Бэкап офиса в S3-хранилище MinIO + Veeam: защита от шифровальщиков для малого бизнеса
Привет! Меня зовут Семёнов Евгений Сергеевич, и я руковожу компанией АйТи Фреш. За мои 15 лет в профессии я успел повидать, как десятки офисов теряли свои данные. Причины всегда одни и те же, до банальности простые: это либо зловредный шифровальщик, либо внезапная смерть внешнего HDD, либо просто человек, который «случайно удалил папку с договорами». Сегодня я хочу поделиться нашим опытом. Расскажу, как мы создаём иммутабельный бэкап, используя связку из MinIO и Veeam. Это решение, которое обойдётся вам в разумные деньги, и что самое главное — его даже сам шифровальщик удалить не сможет.
Почему стандартная схема «бэкап на внешний HDD» больше не работает
Ещё лет десять назад типичной картиной был внешний диск: бухгалтер забирал его домой раз в неделю. Со временем появились NAS, затем в моду вошли облачные хранилища. Каждое из этих решений, бесспорно, было шагом вперёд. Но вот что я вижу сейчас, когда смотрю на большинство офисов, где 20–50 рабочих мест: стоит себе сервер 1С, рядом с ним — NAS, и клиентский инженер абсолютно уверен, что у него «бэкапы настроены». В чём подвох? Эти бэкапы доступны из той же самой сети и, что ещё хуже, под теми же учётными записями. Итог печален: любой шифровальщик, который залетит по RDP, без проблем зашифрует не только рабочие данные, но и вашу резервную копию.
Только за 2025 год я лично столкнулся с семью офисами, которые обратились к нам уже после того, как пережили атаку шифровальщика. В пяти случаях из этих семи резервные копии оказались зашифрованы вместе с основными, «боевыми» данными. И что вы думаете? В четырёх случаях из пяти им пришлось либо раскошелиться на выкуп, который варьировался от 800 тысяч до 3,2 миллиона рублей, либо просто потерять результаты работы за последние два-три года. Одна из компаний так и не смогла оправиться — в итоге им пришлось закрыться.
Причина этого всегда одна и та же, как под копирку: бэкапы хранились в той же самой сетевой шаре, куда мог дотянуться заражённый сервер. Поймите, шифровальщик — это просто программа, процесс, который запускается от имени пользователя. А значит, какие файлы доступны пользователю, те же самые файлы будут видны и шифровальщику.
Что такое иммутабельный бэкап и при чём тут S3
Что же такое иммутабельный бэкап? Это, по сути, такая копия ваших данных, которую совершенно невозможно изменить или удалить до тех пор, пока не истечёт заранее установленный срок. Представьте: даже если злоумышленник получит полный доступ, у него будут все админские права, даже если он раздобудет логин и пароль от сервера резервного копирования — он всё равно ничего не сможет сделать. Файл остаётся защищённым, и эта защита обеспечивается на физическом уровне самого хранилища.
Ещё лет пятнадцать назад, чтобы добиться иммутабельности, использовали ленточные библиотеки: записал данные на LTO-ленту и спрятал её в сейф. Но сегодня таким способом уже никто не пользуется — восстановление с ленты занимает от 4 до 12 часов, сами накопители стоят дорого, да и приводы постоянно выходят из строя. Сейчас есть современная альтернатива: это объектное хранилище, обязательно с поддержкой функции Object Lock, которая соответствует стандарту AWS S3. И здесь у нас есть два варианта: либо арендовать облачное S3-хранилище, скажем, у Яндекса или Selectel, либо развернуть своё собственное на своём же сервере, используя MinIO.
Что такое MinIO? Это, по сути, open-source реализация того самого протокола S3. По своему функционалу он практически идентичен AWS S3, и для нас очень важно, что он включает в себя критически важную функцию Object Lock. MinIO без проблем ставится на любой Linux-сервер. А что касается лицензии: AGPLv3 для внутреннего использования совершенно бесплатна. Коммерческая же лицензия начинается от 10 тысяч долларов в год, но обычному офису она ни к чему, если вы, конечно, не перепродаёте услуги хранения данных.
Минимальная конфигурация для офиса 20–50 рабочих мест
В АйТи Фреш мы в своей практике остановились на одной, проверенной типовой архитектуре. Она прекрасно подходит для 90% всех офисных сценариев и, что немаловажно, не требует от вас городить сложный кластер из 4 серверов.
- Один сервер MinIO — обычный 2U-корпус, 6–8 дисков SATA по 6–10 ТБ, 32 ГБ RAM, любой Xeon E-2300 или Ryzen Pro. Бюджет 180–280 тысяч рублей.
- Veeam Backup & Replication в редакции Essentials — до 5 виртуальных машин, до 50 рабочих станций. Лицензия на 3 года обходится около 280 тысяч рублей, но в России сейчас работают через партнёров или используют альтернативу — Кибер Бэкап от Киберпротект.
- Сеть — гигабит между сервером 1С и MinIO достаточно. Для офиса 50 ПК с ежедневным приростом 200–400 ГБ вы упрётесь в диски раньше, чем в сеть.
- Физика — MinIO ставим в отдельную серверную, в идеале в другом пожарном отсеке от основного сервера, или даже в другом офисе/квартире директора. Для офиса на Ленинградском это может быть квартира в Химках — гигабитный Ethernet туда доведёт любой нормальный провайдер.
Эта связка, которую мы предлагаем, помогает устранить сразу три ключевых риска, с которыми сталкиваются компании: это и шифровальщик, и физическое уничтожение данных (например, из-за пожара или кражи), и, конечно же, пресловутая человеческая ошибка. А что по бюджету? Обычно проект «под ключ» для офиса, где работает 30 ПК, обходится, по моим расчётам, в 450–550 тысяч рублей единоразово. Плюс к этому ежемесячно добавляется около 15 000 рублей на абонентское обслуживание.
Установка MinIO за 15 минут на Debian 12
Хотите разобраться, что это за зверь такой и как он работает? Пожалуйста, вот вам реальный набор команд, которые я лично запускаю на новом сервере. Никаких сложных Kubernetes, никаких заумных Helm-чартов — всё просто, на базе обычного systemd.
# Скачиваем бинарник MinIO
wget https://dl.min.io/server/minio/release/linux-amd64/minio
chmod +x minio && sudo mv minio /usr/local/bin/
# Создаём служебного пользователя
sudo useradd -r -s /sbin/nologin minio-user
# Готовим диски (у нас их 6, под XFS)
for i in 1 2 3 4 5 6; do
sudo mkfs.xfs /dev/sd${i} -L disk${i} -f
sudo mkdir -p /data/disk${i}
done
# Монтируем с noatime для скорости
echo 'LABEL=disk1 /data/disk1 xfs defaults,noatime 0 2' | sudo tee -a /etc/fstab
# ... повторить для disk2–disk6
sudo mount -a
sudo chown -R minio-user:minio-user /data
# Конфигурация MinIO
sudo tee /etc/default/minio <<'EOF'
MINIO_ROOT_USER=admin
MINIO_ROOT_PASSWORD=СильныйПарольМинимум20Символов!!
MINIO_VOLUMES="/data/disk{1...6}"
MINIO_SERVER_URL="https://backup.office.local:9000"
EOF
# systemd unit — и запускаем
sudo systemctl enable --now minio
Пятнадцать минут — и у вас работающее S3-хранилище на 50–70 ТБ полезного объёма с erasure coding (MinIO сам раскидает данные с контролем чётности, любые два диска из шести могут умереть без потери данных).
Настройка Object Lock — главная фича против шифровальщиков
А теперь самое важное. Создаём бакет с включённой иммутабельностью:
# Ставим клиент mc
wget https://dl.min.io/client/mc/release/linux-amd64/mc
chmod +x mc && sudo mv mc /usr/local/bin/
# Подключаемся к нашему MinIO
mc alias set office https://backup.office.local:9000 admin 'СильныйПароль...'
# ВАЖНО: Object Lock включается ТОЛЬКО при создании бакета
mc mb office/veeam-backups --with-lock
# Ставим COMPLIANCE-режим на 30 дней:
# никто не удалит бэкап раньше 30 дней. Вообще никто.
mc retention set --default COMPLIANCE 30d office/veeam-backups
Режим COMPLIANCE означает, что даже root сервера MinIO не может удалить объект до истечения 30 дней. Это не шутка и не красивая настройка — это физическая защита. Если шифровальщик попал в корпоративную сеть, получил пароль от админа MinIO и попытался стереть бэкапы — он получит ошибку «Access Denied». Данные останутся на месте.
Для Veeam мы создаём специального, отдельного сервисного пользователя. У него будут минимальные права — только на чтение и запись в конкретный бакет. Запомните: использовать учётную запись обычного админа, а уж тем более доменные аккаунты, при настройке бэкапа категорически нельзя. Это, я считаю, вопрос базовой информационной гигиены.
Подключение Veeam к MinIO как S3-репозиторию
В Veeam Backup & Replication 12 и выше S3-совместимые хранилища поддерживаются из коробки. В мастере это выглядит так:
- Идём в Backup Infrastructure → Backup Repositories → Add Repository → Object Storage → S3 Compatible.
- Указываем endpoint:
https://backup.office.local:9000. - Вбиваем Access Key и Secret Key сервисного пользователя, которого создали ранее.
- Выбираем bucket
veeam-backups. - Ставим галку Make recent backups immutable for 30 days — Veeam будет сам проставлять Object Lock на каждый загружаемый объект.
Для офисов я обычно советую использовать схему Scale-out Backup Repository, или сокращённо SOBR. Как это работает? Свежие бэкапы, те, что сделаны за последние 3–7 дней, хранятся на быстром локальном SSD. А всё, что старше, автоматически переезжает на MinIO. И что здорово, гранулярное восстановление, когда вам нужно, например, достать всего одно письмо из бэкапа Exchange, работает совершенно прозрачно: Veeam сам, без вашего участия, подтягивает необходимые блоки прямо из S3.
Реальные цифры: сколько это стоит и что даёт
Давайте сравним три самых распространённых варианта, которые подходят для офиса с 30 ПК, где есть сервер 1С и объём бэкапа составляет 8 ТБ.
| Решение | Стоимость 3 года | Восстановление 100 ГБ | Защита от шифровальщика |
|---|---|---|---|
| Внешний HDD + ротация | 18 000 ₽ | 1–2 часа | Нет |
| NAS в том же офисе | 95 000 ₽ | 20–40 минут | Условная |
| Яндекс Object Storage S3 | 520 000 ₽ | 40–60 минут | Да |
| MinIO + Veeam в своей серверной | 460 000 ₽ | 15–25 минут | Да, Object Lock |
| MinIO + копия в облаке | 680 000 ₽ | 15–25 минут | Максимальная (3-2-1) |
Обратите внимание, что в «стоимость за 3 года» я включил и оборудование, и лицензию Veeam Essentials, и, конечно же, работы по настройке, которые выполняют специалисты АйТи Фреш. На длинной дистанции собственное решение на базе MinIO определённо выигрывает у облачных сервисов, причём в 2–3 раза! Дело в том, что в облаке вы платите не только за само хранение данных, но и за исходящий трафик при их восстановлении. А если вам вдруг придётся восстанавливать все 8 ТБ, то по облачным тарифам это может вылиться в очень круглую сумму — от 80 до 120 тысяч рублей всего за один инцидент!
Кейс: типография в Мытищах, восстановление после WannaCry-подобной атаки
В октябре 2025 года ко мне обратились представители одной типографии в Мытищах. У них было 34 рабочих места и два сервера — один для 1С, другой файловый. Всего за сутки до их звонка к ним проникли через RDP-сервер, используя, как потом выяснилось, пароль Admin2024, и запустили шифровальщик. В итоге было зашифровано абсолютно всё: база 1С, файловый сервер, и что самое обидное — даже бэкапы на NAS, который, как вы уже догадались, был доступен из той же сети и под той же учётной записью.
До этого неприятного инцидента мы их не обслуживали. Однако внутри у них была установлена копия Veeam, которую, как мне потом рассказали, админ-фрилансер поставил «на удачу» — мол, авось поможет. И она ведь действительно работала! Вот только бэкапы уходили на обычную сетевую шару на NAS. Естественно, шифровальщик добрался и до неё.
Мы включились в работу очень быстро, в течение 3 часов. Базу 1С удалось восстановить из облачной копии, которую, к счастью, совершенно случайно делал сам бухгалтер — это была папка синхронизации Dropbox Business. По сути, сработал такой незапланированный аварийный план, хотя никакого плана никто и не составлял! Тем не менее, они всё равно потеряли данные за три недели финансовых операций и два договора, которые попросту не успели попасть в Dropbox.
Уже через неделю после этого инцидента мы развернули для них нашу связку MinIO + Veeam, настроив Object Lock на 30 дней. Бюджет всего проекта, включая разовые работы и оборудование, составил 480 тысяч рублей. И вот что я вам скажу: за прошедшие полгода у них было ещё две попытки взлома через RDP. Один раз даже успешная, шифровальщик запустился! Но благодаря нашей системе бэкапы остались абсолютно целыми. Восстановление заняло всего 1 час 40 минут, а не две недели, как в прошлый раз. Могу с уверенностью сказать, что директор этой типографии теперь один из самых спокойных моих клиентов.
Что ещё нужно кроме MinIO и Veeam — чек-лист
А теперь честно — кому это всё не нужно:
- Тестовое восстановление раз в квартал. Реально поднимаем ВМ из бэкапа в изолированной сети и проверяем, что 1С открывается, а Exchange стартует. Без этого любые бэкапы — теоретические.
- Отдельный VLAN для сервера бэкапа. Сервер MinIO не должен быть в той же сети, что и рабочие станции. Маршрутизация только через межсетевой экран с явными правилами.
- Сервисные учётки Veeam и MinIO не имеют интерактивного входа и доступа к домену. RDP и Local Logon запрещены.
- Алерты в Telegram при любой ошибке бэкапа. За 15 лет я видел десятки инсталляций, где бэкап «якобы работал», а на деле последние 8 месяцев падал с ошибкой — никто просто не читал логи.
- Копия критичных данных в независимое облако. Правило 3-2-1: три копии, два типа носителей, одна копия offsite. MinIO + облачный репозиторий закрывает его на 100%.
Когда MinIO + Veeam не нужен
Знаете, я категорический противник излишнего усложнения. Если у вас в офисе всего 5–8 рабочих мест, своего сервера 1С нет (вы, например, работаете в облачной 1С от СКБ Контур), и при этом всё самое ценное хранится в Яндекс Диске для бизнеса — тогда никакой MinIO вам и не понадобится. В таком случае вам вполне хватит вот чего:
- Платный Яндекс Диск для бизнеса или Microsoft 365 с встроенной версионностью файлов.
- Раз в месяц — выгрузка ключевых документов на шифрованный внешний HDD, хранение у директора дома.
- Антивирус с защитой от шифровальщиков (Kaspersky Small Office Security) и базовая гигиена — отключенный RDP, двухфакторка для почты.
Подобный комплект обойдётся вам где-то в 30–50 тысяч рублей в год, и этого будет вполне достаточно, чтобы закрыть все основные риски для офиса такого масштаба. MinIO же начинает обретать смысл, когда объём ваших данных превышает 3 ТБ и, конечно, при наличии собственной локальной инфраструктуры — я имею в виду сервер 1С, файловый сервер, Exchange и так далее.
Бесплатный аудит схемы резервного копирования
За один визит в ваш офис я проверю текущую схему бэкапа, найду точки, где шифровальщик способен дотянуться до резервных копий, и дам письменные рекомендации. Будет смысл — спроектирую связку MinIO + Veeam именно под ваш объём данных и бюджет. Без обязательств.
Телефон: +7 903 729-62-41
Telegram: @ITfresh_Boss
Семёнов Евгений Сергеевич, директор АйТи Фреш
FAQ — частые вопросы по бэкапу офиса
- Защитит ли MinIO + Veeam от шифровальщиков?
- Да, при включённом Object Lock в режиме COMPLIANCE. Бэкап нельзя удалить или перезаписать до истечения retention даже с админскими правами. Это эффективнее внешнего HDD, который шифровальщик увидит как обычный диск и сразу зашифрует.
- Сколько стоит построить такое хранилище для офиса 30 ПК?
- Под ключ — 450–550 тысяч рублей единоразово: сервер на 6 дисков (180–280 тыс.), лицензия Veeam или альтернативы (95–280 тыс.), 2–3 дня работ инженера (45–60 тыс.), плюс 10–15 тыс. в месяц на обслуживание.
- Нужен ли Kubernetes для MinIO?
- Нет. Для офисного применения MinIO ставится как обычный systemd-сервис на Debian или Ubuntu за 15 минут. Kubernetes нужен только для кластера из 4+ серверов, что офису избыточно.
- Подойдёт ли это если у нас только внешний HDD и 1 ТБ данных?
- Если данных меньше 1 ТБ и нет своего 1С или почтового сервера — достаточно ротации двух внешних HDD и облачного хранилища. Связка MinIO + Veeam окупается с объёма 3 ТБ, когда появляются серьёзные потери на скорости и риски шифровальщиков.
- Можно ли заказать такое под ключ в АйТи Фреш?
- Да. Мы делаем аудит бесплатно, проектируем архитектуру, поставляем оборудование по себестоимости, настраиваем MinIO и Veeam, тестируем восстановление и передаём полную документацию. Типовой проект для офиса 20–50 ПК занимает 2–3 недели.
