«Киберпротект» выпустил Кибер Бэкап 18.5: многопоточность, интеграция с отечественными СХД и новые инструменты мониторинга

Ставка на производительность: рост вместе с инфраструктурой

Центральная тема нового релиза — производительность. Мы развиваем продукт в парадигме олимпийских принципов, перенесённых на разработку ПО: «Быстрее — производительность, выше — масштабируемость, сильнее — отказоустойчивость». На сегодняшний день один экземпляр сервера управления «Кибер Бэкапа» поддерживает до 60 тыс. почтовых ящиков и 20 тыс. виртуальных машин, и эти цифры продолжат расти в следующих выпусках.

Под производительностью в «Киберпротекте» понимают прежде всего скорость выполнения операций резервного копирования, которая напрямую определяет способность заказчика уложиться в заданные окна бэкапа. Это особенно критично для крупных и нагруженных инфраструктур — банков, телеком-операторов, промышленных предприятий, — где простой или незавершённый бэкап означает реальные бизнес-риски.

Директор направления систем резервного копирования компании «Киберпротект» Дмитрий Антонов
и менеджер продуктового маркетинга «Киберпротект» Тимур Гуссейнов
Фото: «Киберпротект»

Многопоточное файловое резервное копирование

Одним из наиболее ожидаемых нововведений версии 18.5 стало многопоточное файловое резервное копирование. Запрос на эту функцию поступал от заказчиков длительное время и был связан с необходимостью защиты так называемых «файловых помоек» — файловых серверов и СХД, на которых хранятся сотни тысяч и миллионы небольших файлов из систем документооборота, прикладных систем и других корпоративных приложений.

Прежние версии были некоторым образом ограничены в этом сценарии, поскольку обработка большого количества небольших файлов занимает гораздо больше времени, чем потоковое непрерывное резервное копирование большого источника без множества мелких файлов. Теперь один агент может параллельно забирать несколько файлов с дисков и сетевых хранилищ одновременно, используя до 24 потоков. Результаты тестирования показали ускорение минимум в три раза, а в ряде сценариев — ещё больше.

Настройка количества потоков пока осуществляется через конфигурационный файл, а не через графический интерфейс. В следующих версиях планируем добавить управление многопоточностью в веб-консоль и расширить её на резервное копирование разделов операционных систем и виртуальных дисков виртуальных машин. Конечная цель — обеспечить многопоточность для всех типов источников данных без исключения.

Многопоточность для PostgreSQL: новый уровень защиты баз данных

Ещё одно важное направление развития многопоточности — резервное копирование PostgreSQL. «Киберпротект» уже несколько лет системно работает над улучшением пользовательского опыта при защите этой СУБД, которая стала де-факто стандартом для российского рынка. В версии 18.0 появилось многопоточное полное резервное копирование с собственным механизмом, а инкрементальное копирование через WAL-файлы по репликационному слоту существовало ещё с 17-й версии.

Однако заказчики с большими высоконагруженными базами данных сообщали, что инкрементное резервное копирование через WAL-файлы по-прежнему занимает слишком много времени. В версии 18.5 мы пошли сразу двумя путями: реализовали многопоточное резервное копирование без использования WAL-файлов и внедрили бинарный инкремент, который позволяет резервировать только те изменения, которые произошли с момента создания последней копии.

Всё это ведёт к кратному ускорению резервного копирования PostgreSQL. При этом мы сохраняем все возможности восстановления, включая Point-in-Time Recovery. Все настройки нового механизма уже доступны в графическом интерфейсе.

Важно отметить, что собственные технологии «Киберпротекта» работают не только с платными версиями PostgreSQL, но и с бесплатными «ванильными» сборками и другими СУБД (форками) на базе PostgreSQL. Параллельно ожидаем появления библиотеки ProBackup от российской компании Postgres Pro, которая будет интегрирована в продукт, как только станет доступна в полностью готовом виде, — однако эта библиотека будет поддерживать только платные версии СУБД.

Аппаратные снимки для zVirt и Yadro Tatlin: отечественный стек корпоративного уровня

В области защиты виртуальных сред главным событием релиза стала поддержка аппаратных моментальных снимков для СХД Yadro Tatlin Unified в связке с системой виртуализации zVirt. Эта технология позволяет существенно снизить нагрузку на хосты гипервизора и сеть при создании резервных копий виртуальных машин, значительно ускоряя весь процесс.

Отметим историческое значение этого шага: это первая ласточка на российском рынке. Раньше подобная технология работала у нас только в связке VMware с зарубежными СХД — NetApp, Lenovo и другими. Теперь мы можем предложить решение на уровне лучших зарубежных аналогов, но полностью на отечественном стеке — и по софту, и по железу. Технология разрабатывалась в трёхстороннем партнёрстве с компаниями «Орион Софт» (разработчик zVirt) и Yadro, что позволило ускорить процесс интеграции. В дальнейших планах — перенос поддержки аппаратных снимков и на другие отечественные СХД, а также на «ванильные» аналоги платформ виртуализации.

Новая интеграция с «Горизонт-ВС» и уровни поддержки виртуализации

Компания «Киберпротект» продолжает расширять спектр поддерживаемых отечественных систем виртуализации. В версии 18.5 реализована интеграция с популярной платформой «Горизонт-ВС», на которую поступало значительное количество запросов от заказчиков.

«Киберпротект» использует следующую внутреннюю градацию уровней интеграции с платформами виртуализации. Первый уровень — безагентное резервное копирование без дополнений. Второй — поддержка тегов виртуальных машин, которая автоматизирует назначение политик защиты. Третий — технологии ускорения вроде Change Block Tracking и LAN-free, снижающие нагрузку на сеть. Четвёртый — аппаратные моментальные снимки. Пятый уровень выделен для VMware как эталонного уровня совместимости и включает мгновенное восстановление виртуальных машин напрямую из архива.

Для «Горизонт-ВС» сразу реализован второй уровень — безагентное резервное копирование и поддержка тегов. В дальнейшем планируем поэтапно наращивать глубину интеграции.

При этом общий портфель поддерживаемых систем виртуализации впечатляет: «Кибер Бэкап» работает с «Базис», «Р-Виртуализация», CloudSpace, VMmanager, zVirt, «Брест», HOSTVM, «РУСТЭК», собственной «Киберинфраструктурой», а также с Proxmox, OpenNebula, oVirt, VMware, Hyper-V и рядом других платформ. Всего порядка 20 систем, из которых 14 — отечественные.

Защита контейнерных сред: обход ограничений CSI-драйверов

Для платформ оркестрации контейнеров Kubernetes разработчики решили важную проблему: резервное копирование постоянных томов, которое ранее не работало при отсутствии совместимости с CSI-драйверами для создания моментальных снимков. Теперь в продукте появился альтернативный механизм резервного копирования постоянных томов без использования снимков, что расширяет круг поддерживаемых конфигураций.

Кроме того, в веб-консоли реализована поддержка меток Kubernetes, позволяющая точечно выбирать объекты для включения в резервную копию прямо в графическом интерфейсе. Это снижает нагрузку на администратора, на хранилище и на сеть, а также упрощает процесс восстановления.

Расширение API: путь к полной автоматизации

«Киберпротект» последовательно развивает программный интерфейс (API) как современный стандарт управления системой резервного копирования, постепенно заменяя им устаревший интерфейс командной строки. API обслуживает два ключевых сценария: управление (создание, удаление, назначение заданий, интеграция с внешними системами) и информирование (получение статусов, данных о копиях, агентах, источниках).

В версии 18.0 был реализован первый набор функций API для управления планами защиты и группами устройств. В версии 18.5 добавлен второй набор: просмотр и удаление резервных копий, управление резервным копированием виртуальных машин, MS Exchange и MS SQL. В ближайших планах — удаление архивов через API, задания на полное и гранулярное восстановление, управление источниками данных, обнаружение и регистрация агентов.

Безопасность управления: LDAPS и защита от атак посредника

Отдельный блок изменений посвящён усилению безопасности при управлении системой. Контекст проблемы такой: существует распространённая рекомендация по «хардингу» системы резервного копирования, предполагающая изоляцию доступа вплоть до использования исключительно локальных учётных записей и отключения от домена. Это, конечно, надёжно, но совершенно неудобно, а доменные сценарии управления гораздо практичнее, хотя и создают единую точку компрометации.

Решением стала поддержка протокола LDAPS (LDAP поверх SSL), который обеспечивает шифрование коммуникации между клиентами и серверами домена, минимизируя риски атак «человек посередине» и перехвата учётных данных. Кибер Бэкап поддерживает LDAPS для всех пяти служб каталогов, с которыми работает: Active Directory, FreeIPA, Samba DC, ALD Pro и РЕД АДМ. Реализована также поддержка сертификатов, выданных корпоративными удостоверяющими центрами. В перспективе планируем добавить мультифакторную аутентификацию, которая уже работает в облачной версии Кибер Бэкапа, но пока не перенесена в on-premise-продукт.

Пакетное управление планами: простое, но критически важное изменение

Среди нововведений веб-консоли особого внимания заслуживает возможность массового управления планами защиты — заданиями на резервное копирование, очистку, репликацию и другие операции. До этого релиза управлять планами можно было только по одному, что создавало серьёзные неудобства в крупных инфраструктурах с сотнями и тысячами заданий. Теперь администраторы могут одновременно запускать, останавливать, включать, отключать, удалять и экспортировать группы планов. Чем крупнее инфраструктура, тем больше ценность этого, казалось бы, небольшого изменения.

Помимо этого, в веб-интерфейсе появились новые колонки в списках планов защиты, оптимизированная фильтрация и сортировка, сохранение пользовательских настроек отображения, а также более информативное представление данных о ленточных хранилищах. Для администраторов PostgreSQL добавлена возможность задавать произвольные комментарии к экземплярам СУБД и кластерам Patroni прямо при регистрации, что позволяет легко ориентироваться в списке из множества баз данных, которые иначе отображались бы только по IP-адресу или имени хоста.

Интеграция с Grafana и системами ИТ-мониторинга

Одно из наиболее значимых нововведений версии 18.5 — нативная интеграция с системами централизованного ИТ-мониторинга. Ранее передача метрик из «Кибер Бэкапа» в системы вроде Zabbix или Grafana требовала «костыльных» методов: администраторам приходилось реверс-инжинирить API-запросы через режим разработчика браузера и вручную встраивать их в сторонние системы.

Теперь в комплект поставки продукта включён новый компонент — OpenTelemetry Collector, который собирает метрики и логи системы резервного копирования и передаёт их в Prometheus для обработки и далее в Grafana для визуализации. Для сбора аппаратных метрик серверов используются стандартные экспортеры — Node Exporter для Linux и Windows Exporter для Windows. Логи обрабатываются через Grafana Loki.

Разработчики «Кибер Бэкап» подготовили базовую контрольную панель Grafana, которая из коробки показывает ключевые показатели: количество планов защиты, число устройств, статусы выполнения, информацию об успешных и неуспешных заданиях. При этом панель полностью кастомизируема — через плагин Infinity для Grafana и API-запросы можно получить значительно более детальные метрики и визуализировать их по потребностям конкретной организации.

Поддержка Zabbix запланирована на следующий функциональный релиз. Базовая инфраструктура для этого уже готова: тот же OpenTelemetry Collector будет использоваться для передачи данных в Zabbix, будут подготовлены и опубликованы шаблоны мониторинга.

«Кибер Медиа Сервер» — замена узла хранения в процессе

«Киберпротект» продолжает работу над новым компонентом — «Кибер Медиа Сервером», который призван заменить существующий узел хранения, являющийся «бутылочным горлышком» системы. Новый компонент строится на базе технологий «Киберинфраструктуры» и «Киберхранилища»: Backup Gateway для приёма данных и vStorage для работы с различными типами хранилищ — локальными дисками, сетевыми папками, S3-совместимыми хранилищами.

Стоит рассказать о задержке с предоставлением MVP-версии, анонсированной ранее: мы столкнулись с деградацией производительности в определённом сценарии, который, как мы считаем, был бы заметен многим тестировщикам, поэтому немного отложили выпуск. Сейчас мы разобрались с проблемой и начинаем работу над тем, чтобы предоставить «Кибер Медиа Сервер» на тестирование ограниченному кругу заказчиков. Как только мы решим, что «Кибер Медиа Сервер» готов, он появится в широком доступе.

Текущая MVP-версия работает на базе операционной системы РЕД ОС 7.3, которая будет поставляться в составе продукта без необходимости отдельной покупки. Среди уже реализованных возможностей — поддержка неизменяемости резервных копий через технологию Backup Gateway, предотвращающую уничтожение или модификацию архивов, а также возможность переключения хранилищ между разными экземплярами серверов управления. В дорожной карте остаются графический интерфейс управления, кластерные конфигурации, ролевая модель доступа и поддержка ленточных библиотек.

Неизменяемость резервных копий как защита от новых типов атак

Шифрование (парольная защита) защищает вас от похищения и использования ваших данных. Неизменяемость защищает от того, что ваши данные просто испортят или удалят. Таким образом, шифрование и неизменяемость защищают от разных атак, и они должны работать вместе.

Всё больше кибератак направлены не на хищение данных, а на остановку работоспособности предприятия путём удаления или шифрования информации, включая резервные копии. Парольная защита (AES-шифрование на различных уровнях, до 256 бит) существовала в продукте и ранее, а неизменяемость резервных копий через Backup Gateway в составе «Кибер Медиа Сервера» — новое дополнение, закрывающее другой вектор угроз.

Модульность, загрузочный носитель, гранулярное восстановление Exchange

Среди дополнительных изменений в версии 18.5 — начало разделения единого установочного пакета на отдельные компоненты. Первым был выделен установщик агента для Linux, что позволяет не передавать на конечный сервер полный пакет установки значительного объёма, когда нужен только один маленький агент.

Загрузочный носитель теперь поддерживает работу с «Кибер Хранилищем» через компонент Backup Gateway, что открывает возможности восстановления в изолированных средах и сценарии миграции между физическими и виртуальными машинами.

Для MS Exchange реализовано гранулярное восстановление архивных почтовых ящиков, что снижает показатель RTO и нагрузку на сеть при восстановлении отдельных элементов почты.

Планы на будущее

Во втором квартале 2026 года выйдет стабилизационный релиз 18.6, который будет подан на сертификацию ФСТЭК. Мы приняли принципиальное решение сертифицировать именно стабилизационные, а не функциональные релизы: лучше отдать во ФСТЭК тот релиз, который уже получил исправления, чем тот, в котором функционал только появился и возможны недоработки.

В третьем-четвёртом квартале запланирован большой функциональный релиз «Кибер Бэкап» 19.0, который продолжит развитие всех начатых направлений. В нём, как уже было сказано, ожидается интеграция с Zabbix, новая система нотификаций с возможностью отправки алертов в мессенджеры и сторонние системы, обновлённая система мониторинга и отчётности, доработки аудита, развитие поддержки PostgreSQL-кластеров на базе Patroni, интеграция с почтовой системой RuPost и потенциально — с системой виртуализации VMmanager.

«Киберпротект» намерен снизить количество новых интеграций в пользу глубокой архитектурной проработки движка продукта. Мы видим, что в предыдущие годы запрос рынка изменился. Раньше все хотели просто интеграцию. Теперь все хотят, чтобы и интеграция была качественной, и само ПО работало стабильно, быстро, прогнозируемо и надёжно. Мы приближаемся к пределу производительности компонентов, написанных ещё в 2021-2022 годах. Например, в тестах мы видим ускорение в пять раз, но упираемся в старый компонент, который, если переписать, позволит ускориться в семь или десять раз.

В четвёртом квартале выйдет стабилизационный релиз 19.1. В ближайших релизах в примечаниях к выпуску будет публиковаться полный список закрытых уязвимостей и исправленных ошибок, включая те, о которых ранее не сообщалось. Мы решили быть более открытыми. Хотим показать, что между функциональными релизами мы работаем над надёжностью и стабильностью продукта. В частности, в текущей версии уже обновлены OpenSSL и SQLite, что разом закрыло значительное количество CVE-уязвимостей.

Рыночные позиции и стратегические амбиции

Мы оцениваем нашу долю рынка систем резервного копирования в 56 %, а ближайший отечественный конкурент занимает около 6 %. По большому счёту, мы сейчас больше конкурируем не с российскими решениями, а целимся в то, чтобы стать полноценным конкурентом для громких зарубежных имён в мире СРК.

Важный тренд заключается в следующем: если в предыдущие годы нашими основными заказчиками были государственные структуры, обязанные переходить на отечественное ПО по требованиям законодательства, то сейчас существенно выросла доля коммерческих компаний, не связанных нормативными ограничениями. К нам уже приходят те, у кого нет КИИ и требований обновиться на отечественную систему. Они выбирают нас, потому что продукт стал достаточно зрелым и конкурентоспособным. И мы оптимистично смотрим в будущее.

Авторы: Дмитрий Антонов, директор направления систем резервного копирования компании «Киберпротект»; Тимур Гуссейнов, менеджер продуктового маркетинга «Киберпротект»