Засекречені військові хмарні навантаження — це не абстрактні активи. Вони підтримують конвеєри цілевказівки, комунікаційну інфраструктуру та рівні злиття розвідувальних даних, від яких залежить здатність підрозділу зберігати ситуаційну обізнаність під вогнем. Коли ці навантаження виходять з ладу — а обладнання виходить з ладу, об'єкти знеструмлюються, а противники зондують кожну доступну поверхню — організація потребує перевіреного, виконуваного плану відновлення, що відновить їх у межах часу, який допускає місія. Резервне копіювання та аварійне відновлення для засекречених систем — це не спрощена версія комерційного DR; це окрема інженерна дисципліна, що формується обмеженнями акредитації, залежностями від криптографічних ключів та оперативною реальністю, що системи, які найбільше потребують швидкого відновлення, є найскладнішими для відновлення під тиском.
У цій статті розглядається повний стек відновлення для засекречених хмарних навантажень: як визначати цілі RTO та RPO на основі рівнів критичності місії, як проєктувати архітектуру резервного копіювання з дотриманням меж класифікації, як управляти ключами шифрування так, щоб вони витримали відмову основного вузла, як резервувати бази даних і кластери Kubernetes, як тестувати відновлення в середовищах з обмеженим фізичним доступом та як відновлювати криптографічну безперервність після відновлення систем. Розгляд має технічний і оперативний характер — ці рішення стосуються платформових інженерів, офіцерів безпеки інформаційних систем (ISSO) та архітекторів програм, що працюють у взаємодії.
Вимоги RTO та RPO для військових систем C2 та ISR
Recovery Time Objective (RTO) та Recovery Point Objective (RPO) — це не угоди про рівень обслуговування ІТ, перенесені з комерційного шаблону. Для засекречених оборонних систем вони визначаються оперативним темпом — ритмом, з яким командири потребують актуальних даних для прийняття рішень, — а також критичністю місії, яка визначає, як довго здатність може бути відсутньою, перш ніж місія деградує до неприйнятного рівня.
Практична система критичності розподіляє системи на три рівні:
- Рівень 1 — Критично важливі для місії C2 та ISR в реальному часі. Платформи управління та контролю, злиття даних сенсорів в реальному часі та активні системи цілевказівки. RTO: менше чотирьох годин. RPO: менше 15 хвилин. Система C2, недоступна більше чотирьох годин під час активної операції, заважає командиру видавати, відстежувати та коригувати накази. RPO понад 15 хвилин означає потенційну втрату нещодавніх даних цілевказівки або ситуаційної обізнаності, що неможливо реконструювати.
- Рівень 2 — Аналіз ISR та системи підтримки місії. Аналітичні робочі станції розвідки, записи зв'язку та системи управління логістикою. RTO: 8–24 години. RPO: від однієї до чотирьох годин. Ці системи підтримують планування та оцінювання місії, а не її виконання в реальному часі; їх відсутність знижує ефективність, але не зупиняє операції негайно.
- Рівень 3 — Адміністративні та архівні системи. Кадрові системи, архівне сховище та адміністративні додатки. RTO: 48–72 години. RPO: 24 години. Тривала недоступність є оперативно прийнятною; втрата даних до одного робочого дня є допустимою.
Критичний проєктний наслідок визначення рівня полягає в тому, що цілі RTO для рівня 1 — відновлення менш ніж за чотири години — досяжні лише з архітектурами гарячого або теплого резерву. Холодне резервне копіювання (на стрічку або диск без запущеного резервного вузла) вводить кроки відновлення, які разом не можуть бути завершені за чотири години: отримання носія, підготовка інфраструктури, відновлення операційної системи, відновлення прикладного рівня, перевірка засобів безпеки та затвердження ISSO. Програма, що вважає, що має чотиригодинний RTO виключно через холодне резервне копіювання, не змоделювала реальну процедуру відновлення.
Бюджет RTO повинен бути розбитий по фазах і підсумований перед затвердженням як ціль:
| Фаза відновлення | Гарячий резерв | Теплий резерв | Холодне резервне копіювання |
|---|---|---|---|
| Рішення про перемикання та авторизація | 5–15 хв | 15–30 хв | 30–60 хв |
| Отримання носія / відновлення ключів | Н/З (жива репліка) | 15–30 хв | 60–180 хв |
| Відновлення інфраструктури та ОС | 0–15 хв | 30–60 хв | 60–120 хв |
| Відновлення додатків та даних | 0–5 хв | 20–60 хв | 60–240 хв |
| Перевірка засобів безпеки + затвердження ISSO | 30–60 хв | 60–90 хв | 60–120 хв |
Крок перевірки засобів безпеки — підтвердження того, що маркування класифікації, журналювання аудиту, контроль доступу та криптографічні прив'язки функціонують коректно у відновленій системі — часто опускається в комерційних моделях RTO. Для засекречених систем це є обов'язковим перед поверненням до роботи. Точна ціль RTO враховує його.
Архітектура резервного копіювання для засекречених навантажень
Архітектура резервного копіювання засекречених навантажень починається з двох неухильних обмежень: ізоляція меж класифікації та безперервність акредитації. Кожен закритий анклав вимагає фізично окремої інфраструктури резервного копіювання — окремих вузлів зберігання, окремих носіїв, окремих екземплярів програмного забезпечення резервного копіювання, якщо програмне забезпечення використовує спільну площину управління. Консолідована інфраструктура резервного копіювання, що охоплює декілька анклавів, є порушенням відповідності незалежно від того, чи зашифровані резервні дані, оскільки спільна площина управління створює потенційний прихований канал і розширену поверхню атаки.
Безперервність акредитації означає, що середовище відновлення — інфраструктура, на яку відновлюються засекречені дані під час аварії — повинна мати чинну Авторизацію на Функціонування (ATO) до аварії, а не лише після неї. Найпоширенішою помилкою DR для засекречених систем у звітах після інцидентів є не відсутня резервна копія, а резервна копія, що існує, але не може бути законно відновлена в потрібні строки, оскільки ATO середовища відновлення прострочена.
Незмінне сховище резервних копій є обов'язковим засобом контролю для засекречених навантажень рівнів 1 і 2. Незмінність — що забезпечується на рівні обладнання або мікропрограми через носії з одноразовим записом або об'єктне блокування в режимі відповідності — гарантує, що актор-вимагач або зловмисний інсайдер, який скомпрометував інфраструктуру резервного копіювання, не зможе видалити або змінити резервні набори. Програмне забезпечення WORM, яке може бути скасоване достатньо привілейованим обліковим записом, не відповідає цій вимозі. Для локального засекреченого сховища апаратна стрічка WORM (LTO з картриджами WORM) або дисковий пристрій з незмінністю на рівні мікропрограми є відповідним вибором. Для суверенних засекречених хмарних розгортань об'єктне сховище з S3-сумісним об'єктним блокуванням у режимі відповідності забезпечує еквівалентний захист.
Тришарова архітектура задовольняє повний спектр сценаріїв відновлення:
- Шар 1 — Локальне незмінне резервне копіювання. Безперервне або погодинне інкрементне резервне копіювання на локальне WORM-сховище в межах акредитованого об'єкта. Захист від операційних помилок: випадкове видалення, пошкодження бази даних, програми-вимагачі. Найшвидший шлях відновлення для некатастрофічних збоїв.
- Шар 2 — Синхронна реплікація на теплий резервний вузол. Для систем рівня 1 журнали транзакцій бази даних та критичний стан реплікуються на вторинний вузол у тому ж або суміжному акредитованому об'єкті. Цей шар підтримує RTO менше чотирьох годин. Реплікація здійснюється в межах меж акредитації — вторинний вузол є частиною того ж акредитованого середовища.
- Шар 3 — Періодична копія поза об'єктом на майданчику DR. Щотижневі або щомісячні зашифровані копії резервних копій, що передаються на фізично окремий акредитований об'єкт. Цей шар захищає від катастрофічної втрати основного майданчика. Для тактичних хмарних операцій у від'єднаному режимі ця передача є фізичною — зашифровані носії, що транспортуються авторизованим кур'єром, — і час транзиту кур'єра повинен бути включений до розрахунку RTO для сценарію DR, який він покриває.
Майданчики DR з повітряним зазором вводять конкретну проєктну задачу: копія поза об'єктом завжди відстає від основної на інтервал між фізичними передачами. Програма, що передає резервні носії на свій майданчик DR щотижня, має потенційне вікно втрати даних до семи днів для сценарію, коли основний майданчик знищено. Цей розрив повинен бути задокументований, прийнятий органом виконання місії та відображений у плані резервування системи — а не прихований в архітектурі.
Шифрування резервних даних: управління ключами через процес відновлення
Кожен резервний набір для засекреченого навантаження повинен бути зашифрований у стані спокою з використанням AES-256 (або національного еквіваленту, затвердженого для рівня класифікації системи). Складніша проблема полягає не в самому шифруванні — а в забезпеченні того, щоб ключі дешифрування витримали відмову основного майданчика та могли бути доступні на майданчику DR у межах бюджету часу відновлення.
Рекомендована ієрархія ключів для шифрування засекречених резервних копій має три рівні:
- Ключ шифрування ключів (KEK). Майстер-ключ, що зберігається в апаратному модулі безпеки (HSM) в межах акредитованого об'єкта. KEK ніколи не покидає HSM у відкритому вигляді. Доступ до KEK вимагає багатосторонньої авторизації — щонайменше двох уповноважених осіб з окремими обліковими даними автентифікації HSM (схема кворуму m-of-n, як правило 2 з 3 або 3 з 5).
- Ключ шифрування даних (DEK). Унікальний ключ AES-256, що генерується для кожного завдання резервного копіювання. DEK шифрує резервні дані. Після завершення завдання DEK шифрується (обгортається) KEK всередині HSM, а обгорнутий DEK зберігається поряд з метаданими резервної копії. Відкритий текст DEK ніколи не записується на диск.
- Депонування ключів на майданчику DR. KEK синхронізується з вторинним HSM на майданчику DR або через безперервну реплікацію кластера HSM, або через процедуру періодичного резервного копіювання ключів. Вторинний HSM зберігає KEK у рівнозахищеному середовищі та надає його уповноваженим операторам відновлення під час оголошеної аварії, дозволяючи розгортання DEK на місці та дешифрування резервних копій.
Частота синхронізації депонування визначає максимальне відставання KEK майданчика DR. Для KEK, що ротуються (щорічно або частіше), оновлення депонування повинно відбуватися в межах одного періоду ротації. Процедура депонування — включаючи кроки автентифікації та авторизації, необхідні для HSM майданчика DR для прийняття оновленого ключа — повинна бути задокументована, а документація зберігатися на майданчику DR (а не лише на основному майданчику).
Для глибшого контексту щодо вибору HSM та архітектур постквантового управління ключами HSM, що забезпечують довгострокову стійкість до квантово-активованих атак на збережені шифротексти, зверніться до відповідного матеріалу. Наведена вище ієрархія ключів сумісна з постквантовими алгоритмами KEK (CRYSTALS-Kyber або ML-KEM на рівнях CNSA 2.0) без зміни структурних відносин між рівнями.
Посібник DR, що жодного разу не виконувався наскрізно — включаючи автентифікацію HSM майданчика DR та розгортання DEK — не підтвердив свій найбільш схильний до збоїв крок. Відновлення ключів повинно відпрацьовуватися як іменований крок у кожному повному репетиційному відновленні, а не залишатися передбачуваною можливістю.
Стратегії резервного копіювання баз даних для оперативних систем C2
Оперативні системи C2 зазвичай зберігають стан у реляційних базах даних: PostgreSQL є домінуючим вибором відкритого коду для акредитованих оборонних хмарних розгортань. Стандартне комерційне резервне копіювання «щоденний повний дамп плюс нічні диференціали» не відповідає вимогам RPO систем рівня 1 — RPO 15 хвилин вимагає механізму безперервного резервного копіювання, що захоплює кожну зафіксовану транзакцію.
Журнал попереднього запису PostgreSQL (WAL) забезпечує цей механізм. Кожна зафіксована зміна бази даних записується в сегмент WAL до її застосування до файлів даних. Шляхом безперервного архівування сегментів WAL в акредитоване сховище резервних копій відразу після їх запису накопичується повний журнал змін, який можна відтворити вперед від будь-якої базової резервної копії до будь-якого моменту часу — аж до останнього архівованого сегмента перед збоєм. Це Point-in-Time Recovery (PITR).
Конфігурація в postgresql.conf для безперервного архівування WAL з шифруванням:
wal_level = replica
archive_mode = on
archive_command = '/opt/backup/encrypt-wal.sh %p %f'
archive_timeout = 60 # force segment switch every 60 seconds maximum
restore_command = '/opt/backup/decrypt-wal.sh %f %p'
recovery_target_time = '2026-06-25 14:30:00 UTC' # set in recovery.conf
Скрипт encrypt-wal.sh повинен шифрувати сегмент WAL за допомогою DEK з підтримкою HSM перед записом до місця архіву. Значення archive_timeout у 60 секунд гарантує, що навіть під час низького навантаження на запис сегменти WAL архівуються принаймні кожну хвилину, обмежуючи RPO приблизно однією хвилиною за нормальних умов.
Для систем C2, що складаються з кількох мікросервісів, що спільно використовують розподілений стан — поширений патерн, де дані цілевказівки передаються між сервісом злиття даних сенсорів, сервісом підтримки прийняття рішень та шлюзом зв'язку — узгодженість резервного копіювання вимагає, щоб знімки всіх баз даних сервісів були зроблені в один логічний момент часу. Резервний набір, де оновлення цілі існує в базі даних системи управління вогнем, але ще не в базі даних злиття ISR, дає логічно суперечливий стан відновлення. Узгоджені знімки для мікросервісів досягаються через:
- Розподілений координатор знімків, що надсилає сигнал заморозки всім сервісам, очікує дренажу транзакцій в польоті, одночасно ініціює знімки всіх баз даних, а потім знімає заморозку.
- Хуки перед резервним копіюванням в оркестраторі контейнерів, що викликають API заморозки кожного сервісу перед ініціацією знімка тому.
- Порядковий номер або глобальний ідентифікатор транзакції, що проштамповується в кожен набір знімків, дозволяючи процедурам відновлення перевірити, що всі компоненти набору відновлення мають однакову логічну мітку часу перед підтвердженням відновлення.
Резервне копіювання навантажень Kubernetes
Velero є стандартним інструментом з відкритим кодом для резервного копіювання навантажень Kubernetes як у комерційних, так і в оборонних контекстах. У засекреченому кластері з повітряним зазором розгортання Velero вимагає специфічних адаптацій: усі образи контейнерів Velero, образи плагінів (зокрема плагін CSI та будь-який плагін провайдера об'єктного сховища) та бінарний файл Velero CLI повинні бути заздалегідь розгорнуті в локальному реєстрі образів кластера до аварії, оскільки кластер не може отримувати образи із зовнішніх реєстрів під час відновлення.
Velero резервує об'єкти Kubernetes API — Deployments, DaemonSets, Services, ConfigMaps, Secrets, PersistentVolumeClaims, NetworkPolicies, об'єкти RBAC та власні ресурси — та ініціює знімки томів CSI для постійних даних. Розклад резервного копіювання Velero для засекреченого кластера:
apiVersion: velero.io/v1
kind: Schedule
metadata:
name: classified-cluster-hourly
namespace: velero
spec:
schedule: "0 * * * *" # every hour
template:
storageLocation: classified-backup-location
volumeSnapshotLocations:
- classified-csi-snapshots
includedNamespaces:
- c2-platform
- isr-fusion
- comms-gateway
hooks:
resources:
- name: db-quiesce
includedNamespaces:
- c2-platform
labelSelector:
matchLabels:
app: postgres
pre:
- exec:
command:
- /bin/sh
- -c
- psql -c "SELECT pg_start_backup('velero', true);"
timeout: 60s
post:
- exec:
command:
- /bin/sh
- -c
- psql -c "SELECT pg_stop_backup();"
timeout: 60s
ttl: 720h # 30-day retention
Що Velero не резервує: стан etcd (Velero зчитує з API-сервера, а не безпосередньо з etcd), конфігурацію ОС на рівні вузла, бінарні файли площини управління та дані, записані до локального сховища вузла поза постійними томами. etcd повинен резервуватися окремо. Для площини управління з трьома вузлами виконайте наступне на кожному вузлі площини управління та зашифруйте вихідні дані:
ETCDCTL_API=3 etcdctl snapshot save \
/tmp/etcd-snapshot-$(date +%Y%m%d-%H%M%S).db \
--endpoints=https://127.0.0.1:2379 \
--cacert=/etc/kubernetes/pki/etcd/ca.crt \
--cert=/etc/kubernetes/pki/etcd/server.crt \
--key=/etc/kubernetes/pki/etcd/server.key
# Encrypt snapshot before archiving
gpg --symmetric --cipher-algo AES256 \
--batch --passphrase-file /etc/backup/etcd-key.txt \
/tmp/etcd-snapshot-*.db
# Verify snapshot integrity
etcdctl snapshot status /tmp/etcd-snapshot-*.db
Знімки etcd повинні плануватися щогодини на всіх вузлах площини управління, а зашифровані знімки записуватися до того ж акредитованого сховища резервних копій, що й для резервних копій Velero. Повна стратегія DR для Kubernetes вимагає як Velero (для стану рівня навантаження), так і знімків etcd (для стану рівня кластера). Відновлення лише одного з них дає кластер, що не підлягає відновленню, — об'єкти API в etcd та постійні дані в томах повинні бути узгодженими між собою.
Стратегії знімків PersistentVolumeClaim залежать від використовуваного класу сховища. Для сховища з підтримкою CSI в засекречених середовищах драйвер сховища повинен реалізовувати інтерфейс знімків CSI, а знімки зберігатися в акредитованому сховищі. Для NFS або застарілого сховища, що не підтримує знімки CSI, режим резервного копіювання файлової системи Velero (на основі Kopia) може резервувати дані PVC шляхом прямого копіювання файлів із змонтованих томів — повільніше, ніж знімки CSI, але застосовно до будь-якого типу сховища.
Тестування відновлення в засекречених середовищах
Тестування відновлення в засекречених середовищах є більш обмеженим, ніж у комерційних умовах: не можна розгорнути довільне публічне хмарне середовище як ціль відновлення, не можна тестувати з виробничими даними поза межами акредитації та не можна проводити репетиції відновлення в робочі години без попереднього дозволу та перевіреного плану відкату.
Розклад навчань DR для засекреченої програми повинен відповідати тришаровому ритму:
- Настільне навчання — щоквартально. Команда відновлення опрацьовує посібник словесно, виявляючи кроки, що є незрозумілими, незаповнені ролі або незадокументовані залежності. Системи не торкаються. Результат: оновлений посібник та перелік прогалин для усунення.
- Функціональне навчання — кожні півроку. Підмножина процедури відновлення виконується в реальному середовищі: наприклад, відновлення однієї бази даних із резервної копії та перевірка цілісності даних, або відновлення резервної копії Velero одного простору імен та підтвердження запуску додатка. Часткове охоплення з меншою вартістю та ризиком, ніж повна репетиція.
- Повна репетиція відновлення — мінімум щорічно, кожні півроку для рівня 1. Повне наскрізне відновлення з резервної копії до карантинного середовища відновлення. Виконуються всі фази відновлення, включаючи відновлення ключів, перевірку засобів безпеки та затвердження ISSO. Фактичні RTO та RPO вимірюються і порівнюються з цілями.
Перевірка цілісності даних після відновлення вимагає більшого, ніж підтвердження запуску бази даних. Для реляційних баз даних перевірка цілісності включає:
# PostgreSQL post-restore integrity checks
# 1. Verify row counts match expected values from pre-backup audit log
psql -c "SELECT schemaname, tablename, n_live_tup
FROM pg_stat_user_tables ORDER BY schemaname, tablename;"
# 2. Check for constraint violations after restore
psql -c "SELECT conname, conrelid::regclass
FROM pg_constraint WHERE NOT convalidated;"
# 3. Verify WAL replay reached the target recovery time
psql -c "SELECT pg_last_xact_replay_timestamp();"
# 4. Run application-layer health check
curl -sf https://c2-platform.internal/health/deep | jq '.checks'
Методологія вимірювання RTO повинна бути точною: відлік починається, коли аварія офіційно оголошена (а не коли збій вперше виявлено — виявлення та оголошення інциденту може зайняти 15–30 хвилин і повинні бути відраховані від бюджету, що залишився). Відлік зупиняється, коли ISSO офіційно затверджує готовність відновленої системи до засекреченої роботи — а не коли додаток повертає перший успішний health check. Різниця між цими двома інтерпретаціями може становити 60–90 хвилин, що може визначати, чи виконує програма своє контрактне або нормативне зобов'язання RTO.
Досвід тестування: Найпродуктивніші репетиції DR вводять навмисні збої: змінюють основного оператора відновлення посеред репетиції, щоб перевірити, чи може дублер продовжити; пошкоджують сегмент WAL, щоб переконатися, що перевірка цілісності його виявляє і команда повертається до більш раннього відновлення; або відмовляють у доступі до основного HSM, щоб форсувати шлях відновлення ключів майданчика DR. Репетиції, що завжди успішні за ідеальних умов, навчають команду для умов, що не нагадують реальні аварії.
Криптографічна безперервність після відновлення
Система, відновлена з резервної копії, криптографічно не ідентична системі, що була зарезервована. Залежно від того, коли було зроблено резервну копію відносно останньої ротації ключів, видачі сертифіката або встановлення сесії, відновлена система може функціонувати з застарілим криптографічним матеріалом, що є простроченим, відкликаним або неузгодженим з поточним станом підключених систем. Криптографічна безперервність — це набір процедур, що приводять криптографічний стан відновленої системи у відповідність з оперативним середовищем після відновлення.
Перемикання HSM та переключення ключів. Коли первинний HSM виходить з ладу та вторинний HSM майданчика DR перебирає функції, першим кроком є перевірка того, що інвентар ключів вторинного HSM є актуальним. Для HSM, що використовують безперервну реплікацію кластера, вторинний повинен бути актуальним станом на останній heartbeat реплікації — зазвичай в межах секунд. Для HSM, що використовують periodичне резервне копіювання ключів, вторинний може відставати на інтервал резервного копіювання. Будь-які ключі, створені або ротовані після останнього резервного копіювання, відсутні у вторинному і повинні бути перевиведені або перевидані до того, як залежні від них системи зможуть функціонувати. Аудит інвентару ключів — порівняння списку ключів вторинного HSM з останнім журналом аудиту первинного — є першою криптографічною дією після перемикання HSM.
Стан сертифікатів після відновлення. Сертифікати кластера Kubernetes та сертифікати TLS додатків мають дати закінчення терміну дії, що просуваються незалежно від того, чи працює система. Кластер, відновлений із резервної копії, що є 30-денною, відновлюється у стан, де 30 днів вичерпано з терміну дії кожного сертифіката. Якщо будь-який сертифікат перебував у межах 30 днів від закінчення терміну на момент резервного копіювання, він прострочений у відновленому кластері. Процедура аудиту сертифікатів:
# Audit all Kubernetes control-plane certificate expiry
kubeadm certs check-expiration
# Renew expired or near-expiry control-plane certificates
kubeadm certs renew all
# For cert-manager application certificates: force re-issuance
# by deleting Certificate resources and letting cert-manager re-issue
kubectl get certificates -A -o json | \
jq -r '.items[] | select(.status.notAfter < now | todate) |
"\(.metadata.namespace)/\(.metadata.name)"' | \
xargs -I{} kubectl delete certificate -n $(echo {} | cut -d/ -f1) \
$(echo {} | cut -d/ -f2)
# Verify cert-manager issues new certificates
kubectl get certificaterequests -A --watch
Відновлення сесійних ключів. Сесійні ключі — ефемерні симетричні ключі, узгоджені під час TLS-рукостискань та встановлення зашифрованих каналів — ніколи не зберігаються в HSM і ніколи не резервуються. Вони існують лише в пам'яті процесів, що обмінюються даними. Після відновлення системи з резервної копії всі активні сесії зі знімка резервної копії відсутні; відновлена система не має стану сесій. Підключені системи — інші вузли кластера, віддалені сенсори, вузли C2 — намагатимуться відновити сесії з використанням довгострокових облікових даних відновленої системи (сертифікатів та ключів з підтримкою HSM). Якщо ці облікові дані є актуальними та дійсними, відновлення сесій є автоматичним та прозорим. Якщо вони є застарілими або простроченими, відновлення сесій зазнає невдачі і кожне з'єднання повинне бути перейніціалізоване вручну після вирішення проблеми з обліковими даними.
Процедури переключення ключів після відновлення. Для систем, де подія відновлення сама по собі розглядається як потенційний індикатор компрометації ключів — особливо якщо збій був спричинений інцидентом безпеки, а не апаратним або енергетичним збоєм — ISSO може вимагати повного циклу переключення ключів до повернення системи до засекреченої роботи. Переключення ключів передбачає генерацію нових KEK у відновленому HSM, повторне шифрування всіх DEK даних під новим KEK та розповсюдження нових сертифікатів до всіх підключених систем. Це тривалий процес, який повинен бути включений до графіка відновлення, якщо існує будь-яка можливість його вимоги. Планові документи повинні явно охоплювати рішення щодо переключення ключів у порівнянні з продовженням на існуючих ключах та визначати критерії для кожного шляху.
Перетин інженерії резервного копіювання, управління ключами та операцій Kubernetes, якого вимагає DR засекреченої хмари, не обслуговується жодним окремим інструментом або фреймворком. Він будується з комбінації платформових інструментів резервного копіювання (Velero, etcdctl, pg_basebackup), інтегрованого з HSM управління ключами та оперативних процедур, що відпрацьовувалися в умовах, що наближаються до реальних аварій. Програми, що інвестують у ритм репетицій — і в чесні звіти після дій, що слідують — стабільно перевершують ті, що ставляться до DR як до документальної вправи.
Стійкість засекреченої хмари з Corvus Quantum
Corvus Quantum надає криптографічну інфраструктуру, що призначена для оборонних програм, які обслуговують засекречені хмарні навантаження — управління ключами з підтримкою HSM та депонування на майданчику DR, інтеграція незмінного резервного копіювання та архітектура відновлення для акредитованих середовищ. Якщо ви проєктуєте резервне копіювання та відновлення для засекреченої хмарної програми або усуваєте прогалини в існуючому плані DR, наша інженерна команда доступна для технічних брифінгів.