Резервное копирование Яндекс 360 и Google Workspace: почему облако не бэкапит само себя
Каждую неделю кто-нибудь из клиентов звонит с одной и той же интонацией — растерянной. Удалили письмо, папку, а иногда и целый аккаунт уволенного сотрудника. И искренне удивляются, когда узнают, что восстановить это нельзя. Потому что были уверены: раз данные в облаке Яндекса или Google, значит, они там в безопасности вечно. Это не так. И я хочу разложить по полочкам, почему.
Откуда вообще взялась эта иллюзия
Логика простая и на первый взгляд разумная. Мы платим за Яндекс 360 или Google Workspace каждый месяц. Значит, за эти деньги нам обязаны хранить данные. Вечно, надёжно, с резервными копиями где-то в третьем дата-центре. Примерно так рассуждает девять из десяти директоров, с которыми я разговариваю про облачную почту.
И отчасти это правда — данные действительно хранятся в нескольких дата-центрах, репликация есть, диски дублируются. Но репликация защищает от поломки железа. Сгорел сервер — данные подхватит соседний. А вот от человеческой ошибки, от злого умысла или от истечения срока хранения в корзине репликация не спасает вообще никак.
У одного клиента, юридическая фирма на 18 человек, помощник юриста случайно удалил папку с перепиской по трём делам — перепутал клавиши в почтовом клиенте, delete вместо move. Через 40 дней папка исчезла окончательно, потому что корзина Яндекс 360 хранит удалённое ровно 30 дней. Написали в поддержку. Ответ был вежливый и однозначный: восстановить не можем, это было удалено пользователем, а не нами.
Модель разделённой ответственности — не маркетинг, а договор
У Google и у Яндекса это прописано в пользовательском соглашении прямым текстом, просто никто это соглашение не читает. Называется shared responsibility model, модель разделённой ответственности. Звучит по-канцелярски, а смысл житейский: провайдер отвечает за то, чтобы сервис работал, был доступен и не терял данные из-за своих сбоев. А вот за то, что происходит внутри вашего аккаунта — удаление, перезапись, действия сотрудников, фишинг, шифровальщик — отвечаете вы.
Проведу аналогию, которую обычно привожу клиентам на встрече. Съёмная квартира. Управляющая компания отвечает за то, чтобы не рухнул подъезд и работал лифт. А за то, что вы забыли выключить утюг или впустили в квартиру мошенника — это уже ваша зона. Никто не будет спорить, что дом должен стоять. Но и никто не будет отвечать за ваш утюг.
Google в своей документации это формулирует прямо: инфраструктура — их забота, содержимое и его сохранность — забота клиента. У Яндекса формулировки мягче, но суть та же. Ни один из этих провайдеров не продаёт услугу резервного копирования как часть подписки. Продают доступность сервиса. Это разные вещи, хотя обе называются словом «облако».
Три сценария, где корзина не спасает
Первый и самый частый — истечение срока хранения в корзине. У Google Workspace это 25 дней, у Яндекс 360 — 30. Если письмо, файл или папку удалили и не заметили пропажу вовремя, через месяц восстанавливать уже нечего. А заметить успевают далеко не всегда — особенно если удалённое не бросается в глаза ежедневно, вроде архивной переписки за прошлый год.
Второй сценарий — увольнение сотрудника. Стандартная практика: HR просит удалить аккаунт уволенного сразу, чтобы не платить лишнюю лицензию. Удаляют — а вместе с аккаунтом улетает вся почта, все файлы на Google Диске, весь календарь. У одного производственного предприятия так пропала переписка с поставщиком за два года — уволившийся менеджер вёл её только в своей личной почте на домене компании, никто не догадался выгрузить данные перед удалением учётки.
Третий — шифровальщик или компрометация аккаунта. Это уже не редкость, а почти регулярность. Взломали пароль через фишинговое письмо, зашли в почту, зашифровали или удалили файлы на диске через синхронизированный клиент. Google и Яндекс тут ни при чём формально — доступ был через легитимный логин и пароль. Штатными средствами это не лечится, версии файлов в облачном хранилище перезаписываются, а не архивируются бессрочно.
Версионирование — это не бэкап, хотя многие путают
Отдельно хочу разобрать путаницу с версиями файлов. И в Google Диске, и в Яндекс Диске есть история версий документа — можно откатиться на предыдущую редакцию. Клиенты часто говорят: у нас же есть версии, зачем ещё бэкап. Но у истории версий есть лимит — по времени хранения и по количеству ревизий, а главное — она не защищает от удаления самого файла целиком, а иногда и от удаления всего диска пользователя вместе с корзиной.
Плюс версионирование живёт внутри того же аккаунта. Если аккаунт скомпрометирован и злоумышленник массово удаляет файлы, версии удаляются вместе с оригиналами. Это не резервная копия в отдельном изолированном хранилище, а функция редактирования внутри той же системы. Разница принципиальная — примерно как разница между черновиком в том же документе и распечаткой, которая лежит в сейфе.
Как это выглядит на практике у нас в работе с клиентами
Обычно мы ставим отдельный сервис резервного копирования поверх Google Workspace или Яндекс 360 — есть специализированные решения именно под это (например, для Google это связка через API с внешним хранилищем, для Яндекс 360 — выгрузка через их же API в отдельный S3-бакет или на локальный сервер). Это не то же самое, что Veeam для файлового сервера, но принцип похож: копия данных живёт отдельно от исходной системы, с собственной глубиной хранения версий.
У клиента-медклиники на 30 сотрудников мы настроили ежедневную выгрузку почты и дисков Google Workspace во внешнее S3-совместимое хранилище с глубиной хранения 180 дней. Стоило это порядка 3000 рублей в месяц на весь домен. Через полгода пригодилось — секретарь удалила переписку с страховой компанией по трём пациентам, решив, что она больше не нужна. Восстановили за 20 минут из внешнего бэкапа, хотя штатная корзина Google к тому моменту всё это уже стёрла.
Для торговой компании с 1С и Яндекс 360 мы делаем немного иначе — почта и диски бэкапятся отдельно от учётной базы 1С, у которой своё резервное копирование через тот же Veeam на локальный сервер. Это важный момент: облачная почта и учётная система живут по разным правилам, и нельзя думать, что раз 1С бэкапится, то и остальное само собой защищено.
Что делать прямо сейчас, если у вас пока ничего не настроено
Первое — проверьте, сколько дней у вас хранится корзина в Яндекс 360 или Google Workspace, и честно ответьте себе: успеете ли вы заметить пропажу важного файла за этот срок. Обычно ответ — не факт.
Второе — пропишите регламент увольнения сотрудников. Простое правило: перед удалением или блокировкой аккаунта данные выгружаются или переносятся на аккаунт руководителя, и только потом учётка закрывается. Стоит это пять минут времени HR-менеджера, а спасает иногда месяцы переписки.
Третье — включите двухфакторную аутентификацию для всех аккаунтов без исключений. Это не про бэкап напрямую, но большая часть случаев потери данных начинается со взлома пароля через фишинг, а не с ошибки сотрудника. И четвёртое, главное — поставьте внешний сервис резервного копирования. Это не безумно дорого, речь обычно про несколько тысяч рублей в месяц на компанию до 50 человек, и один спасённый случай окупает годы подписки.
Почему я вообще завёл этот разговор
Пишу это не для того, чтобы напугать. Пишу, потому что вижу закономерность: про бэкап сервера, про бэкап 1С, про Veeam для виртуалок все уже давно всё поняли и настроили — это стало гигиеной, как антивирус. А вот облачная почта и диски почему-то до сих пор воспринимаются как нечто самозащищённое просто потому, что это Google или Яндекс, а не свой сервер в серверной.
Логика ровно наоборот. Свой сервер вы контролируете полностью — сами решаете, когда и как делать копию. В облаке контроля меньше, а значит, зона вашей ответственности за содержимое становится даже важнее, а не менее важной. Провайдер SaaS отвечает за то, чтобы сервис не упал. За то, что происходит внутри — отвечаете только вы, и хорошо бы узнать об этом не в тот момент, когда уже нечего восстанавливать.
Частые вопросы
Разве Google и Яндекс не хранят резервные копии моих данных сами?
Они хранят реплики для защиты от сбоев железа и аварий в своих дата-центрах — это часть инфраструктурной надёжности. Но от удаления, перезаписи или взлома аккаунта самим пользователем это не защищает, и восстановить такие данные через поддержку провайдера обычно нельзя.
Сколько времени хранится удалённое в корзине Google Workspace и Яндекс 360?
У Google Workspace это около 25 дней, у Яндекс 360 — около 30 дней, после чего данные удаляются безвозвратно даже средствами администратора. Если пропажу заметили позже этого срока, восстановить штатными методами уже не получится.
Сколько стоит настроить внешний бэкап для почты и дисков компании на 30-50 человек?
В нашей практике это обычно от 2000 до 5000 рублей в месяц на весь домен компании в зависимости от объёма данных и глубины хранения версий. Настройка занимает один-два дня без остановки работы сотрудников.
Что важнее — резервное копирование почты или защита от взлома аккаунта?
Это не альтернатива, а две части одной задачи. Двухфакторная аутентификация снижает шанс взлома, но не устраняет риск человеческой ошибки или истечения срока в корзине — поэтому нужны оба слоя защиты одновременно, а не один вместо другого.
Мы настраиваем резервное копирование Яндекс 360 и Google Workspace под ключ и без остановки работы сотрудников.
Бесплатная консультация →
Подпишитесь на рассылку ITfresh
Раз в неделю — практические гайды для руководителя и сисадмина: безопасность, 1С, миграции, резервные копии, лайфхаки из реальных проектов.
