Бэкап офиса в S3-хранилище MinIO + Veeam: защита от шифровальщиков для малого бизнеса

Меня зовут Семёнов Евгений Сергеевич, я директор АйТи Фреш. За 15 лет я видел десятки офисов, которые теряли данные из-за трёх банальных причин: шифровальщик, смерть внешнего HDD и человек, который «случайно удалил папку с договорами». Сегодня расскажу, как мы делаем иммутабельный бэкап на связке MinIO и Veeam — решение, которое стоит разумных денег и которое сам шифровальщик удалить не может.

Почему стандартная схема «бэкап на внешний HDD» больше не работает

Лет десять назад классикой был внешний диск, который раз в неделю забирал бухгалтер домой. Потом пошли NAS, потом облачные хранилища. Каждое решение на момент появления было прогрессом, но сегодня я смотрю на большинство офисов с 20–50 рабочими местами и вижу одно и то же: сервер 1С, NAS рядом с ним, и инженер клиента свято верит, что у него «бэкапы настроены». Проблема в том, что почти все эти бэкапы видны из той же сети, с теми же учётными записями, и первый же шифровальщик, залетевший по RDP, заодно зашифрует и резервную копию.

За 2025 год через мои руки прошло семь офисов, которые пришли ко мне именно после инцидента с шифровальщиком. В пяти из семи бэкапы были зашифрованы вместе с основными данными. В четырёх из пяти пришлось платить выкуп от 800 тысяч до 3,2 миллиона рублей — или терять работу за два-три года. Одна компания не восстановилась вовсе: закрылась.

Причина одна и та же: бэкапы лежали в той же сетевой шаре, к которой имел доступ заражённый сервер. Шифровальщик — это просто процесс, который запускается от имени пользователя. Какие файлы видит пользователь, те же файлы видит и шифровальщик.

Что такое иммутабельный бэкап и при чём тут S3

Иммутабельный бэкап — это такой бэкап, который невозможно изменить или удалить до истечения заранее заданного срока. Даже если у злоумышленника есть полные админские права, даже если он получил логин и пароль от сервера резервного копирования. Файл физически защищён на уровне хранилища.

Лет пятнадцать назад иммутабельность делали ленточными библиотеками — записал на LTO-ленту, положил в сейф. Сегодня так никто не работает: лента восстанавливается 4–12 часов, ленточные накопители стоят дорого, приводы ломаются. Современная альтернатива — объектное хранилище с поддержкой Object Lock по стандарту AWS S3. И здесь у нас есть два пути: арендовать облачный S3 у Яндекса или Selectel, или поднять свой на собственном сервере с MinIO.

MinIO — это open-source реализация протокола S3. По функциональности почти полностью совпадает с AWS S3, включая критичный для нас Object Lock. Ставится на любой Linux-сервер, лицензия AGPLv3 для внутреннего использования бесплатна, коммерческая лицензия — от 10 тысяч долларов в год (для офиса не нужна, если вы не перепродаёте услугу хранения).

Минимальная конфигурация для офиса 20–50 рабочих мест

В практике АйТи Фреш мы остановились на следующей типовой архитектуре. Она покрывает 90% офисных сценариев и не требует кластера из 4 серверов.

• Один сервер MinIO — обычный 2U-корпус, 6–8 дисков SATA по 6–10 ТБ, 32 ГБ RAM, любой Xeon E-2300 или Ryzen Pro. Бюджет 180–280 тысяч рублей.
• Veeam Backup & Replication в редакции Essentials — до 5 виртуальных машин, до 50 рабочих станций. Лицензия на 3 года обходится около 280 тысяч рублей, но в России сейчас работают через партнёров или используют альтернативу — Кибер Бэкап от Киберпротект.
• Сеть — гигабит между сервером 1С и MinIO достаточно. Для офиса 50 ПК с ежедневным приростом 200–400 ГБ вы упрётесь в диски раньше, чем в сеть.
• Физика — MinIO ставим в отдельную серверную, в идеале в другом пожарном отсеке от основного сервера, или даже в другом офисе/квартире директора. Для офиса на Ленинградском это может быть квартира в Химках — гигабитный Ethernet туда доведёт любой нормальный провайдер.

Такая связка закрывает три основных риска: шифровальщик, физическое уничтожение (пожар, кража), человеческая ошибка. При этом бюджет проекта «под ключ» для офиса 30 ПК у меня обычно укладывается в 450–550 тысяч рублей единоразово плюс ~15 000 рублей в месяц на обслуживание в рамках абонентки.

Установка MinIO за 15 минут на Debian 12

Если вы хотите понять, что это вообще такое, вот реальный набор команд, которые я выполняю на новом сервере. Никакого Kubernetes, никаких Helm-чартов — обычный systemd.

# Скачиваем бинарник MinIO
wget https://dl.min.io/server/minio/release/linux-amd64/minio
chmod +x minio && sudo mv minio /usr/local/bin/

# Создаём служебного пользователя
sudo useradd -r -s /sbin/nologin minio-user

# Готовим диски (у нас их 6, под XFS)
for i in 1 2 3 4 5 6; do
  sudo mkfs.xfs /dev/sd${i} -L disk${i} -f
  sudo mkdir -p /data/disk${i}
done

# Монтируем с noatime для скорости
echo 'LABEL=disk1 /data/disk1 xfs defaults,noatime 0 2' | sudo tee -a /etc/fstab
# ... повторить для disk2–disk6
sudo mount -a
sudo chown -R minio-user:minio-user /data

# Конфигурация MinIO
sudo tee /etc/default/minio <<'EOF'
MINIO_ROOT_USER=admin
MINIO_ROOT_PASSWORD=СильныйПарольМинимум20Символов!!
MINIO_VOLUMES="/data/disk{1...6}"
MINIO_SERVER_URL="https://backup.office.local:9000"
EOF

# systemd unit — и запускаем
sudo systemctl enable --now minio

Пятнадцать минут — и у вас работающее S3-хранилище на 50–70 ТБ полезного объёма с erasure coding (MinIO сам раскидает данные с контролем чётности, любые два диска из шести могут умереть без потери данных).

Настройка Object Lock — главная фича против шифровальщиков

Теперь самое важное. Создаём бакет с включённой иммутабельностью:

# Ставим клиент mc
wget https://dl.min.io/client/mc/release/linux-amd64/mc
chmod +x mc && sudo mv mc /usr/local/bin/

# Подключаемся к нашему MinIO
mc alias set office https://backup.office.local:9000 admin 'СильныйПароль...'

# ВАЖНО: Object Lock включается ТОЛЬКО при создании бакета
mc mb office/veeam-backups --with-lock

# Ставим COMPLIANCE-режим на 30 дней:
# никто не удалит бэкап раньше 30 дней. Вообще никто.
mc retention set --default COMPLIANCE 30d office/veeam-backups

Режим COMPLIANCE означает, что даже root сервера MinIO не может удалить объект до истечения 30 дней. Это не шутка и не красивая настройка — это физическая защита. Если шифровальщик попал в корпоративную сеть, получил пароль от админа MinIO и попытался стереть бэкапы — он получит ошибку «Access Denied». Данные останутся на месте.

Для Veeam мы создаём отдельного сервисного пользователя с минимальными правами — только на чтение/запись в конкретный бакет. Учётку рядового админа и тем более доменные учётные записи в настройках бэкапа использовать нельзя — это базовая гигиена.

Подключение Veeam к MinIO как S3-репозиторию

В Veeam Backup & Replication 12 и выше S3-совместимые хранилища поддерживаются из коробки. В интерфейсе мастера это выглядит так:

1. Идём в Backup Infrastructure → Backup Repositories → Add Repository → Object Storage → S3 Compatible.
2. Указываем endpoint: https://backup.office.local:9000.
3. Вбиваем Access Key и Secret Key сервисного пользователя, которого создали ранее.
4. Выбираем bucket veeam-backups.
5. Ставим галку Make recent backups immutable for 30 days — Veeam будет сам проставлять Object Lock на каждый загружаемый объект.

Для офиса я рекомендую схему Scale-out Backup Repository (SOBR) — свежие бэкапы за 3–7 дней лежат на быстром локальном SSD, старше — автоматически уезжают на MinIO. Гранулярное восстановление (например, одного письма из бэкапа Exchange) работает прозрачно: Veeam сам качает нужные блоки из S3.

Реальные цифры: сколько это стоит и что даёт

Сравниваю три типичных варианта для офиса 30 ПК с сервером 1С и объёмом бэкапа 8 ТБ:

«Стоимость 3 года» включает железо, лицензию Veeam Essentials и настройку силами АйТи Фреш. На длинной дистанции собственный MinIO побеждает облако в 2–3 раза: в облаке вы платите не только за место, но и за исходящий трафик при восстановлении — а восстановление 8 ТБ по облачным тарифам может стоить 80–120 тысяч рублей за один инцидент.

Кейс: типография в Мытищах, восстановление после WannaCry-подобной атаки

В октябре 2025 года ко мне обратился клиент — типография в Мытищах, 34 рабочих места, два сервера (1С и файловый). За сутки до звонка у них произошло проникновение через RDP-сервер с паролем Admin2024 и атака шифровальщика. Зашифровано всё: база 1С, файловый сервер, бэкапы на NAS (он был виден из той же сети и под той же учёткой).

До инцидента мы их не обслуживали, но внутри у них стояла копия Veeam, которую админ-фрилансер поставил «на удачу». Она работала, но бэкапы уезжали на обычную сетевую шару на NAS. Шифровальщик их тоже прошёл.

Мы подключились в течение 3 часов. Восстановили 1С из облачной копии, которую случайно делал сам бухгалтер (папка синхронизации Dropbox Business — сработал аварийный план, хотя никто такого плана и не составлял). Потеряли три недели финансовых операций и два договора, которые не успели сохраниться в Dropbox.

Через неделю после инцидента мы развернули им связку MinIO + Veeam с Object Lock на 30 дней. Бюджет проекта — 480 тысяч рублей разовых работ и железа. За прошедшие полгода у них было ещё две попытки взлома RDP (один раз успешная, шифровальщик запустился), но бэкапы были целыми, восстановление заняло 1 час 40 минут вместо двух недель в прошлый раз. Директор типографии сейчас один из самых спокойных моих клиентов.

Что ещё нужно кроме MinIO и Veeam — чек-лист

Само хранилище — это половина защиты. Остальное — настройка процесса. Вот что мы делаем в каждом проекте:

• Тестовое восстановление раз в квартал. Реально поднимаем ВМ из бэкапа в изолированной сети и проверяем, что 1С открывается, а Exchange стартует. Без этого любые бэкапы — теоретические.
• Отдельный VLAN для сервера бэкапа. Сервер MinIO не должен быть в той же сети, что и рабочие станции. Маршрутизация только через межсетевой экран с явными правилами.
• Сервисные учётки Veeam и MinIO не имеют интерактивного входа и доступа к домену. RDP и Local Logon запрещены.
• Алерты в Telegram при любой ошибке бэкапа. За 15 лет я видел десятки инсталляций, где бэкап «якобы работал», а на деле последние 8 месяцев падал с ошибкой — никто просто не читал логи.
• Копия критичных данных в независимое облако. Правило 3-2-1: три копии, два типа носителей, одна копия offsite. MinIO + облачный репозиторий закрывает его на 100%.

Когда MinIO + Veeam не нужен

Я противник переусложнения. Если в офисе 5–8 рабочих мест, нет своего сервера 1С (работают в облачной 1С от СКБ Контур) и всё ценное лежит в Яндекс Диске для бизнеса — не надо вам никакой MinIO. Достаточно:

• Платный Яндекс Диск для бизнеса или Microsoft 365 с встроенной версионностью файлов.
• Раз в месяц — выгрузка ключевых документов на шифрованный внешний HDD, хранение у директора дома.
• Антивирус с защитой от шифровальщиков (Kaspersky Small Office Security) и базовая гигиена — отключенный RDP, двухфакторка для почты.

Такой комплект стоит 30–50 тысяч рублей в год и покрывает риски офиса такого масштаба. MinIO имеет смысл с объёма 3+ ТБ и наличия локальной инфраструктуры (сервер 1С, файловый сервер, Exchange).

FAQ — частые вопросы по бэкапу офиса

Защитит ли MinIO + Veeam от шифровальщиков?

Да, при включённом Object Lock в режиме COMPLIANCE. Бэкап нельзя удалить или перезаписать до истечения retention даже с админскими правами. Это эффективнее внешнего HDD, который шифровальщик увидит как обычный диск и сразу зашифрует.

Сколько стоит построить такое хранилище для офиса 30 ПК?

Под ключ — 450–550 тысяч рублей единоразово: сервер на 6 дисков (180–280 тыс.), лицензия Veeam или альтернативы (95–280 тыс.), 2–3 дня работ инженера (45–60 тыс.), плюс 10–15 тыс. в месяц на обслуживание.

Нужен ли Kubernetes для MinIO?

Нет. Для офисного применения MinIO ставится как обычный systemd-сервис на Debian или Ubuntu за 15 минут. Kubernetes нужен только для кластера из 4+ серверов, что офису избыточно.

Подойдёт ли это если у нас только внешний HDD и 1 ТБ данных?

Если данных меньше 1 ТБ и нет своего 1С или почтового сервера — достаточно ротации двух внешних HDD и облачного хранилища. Связка MinIO + Veeam окупается с объёма 3 ТБ, когда появляются серьёзные потери на скорости и риски шифровальщиков.

Можно ли заказать такое под ключ в АйТи Фреш?

Да. Мы делаем аудит бесплатно, проектируем архитектуру, поставляем оборудование по себестоимости, настраиваем MinIO и Veeam, тестируем восстановление и передаём полную документацию. Типовой проект для офиса 20–50 ПК занимает 2–3 недели.