在IT领域，“容错”一词备受推崇。集群、镜像、复制——所有这些都给人一种掌控一切的感觉。

但过去十年揭示了一个令人不快的真相：大多数灾难并非源于系统故障，而是因为基础设施被蓄意破坏。

攻击者获取管理员权限，在网络中横向扩散，找到备份服务器，删除或加密备份副本——然后才攻击生产系统。如果公司无法恢复，就会付出代价。如果能够恢复，就能幸免于难。诸如此类，不胜枚举。

让我们看一些真实案例。

2017年，NotPetya勒索软件摧毁了全球最大的集装箱航运公司之一马士基（Maersk）的IT基础设施。攻击迅速蔓延：域控制器、服务器和工作站全部瘫痪。该公司的基础设施采用分布式架构，数据在各站点间同步交换。这造成了致命的后果：病毒随着数据同步复制自身。

几个小时之内，中央IT服务几乎完全瘫痪。损失估计高达数亿美元。

但一个极低概率的细节拯救了这家公司：非洲办事处的一台域控制器由于停电而关闭，因此没有时间被感染。

最终这台“孤岛”成为了恢复整个全球网络的起点。这并非精心策划，而是运气使然。

再看下一个案例。

2014年，代码托管公司Code Spaces完全依赖于亚马逊云服务（AWS）。其基础设施是虚拟化的、灵活的、现代化的，但所有资源都包含在一个单独的账户中。

攻击者获得控制面板访问权限后，一切都在预料之中。虚拟机、快照、备份和 S3 对象都被删除。

公司试图协商，但删除过程仍在继续。几天后，情况变得明朗起来：恢复已不可能。Code Spaces 最终宣布关闭。

这并非病毒，而是一个被攻破的信任域。整个基础设施——包括生产环境和备份——都位于同一个逻辑平面上。最终证实，这次删除操作是一次管理设计问题，而非技术问题。

种种案例中一个引人注目的共同点是，高可用技术对最终结果几乎没有影响。复制、镜像和分布式在硬件故障时固然有效，但在恶意攻击下，这些机制反而会反噬自身，瞬间造成更大的破坏。

​防御的方式简单且有效

1. 例如采用不可更改的存储方式（WORM)，数据在保留期到期前无法删除。

2. 也可能是组织上的——例如域管理员没有权限销毁备份副本。

3. 还可能是物理上的——例如存储介质被直接取出并离线存储。

现代备份系统允许启用对象不可变性，从而防止数据在指定的保留期限结束前被删除或修改。即使攻击者获得了管理员权限，从技术上讲，删除数据也是不可能实现的。但这里注意，许多国产备份软件厂家并未实现独立的【时钟隔离】，这导致了备份系统管理员账号一旦被攻破，简单的修改时间便可以解除WORM。

云端独立数据存储创建了第二层隔离。工作区和备份位于不同的账户中，拥有不同的身份验证和管理权限。一个账户遭到入侵不会影响其他账户。

最后，离线归档——例如需要物理移除的磁带。构成了一个完整的屏障。攻击者无法通过软件界面加密或通过脚本删除——因为需要物理上的实际访问。

这些解决方案在第一次事件发生之前似乎显得多余。但之后，它们就成了唯一的真正优势：能够避免与勒索者讨价还价，只需简单地说“不”。

最后是一套极简的防末日灾难的备忘录

• 还有一个独立的备份服务器。

• 存在不可更改的副本。

• 有离线版本。

• 存在独立认证机制。

• 密钥存储在生产系统之外。

• 定期进行恢复测试。

• 已有书面/纸质记录的恢复计划。

• 从零开始搭建基础设施是完全可行的。

如果缺少两个要点，则该架构存在安全漏洞。

别抱有任何幻想，真正的灾难表明，起到保护作用的不是恢复的速度，而是隔离的深度。