaurat din backup nu este criptografic identic cu sistemul care a fost copiat. În funcție de momentul în care backup-ul a fost realizat față de ultima rotație a cheilor, emiterea certificatelor sau stabilirea sesiunilor, sistemul restaurat poate funcționa cu material criptografic învechit care este expirat, revocat sau inconsistent cu starea curentă a sistemelor conectate. Continuitatea criptografică reprezintă ansamblul de proceduri care aduc starea criptografică a sistemului restaurat în concordanță cu mediul operațional după recuperare.

Re-cheiere după failover HSM. Când HSM-ul primar eșuează și HSM-ul secundar de la situl DR preia controlul, primul pas este verificarea că inventarul de chei al HSM-ului secundar este curent. Pentru HSM-urile care utilizează replicare continuă în cluster, secundarul ar trebui să fie curent din momentul ultimului heartbeat de replicare — de obicei în câteva secunde. Pentru HSM-urile care utilizează backup periodic al cheilor, secundarul poate fi în urmă cu intervalul de backup. Orice chei create sau rotite de la ultimul backup nu sunt prezente în secundar și trebuie re-derivate sau re-emise înainte ca sistemele care depind de ele să poată funcționa. Un audit al inventarului de chei — compararea listei de chei a HSM-ului secundar cu ultimul jurnal de audit al primarului — reprezintă prima acțiune criptografică după failover-ul HSM.

Starea certificatelor după restaurare. Certificatele clusterului Kubernetes și certificatele TLS ale aplicațiilor au date de expirare care avansează indiferent dacă sistemul rulează. Un cluster restaurat dintr-un backup care are 30 de zile vechime este restaurat într-o stare în care 30 de zile au fost consumate din valabilitatea rămasă a fiecărui certificat. Dacă vreun certificat se afla în 30 de zile de la expirare la momentul backup-ului, acesta este expirat în clusterul restaurat. Procedura de audit al certificatelor:

# Audit all Kubernetes control-plane certificate expiry
kubeadm certs check-expiration

# Renew expired or near-expiry control-plane certificates
kubeadm certs renew all

# For cert-manager application certificates: force re-issuance
# by deleting Certificate resources and letting cert-manager re-issue
kubectl get certificates -A -o json | \
  jq -r '.items[] | select(.status.notAfter < now | todate) |
         "\(.metadata.namespace)/\(.metadata.name)"' | \
  xargs -I{} kubectl delete certificate -n $(echo {} | cut -d/ -f1) \
                                           $(echo {} | cut -d/ -f2)

# Verify cert-manager issues new certificates
kubectl get certificaterequests -A --watch

Re-stabilirea cheilor de sesiune. Cheile de sesiune — cheile simetrice efemere negociate în cursul handshake-urilor TLS și al stabilirii canalelor criptate — nu sunt niciodată stocate în HSM și nu sunt niciodată copiate. Ele există doar în memoria proceselor comunicante. După o recuperare care restaurează un sistem din backup, toate sesiunile active din instantaneul de backup sunt dispărute; sistemul restaurat nu are stare de sesiune. Sistemele conectate — alte noduri de cluster, senzori de la distanță, parteneri C2 — vor încerca să restabilească sesiunile folosind acreditările pe termen lung ale sistemului restaurat (certificate și chei susținute de HSM). Dacă acele acreditări sunt actuale și valide, re-stabilirea sesiunii este automată și transparentă. Dacă sunt expirate sau invalide, re-stabilirea sesiunii eșuează și fiecare conexiune trebuie reinițializată manual după rezolvarea problemei de acreditare.

Proceduri de re-cheiere după recuperare. Pentru sistemele în care evenimentul de recuperare în sine este tratat ca un potențial indicator de compromitere a cheilor — în special dacă eșecul a fost cauzat de un incident de securitate, nu de un eșec hardware sau de alimentare — ISSO poate solicita un ciclu complet de re-cheiere înainte ca sistemul să revină la operațiunile clasificate. Re-cheierea implică generarea de noi KEK-uri în HSM-ul restaurat, re-criptarea tuturor DEK-urilor de date sub noul KEK și distribuirea de noi certificate tuturor sistemelor conectate. Acesta este un proces îndelungat care trebuie bugetat în intervalul de recuperare dacă există vreo posibilitate că va fi necesar. Documentele de planificare ar trebui să abordeze explicit decizia de re-cheiere vs. reluare pe cheile existente și să definească criteriile pentru fiecare cale.

Intersecția ingineriei de backup, gestionării cheilor și operațiunilor Kubernetes pe care o necesită DR cloud clasificat nu este deservită de niciun instrument sau cadru unic. Este construită dintr-o combinație de instrumente de backup la nivel de platformă (Velero, etcdctl, pg_basebackup), gestionare a cheilor integrată cu HSM și proceduri operaționale care au fost exercitate în condiții care se apropie de dezastrele reale. Programele care investesc în cadrul de exerciții — și în rapoartele After-Action oneste care urmează — depășesc constant pe cele care tratează DR ca un exercițiu de documentare.

Reziliența cloud clasificat cu Corvus Quantum

Corvus Quantum oferă infrastructură criptografică construită pentru programele de apărare care operează sarcini de lucru cloud clasificate — gestionare a cheilor susținută de HSM cu escrow la situl DR, integrare cu backup imutabil și arhitectură de recuperare proiectată pentru medii acreditate. Dacă proiectați backup și recuperare pentru un program cloud clasificat sau remediați lacune dintr-un plan DR existent, echipa noastră de inginerie este disponibilă pentru briefinguri tehnice.

Explorați Corvus Quantum → Rezervați un briefing