Air gap, WORM и шифрование: как лента на самом деле защищает от шифровальщиков

Дело в том, что по отдельности ни air gap, ни WORM, ни шифрование не защищают от современных атак. Они работают только вместе, как слои одной обороны. Разберём каждый из них — что он реально делает, где у него пределы прочности, и как вендоры реализуют это на уровне конкретного железа.
Почему это вообще стало главной темой
Ещё несколько лет назад бэкап считался последней линией обороны почти автоматически: зашифровали продакшн — восстановились из бэкапа, дальше живём. Современные атакующие это тоже понимают, и поэтому давно поменяли тактику. По данным отраслевого отчёта Risk to Resilience за 2025 год, среди 1300 опрошенных жертв ransomware-атак у 89% злоумышленники целенаправленно атаковали именно репозитории резервных копий.
Именно поэтому классическое правило «3-2-1» (три копии, два типа носителей, одна копия за пределами площадки) в 2025–2026 годах повсеместно расширяется до «3-2-1-1-0»: та же формула, плюс обязательно одна копия — офлайн или immutable, и ноль ошибок при регулярном тестировании восстановления. Обратите внимание: immutable означает, что данные нельзя изменить или удалить в течение заданного периода, а air-gapped означает физическую или логическую изоляцию от любой сети, до которой может дотянуться атакующий — и только копия, которая соответствует обоим критериям одновременно, надёжно переживает атаку.
Лента — единственный массовый носитель, который даёт оба свойства сразу.

Слой 1: Air gap
Три состояния картриджа
Чтобы не путаться в маркетинговых формулировках, полезно чётко разделять три физических состояния ленточного картриджа:
- Online — картридж в приводе, идёт активная запись или чтение. В этот момент он теоретически доступен через тот же путь, что и любое сетевое хранилище: если атакующий имеет доступ к бэкап-серверу и системе управления библиотекой, он может отдать команду на перезапись.
- Nearline — картридж лежит в слоте библиотеки, физически подключён к общей механике робота, но не в приводе. Данные на нём не изменить без команды роботу переместить его в привод — но сама команда всё ещё может прийти от скомпрометированной системы управления.
- Offline (по-настоящему air-gapped) — картридж физически извлечён из библиотеки и лежит вне её, в сейфе или на полке off-site хранилища. Только это состояние даёт полную физическую изоляцию — до ленты в буквальном смысле нельзя дотянуться ни по какому сетевому протоколу, потому что она не подключена ни к чему.
Смысл в том, что многие организации, купив «библиотеку с air gap», на практике держат все ленты в состоянии nearline постоянно — и искренне считают себя защищёнными. Это не совсем так, и вендоры в последние годы придумали программные способы если не заменить, то приблизить nearline-состояние к настоящей изоляции.
Quantum Active Vault — картриджи автоматически перемещаются в специальную защищённую зону хранения прямо внутри той же физической библиотеки. Формально это всё ещё nearline (лента не покидает корпус), но зона Active Vault логически отделена от обычного рабочего пространства библиотеки и не отвечает на стандартные команды бэкап-софта на запись. Комбинация с Logical Tape Blocking (также известной как Ransom Block) добавляет ещё один уровень: конкретная лента или целый магазин помечаются политикой как заблокированные для перезаписи, причём это программное решение работает даже на обычных, не-WORM картриджах.
IBM Safeguarded Tape — защищённая копия, доступная только через отдельный аудируемый механизм восстановления. Ключевое отличие от обычного nearline-хранения — путь к данным физически отделён от штатного пути записи, то есть скомпрометированный бэкап-сервер не может достучаться до Safeguarded-копии напрямую, даже имея административные права в основной системе управления.
HPE MSL Vault Partition — программно изолированный раздел слотов внутри библиотеки, полностью невидимый для приложений и бэкап-софта. Доступ к нему требует отдельной многофакторной аутентификации (MFA), что на практике означает: даже если атакующий получил пароль администратора Veeam или другого бэкап-софта, до Vault Partition он всё равно не доберётся без второго фактора.
Честная оговорка про пределы программного air gap
Все перечисленные технологии — это хорошие и работающие механизмы снижения риска, но они не эквивалентны физическому извлечению ленты. Если у атакующего есть административный доступ на уровне контроллера самой библиотеки (а не только бэкап-софта) — теоретическая поверхность атаки на программный «сейф» остаётся в рамках той же системы управления. Реальный, стопроцентный air gap достигается только физическим вывозом картриджа за пределы инфраструктуры, до которой в принципе может дотянуться взломанная сеть.
Практический вывод для эксплуатации: ротируйте и физически вывозите ленты регулярно, а программные «сейфы» вендоров используйте как дополнительный, а не единственный слой защиты.

Слой 2: WORM
WORM (Write Once Read Many) на ленте — это не программная настройка поверх обычного носителя, а отдельный физический тип картриджа с изменённой конструкцией. По специфике LTO, доступной с поколения LTO-3, WORM-картридж отличается от обычного тремя вещами:
- Чип Cartridge Memory (LTO-CM) идентифицирует картридж как WORM непосредственно приводу при загрузке — привод узнаёт об ограничении ещё до начала любой операции записи.
- Сервотрек слегка отличается от обычного — это позволяет приводу и внешним средствам верификации проверить, что данные на ленте не были модифицированы задним числом, даже если кто-то попытался бы физически подменить содержимое минуя штатный путь записи.
- Нижняя половина корпуса картриджа окрашена в серый цвет, а в некоторых случаях используются невозвратные винты — визуальный индикатор для оператора библиотеки, чтобы WORM-ленту нельзя было спутать с обычной при ручной работе.
Технически лента внутри WORM-картриджа ничем не отличается от обычной — вся защита реализована на уровне чипа памяти и сервотрека, а не на уровне магнитного покрытия. Привод, распознав WORM-картридж, аппаратно отклоняет любые команды на перезапись существующих данных, но при этом позволяет дописывать новые данные в свободное пространство до конца картриджа — то есть WORM не означает «одна запись на весь картридж», а именно «однократная запись на каждый конкретный участок».
WORM — это защита от изменения и удаления уже записанных данных, а не панацея от всего подряд:
- WORM не защищает от физического повреждения или потери картриджа — пожар, потоп или банальная кража уничтожат данные вместе с их неизменяемостью.
- WORM не защищает от записи уже зашифрованного вымогателем контента — если атакующий успел зашифровать данные до того, как они попали на ленту, WORM просто аккуратно и неизменяемо сохранит уже испорченную копию. Отсюда практическая рекомендация — обязательно сканировать данные на признаки компрометации до архивации, а не полагаться на WORM как на антивирус.
- Ёмкость WORM-картриджа расходуется безвозвратно — в отличие от обычной ленты, которую можно переиспользовать после истечения retention, WORM-носитель после заполнения просто отправляется на списание. Это нужно закладывать в расчёт стоимости хранения при планировании закупки.
Стоит сделать ещё одну сноску — Retention для кассет, устанавливаемый в СРК — это не аналог WORM, это логическая, программная политика. СРК сам ведёт учёт: какая лента к какому media set относится, когда истекает её retention-период, и просто не планирует эту ленту к перезаписи в обычном рабочем цикле джобов, пока срок не истёк.

Слой 3: Шифрование
Начиная с поколения LTO-4, спецификация добавила поддержку шифрования данных непосредственно в приводе, до того как они физически попадают на ленту. Все современные производители приводов LTO поддерживают Application Managed Encryption (AME) — режим, при котором именно бэкап-софт управляет генерацией и передачей ключа приводу через SCSI-команды, а сам привод выполняет шифрование на лету, без нагрузки на CPU сервера.
Ключи при таком подходе передаются приводу либо через проприетарные протоколы конкретного вендора бэкап-софта, либо через открытый отраслевой стандарт KMIP (Key Management Interoperability Protocol).
Аппаратное vs программное шифрование
Если привод не поддерживает аппаратное шифрование (например, старые поколения LTO), система резервного копирования откатывается на программное шифрование AES-256 ещё до отправки данных на ленточное устройство. У этого подхода есть очевидный минус — нагрузка ложится на CPU бэкап- или tape-сервера, а не на специализированный чип привода.
Отдельно стоит предостеречь от типичной ошибки: если данные уже зашифрованы бэкап-софтом на уровне репозитория, включение аппаратного шифрования привода поверх этого приводит к двойному шифрованию без какого-либо прироста безопасности, но с потерей эффективности сжатия — зашифрованные данные практически не сжимаются, а значит вы теряете полезную ёмкость картриджа. Веским аргументом за шифрование именно на уровне ленты остаётся только один сценарий: лента физически покидает вашу зону контроля (отдаётся третьей стороне) — тогда дополнительный слой шифрования оправдан вне зависимости от того, что уже зашифровано.
Самое слабое место в цепочке шифрования — почти никогда не сам алгоритм, а процесс управления ключами. Если ключ шифрования потерян или недоступен, зашифрованные данные на ленте становятся так же бесполезны, как если бы их вообще стёрли — расшифровать AES-256 без ключа на современном оборудовании невозможно ни при каких разумных сроках. Отсюда практические рекомендации, которые справедливы для любого вендора:
- используйте централизованный KMS (Key Management Server) с резервированием, а не полагайтесь на локальное хранение пароля в одном месте
- если по каким-то причинам KMS невозможен — держите пароли максимально стойкими, меняйте их регулярно и храните резервную копию самого пароля отдельно от той системы, которую он защищает
- для Veeam конкретно — рассмотрите Enterprise-лицензию с настроенным Backup Enterprise Manager ради функции Password Loss Protection, которая как раз закрывает сценарий утраты пароля
Как три слоя работают вместе
| Угроза | Air gap | WORM | Шифрование |
| Шифровальщик получил доступ к сети и пытается зашифровать/удалить бэкап | Защищает (если лента реально offline) | Защищает от удаления/перезаписи, даже если атакующий получил админ-доступ к бэкап-софту | Не защищает от удаления, но не даёт прочитать данные, даже если лента украдена |
| Физическая кража картриджа | Не защищает сама по себе | Не защищает содержимое от прочтения | Защищает — без ключа данные бесполезны |
| Инсайдер с легитимным доступом к системе управления библиотекой | Частично защищает (если требуется физическое действие для доступа к offline-копии) | Защищает от удаления/подмены данных | Не защищает, если у инсайдера есть доступ и к ключам |
| Потеря или повреждение носителя (пожар, влага) | Не защищает | Не защищает | Не защищает (нужна географическая избыточность — вторая копия в другом месте) |
Из таблицы хорошо видно: ни один слой не закрывает всё. Air gap бессилен против кражи носителя, WORM не спасает от утечки содержимого, шифрование не спасает от удаления. Только комбинация всех трёх плюс географическая избыточность (та самая единица в правиле 3-2-1-1-0) даёт то, что можно всерьёз назвать устойчивостью к современным атакам.
Практический чеклист
Если сводить всё написанное к конкретным действиям при построении tape-инфраструктуры:
- Не путайте nearline с air gap. Библиотека с картриджами, постоянно лежащими в слотах, — это не то же самое, что физически вывезенная лента. Программные «вольты» вендоров (Active Vault, Safeguarded Tape, MSL Vault Partition) — хороший дополнительный слой, но не замена регулярной физической ротации.
- Используйте WORM для действительно критичных долгосрочных копий, особенно там, где есть регуляторные требования — но закладывайте в расчёт стоимости невозможность переиспользования картриджа.
- Сканируйте данные на признаки компрометации до архивации — WORM защитит уже зашифрованную вымогателем копию так же надёжно, как и чистую.
- Настройте централизованное управление ключами шифрования и обязательно держите резервную копию пароля/ключа отдельно от защищаемой инфраструктуры.
- Не включайте шифрование дважды без необходимости — это стоит вам ёмкости картриджа без прироста безопасности, за исключением сценария физической транспортировки ленты за пределы вашего периметра.
- Планируйте под правило 3-2-1-1-0, а не устаревшее 3-2-1 — обязательная офлайн/immutable-копия и обязательное регулярное тестирование восстановления, а не просто наличие бэкапа.