irdaweb Bilgi Teknolojileri
Telefon numaramız +90 541 209 02 05
E-posta adresimiz [email protected]
Konu 08 · Yedekleme & Felaket Kurtarma

Yedekleme ve felaket kurtarma: kıymetli verinizi birlikte güvenceye alalım.

Diskler bir gün arızalanır, bir tuş yanlış basılır, bir saldırgan içeri sızar — soru "olur mu" değil, "olduğunda kaç saatte ayağa kalkarsınız?". 3-2-1 stratejisinden RPO/RTO planlamaya, snapshot ile yedeğin farkından doğrulama runbook'larına; bu sayfa, planınızı sağlam bir zemine oturtmak için hazırlandı.

01 — Strateji

3-2-1 kuralı — yedekleme için asgari müşterek.

Sektörün otuz yıllık deneyiminden süzülmüş, US-CERT'in de önerdiği basit bir kural: aynı veriden üç kopya, iki farklı medya, en az biri farklı lokasyonda. Modern yorumda buna soğuk/değiştirilemez kopya da eklenir — ransomware bu kopyaya dokunamasın diye. Snapshot ile yedeğin altyapı tarafındaki farkı için Cloud & Altyapı, veritabanına özgü nokta-zaman kurtarması için Veritabanı & Depolama sayfalarına bakın.

Kural · 01 3 kopya

Üretim + iki yedek

Üretim verisi her zaman birinci kopyadır. Yanına iki bağımsız yedek daha gerekir — biri bozulsa diğeriyle restore edersiniz. Tek yedek, yedek değildir; sadece umut.

Kural · 02 2 medya

İki farklı teknoloji

Yedekler aynı NVMe havuzundaysa, fiziksel arıza ikisini birden götürür. Blok depolama + nesne depolama (S3-uyumlu), veya disk + bant gibi farklı katmanlara yayın.

Kural · 03 1 offsite

Coğrafi ayrım

Veri merkezi yangını, sel, elektrik kesintisi — bölgesel bir olay tek lokasyondaki her şeyi siler. En az bir kopya bağımsız bir coğrafi bölgede ya da farklı bir bulut sağlayıcısında tutulmalı.

3-2-1-1-0. Modern yorumda iki ekleme yapılır: bir kopya immutable (değiştirilemez, yalnızca okunur) olmalı — ransomware'in yedeklerinizi şifrelemesini engeller. Ve doğrulama hatası sayısı sıfır olmalı: düzenli restore testleri geçilemiyorsa stratejiniz yok demektir.
02 — Hedefler

İki sayı, tüm planı belirler.

RPO ne kadar veri kaybını kabul edersiniz; RTO ne kadar süre offline kalabilirsiniz. İkisi de iş tarafının kararıdır, teknik tarafın değil — ama maliyeti birlikte ödeyeceğiniz için birlikte kararlaştırmanız gerekir.

Zaman ekseni
# geçmiş ←─────── şimdi ─────────→ gelecek

   son yedek      FELAKET          geri dönüş
       │                │                  │
   ────●────────────────●──────────────────●────►
       └──── RPO ───────┘                  │
                        └──── RTO ─────────┘

# RPO = kabul edilebilir veri kaybı süresi
# RTO = kabul edilebilir kesinti süresi
RPO
Recovery Point Objective
Son yedek ile felaket anı arasında en fazla ne kadar veri kaybedebilirsiniz? RPO 24 saat ise gece alınan yedekle çalışırsınız; RPO 5 dakika ise sürekli replikasyon kurmanız gerekir. Maliyet RPO küçüldükçe katlanarak büyür.
RTO
Recovery Time Objective
Felaket anından sistemin tekrar çalışır hâle gelmesine kadar en fazla ne kadar süre geçebilir? RTO 4 saat ise klasik backup-restore yeterlidir; RTO 1 dakika ise sıcak yedek (hot standby), trafik aktarma ve otomatik DNS güncellemesi gerekir.
MTTR
İkisini birlikte düşünmek
RPO ve RTO birer hedeftir; MTTR (Mean Time To Recovery) ise gerçekte ne kadar sürdüğünün ölçümü. Hedefe yaklaştığınızı tatbikatla doğrulamadıysanız, planınız henüz teorik bir belgedir.
03 — Senaryolar

Hangi felakete karşı yedekliyorsunuz?

Yedek planı, korktuğunuz senaryoya göre şekillenir. Tek bir disk arızası ile bir bölgesel ransomware saldırısı çok farklı tedbirler gerektirir. Aşağıdaki dört kategori, planın hangi katmanını test etmeniz gerektiğini gösterir.

Donanım arızası
Tek disk / sunucu kaybı
RAID ve cluster düzeyinde redundancy ilk barajdır — ama RAID bir yedek değildir, sadece kullanılabilirliği artırır. Yedek hâlâ ayrı bir katmandır.
İnsan hatası
Yanlış DROP, rm -rf, dosya silme
En yaygın felaket türü. Snapshot ve geçmiş sürümlü yedek (versioned backup) saatler önceki bir noktaya geri dönmenizi sağlar; üretimde tekrar oluşturulamaz.
Ransomware / saldırı
Aktif sistemlerin şifrelenmesi
Saldırgan erişebildiği her yedeği siler ya da şifreler. Immutable (WORM, S3 Object Lock) ve hava boşluklu (air-gapped) kopya bu senaryonun tek savunmasıdır.
Bölge / sağlayıcı kaybı
Veri merkezinin tamamen erişilmez kalması
Yangın, sel, uzun süreli kesinti, faturanın yatmaması. Coğrafi olarak ayrı bir bölge ya da farklı bir sağlayıcı zorunludur — DR'ın asıl test edildiği yer burasıdır.
04 — Doğrulama

Test edilmemiş yedek, yedek değildir.

Yedek dosyasının var olması, geri yüklenebileceği anlamına gelmez. Bozuk dosya, eksik şema, hatalı sürüm, unutulmuş şifreleme anahtarı — restore'u ilk kez deneyenler bunları çoğu zaman felaket anında öğrenir. Düzenli tatbikat, planınızı kâğıttan canlıya çevirir.

En azından çeyrekte bir tam restore tatbikatı, aylık otomatik smoke-test önerilir. Üretimi kesintiye uğratmadan, ayrı bir hesapta veya bölgede koşturun.

  1. 01

    Kapsamı belirleyin

    Hangi veritabanları, hangi obje depoları, hangi konfigürasyon dosyaları? Yedek alınmayan bir dizinin değerini ancak silindiğinde fark edersiniz. Envanteri yılda bir gözden geçirin.

  2. 02

    Restore senaryosunu yazın

    "Üretim DB'si silindi, son temiz yedekten geri al" gibi tek satırlık bir hedef yazın. Adımları runbook hâline getirin — gece 03:00'te ezbere çalışmasını beklemeyin.

  3. 03

    İzole ortamda geri yükleyin

    Yedekleri üretim dışı bir hesapta / bölgede restore edin. Şifreleme anahtarlarına erişimi, ağ izinlerini ve bağımlılık sırasını burada öğrenin.

  4. 04

    İçerik bütünlüğünü doğrulayın

    Sadece "servis ayağa kalktı" yetmez. Belirli kayıtların var olduğunu, raporların doğru sayıları döndürdüğünü, dosyaların açıldığını sorgulayan otomatik testler yazın.

  5. 05

    Süreleri ölçün ve kayıt altına alın

    Tatbikatın baştan sona ne kadar sürdüğünü ölçün; bu sizin gerçek MTTR'nizdir. RTO hedefinizin üstündeyse plan değişmeli — donanım, otomasyon ya da kapsamda.

  6. 06

    Bulguları runbook'a geri besleyin

    Her tatbikatta bir şey kırılır: eksik kütüphane, süresi dolan sertifika, unutulmuş ortam değişkeni. Bunları derhal runbook'a, terraform'a ya da kod tabanına işleyin. Bir sonraki tatbikat aynı engele takılmasın.

05 — Sık karıştırılanlar

Aynı görünen ama aynı işi yapmayan şeyler.

Snapshot vs. Backup

Snapshot aynı depolama altyapısındaki anlık bir referanstır — donanım kaybında üretim verisiyle birlikte gider. Backup ise bağımsız bir konuma kopyalanmış veridir. Snapshot hızlı geri dönüş için, backup gerçek felaket kurtarma için tutulur. Birbirinin yerine geçmezler; ikisi de gereklidir.

RAID vs. Yedek

RAID bir disk arızasında servisi kesintisiz tutar; kullanılabilirliği (availability) korur. Ama yanlışlıkla silinen dosyayı geri getirmez, ransomware'i durdurmaz, veri merkezi yandığında ölür. Yedek bu üç durumda da işe yarayan ayrı bir katmandır.

Replikasyon vs. Yedek

Replikasyon veriyi gerçek zamanlıya yakın başka bir kopyaya yansıtır — bölge kaybına karşı güçlüdür. Ama bir bozulmayı, yanlış silme işlemini ya da şifrelenmeyi de o saniye yansıtır. Yedek, zamanın belirli noktalarına geri dönebilmenizi sağlar.

HA vs. DR

High Availability küçük arızalarda (tek sunucu, tek bağlantı) servisin akmaya devam etmesini hedefler — saniyeler içinde fark ettirmeden devralan ikinci düğüm. Disaster Recovery büyük olaylarda (bölge kaybı, bütün cluster) sistemi başka bir yerde ayağa kaldırmayı planlar — dakikalar veya saatler içinde. İki ayrı disiplin, iki ayrı bütçe kalemi.

Cold vs. Hot standby

Cold yedek ortam kapalıdır; ihtiyaç anında başlatılır, restore edilir, hazırlanır — saatler sürebilir, ucuzdur. Warm ortam ayakta ama trafik almıyordur — dakikalar içinde devreye girer. Hot ise canlı trafiği paralel alır — anında devralır, en pahalısıdır. RTO'nuz hangisini seçeceğinizi belirler.

Birinci el kaynaklar

Yedekleme ve felaket kurtarma alanını tanımlayan resmi yayınlar.

Sıradaki adım

Yedek planınıza birlikte bakalım.

Mevcut yedekleme akışınızı, RPO/RTO hedeflerinizi ve son tatbikatınızın bulgularını masaya yatıralım — eksikleri birlikte tamamlayalım.