Przegląd rozwiązania

Xopero Unified Protection posiada rozwiązanie typu AirGap, które zostało zaprojektowane w celu podniesienia poziomu bezpieczeństwa danych. Funkcjonalność ta polega na fizycznej izolacji magazynu kopii zapasowych od sieci, co pozwala zminimalizować ryzyko naruszenia danych, wynikające na przykład z ataków typu ransomware. Architektura AirGap gwarantuje, że dane backupu pozostają niedostępne dla podmiotów operujących w przejętym środowisku IT. Dzięki połączeniu rygorystycznej kontroli dostępu z automatyzacją procesów tworzenia kopii zapasowych, rozwiązanie to zwiększa odporność infrastruktury i stanowi fundament bezpiecznej strategii disaster recovery.

Informacje ogólne

Rozwiązanie Xopero AirGap to zaawansowana metoda ochrony danych, wykorzystująca technologię xSAIR (Secure AirGap Immutable Repository) do tworzenia odizolowanego środowiska backupu oraz przechowywania w nim dodatkowej kopii zapasowej, całkowicie odseparowanej od głównego środowiska sieciowego.

AirGap bazuje na klastrze dwóch urządzeń Xopero Unified Protection (XUP) połączonych bezpośrednio (back-to-back), gdzie drugie, redundantne urządzenie, przez większość czasu pozostaje całkowicie wyłączone z sieci, co uniemożliwia jakąkolwiek komunikację z nim. Urządzenie redundantne uruchamiane jest tylko na potrzeby replikacji.

Inicjacja zadania replikacji rozpoczyna się od uruchomienia wyłączonego urządzenia XUP za pomocą iDRAC (Integrated Dell Remote Access Controller). Po poprawnym zakończeniu przesyłu danych, system automatycznie wyłącza urządzenie redundantne, przywracając stan izolacji (AirGap). Dzięki fizycznemu odłączeniu od sieci, kopia znajdująca się na wyizolowanym urządzeniu pozostaje nieosiągalna dla cyberzagrożeń, stanowiąc skuteczne zabezpieczenie przed atakami typu ransomware.

Charakterystyka rozwiązania

System AirGap opiera się na komunikacji dwóch połączonych ze sobą urządzeń XUP — offline i online:

1. XUP offline to urządzenie, które przez większość czasu pozostaje w stanie wyłączonym. Jego struktura obejmuje wyłącznie magazyn danych oraz opcjonalnie agenta backupu. Urządzenie jest wyposażone w aktywny interfejs iDRAC, który służy do zdalnego uruchamiania oraz zamykania systemu.

2. Urządzenie XUP online może funkcjonować w jednym z dwóch dostępnych wariantów:

   1. Standardowy — obejmuje aktywny interfejs zarządzania, agenta backupu oraz magazyn danych (storage).

   2. Ograniczony — nie zawiera interfejsu zarządzania; wyposażony jest jedynie w agenta backupu oraz magazyn danych (storage).

Architektura połączenia i proces replikacji

Proces replikacji danych w rozwiązaniu AirGap jest w pełni zautomatyzowany, co eliminuje konieczność manualnej ingerencji administratora w celu zapewnienia fizycznej separacji zasobów. Mechanizm samodzielnie zarządza stanem połączenia magazynu kopii zapasowych, aktywując dostęp wyłącznie na czas trwania transferu danych i natychmiastowo izolując go po zakończeniu operacji.

Konfiguracja komponentów

Proces integracji komponentów w rozwiązaniu AirGap przebiega według następujących zasad:

1. Agent oraz magazyn danych jednostki XUP online zostają podłączone do usługi zarządzania (zlokalizowanej na urządzeniu XUP, serwerze zewnętrznym lub w modelu SaaS).

2. Magazyn danych jednostki XUP offline zostaje podłączony do usługi zarządzania za pośrednictwem agenta backupu zainstalowanego na urządzeniu XUP online.

3. Replikacja danych jest realizowana przez zadanie replikacji, wykorzystujące agenta backupu uruchomionego na urządzeniu XUP online.

Automatyzacja zasilania (skrypty PRE/POST)

W celu zapewnienia bezobsługowej komunikacji z urządzeniem typu offline, proces wspierany jest przez skrypty zdarzeń:

1. Skrypt PRE jest uruchamiany przed rozpoczęciem procesu replikacji danych. Odpowiada za włączenie jednostki XUP offline za pośrednictwem interfejsu iDRAC. Skrypt zawiera instrukcję oczekiwania (wait), aż urządzenie osiągnie pełną gotowość operacyjną.

2. Skrypt POST uruchamiany jest niezwłocznie po zakończeniu zadania replikacji. Jego zadaniem jest bezpieczne wyłączenie jednostki XUP offline przy użyciu interfejsu iDRAC.