Immutable depolama bir “nice to have” değil, temel bir gereklilik

Veeam için immutable (değiştirilemez) on‑prem depolama rehberi

“Immutability” (değiştirilemezlik) birkaç yıl önce kimsenin telaffuz bile etmediği bir kavramdı; bugün ise fidye yazılımlarına karşı savunmanın vazgeçilmez bir parçası. Veeam’in 2025 Fidye Yazılımı Trendleri raporuna göre kurumların yüzde 69’u son bir yıl içinde en az bir saldırı yaşadı ve bu saldırıların yüzde 89’unda yedek depoları özellikle hedef alındı. Buna rağmen yalnızca yüzde 32’sinin immutable yedekleme koruması vardı.

Kısacası: Artık immutable depolama bir “nice to have” değil, temel bir gereklilik. Ama her “immutable” denilen çözüm aynı seviyede güvenlik sunmuyor; kavramın genişliği yüzünden bazı kurumlar kendini güvende sanırken aslında ciddi boşluklarla yaşıyor.

Bu yazıda marka ismi yerine teknoloji konuşarak, Veeam yedekleri için on‑prem immutable depolama seçeneklerini ve hangi senaryoda hangisine yaklaşmak gerektiğini özetliyorum.

Immutable depolama gerçekten ne demek?

Basit tanımıyla immutability, yedek verisi diske yazıldıktan sonra belirlenen süre boyunca bu verinin değiştirilememesi, silinememesi ve şifrelenememesi anlamına gelir. Bu süre dolana kadar, teoride root dahil hiç kimse dosyaya müdahale edememelidir.

Bu özellik farklı teknik yöntemlerle uygulanabiliyor:

  • XFS immutable flag (Linux tarafı)
    • Veeam’in Linux hardened repository’leri ve pek çok cihazda kullanılıyor.
    • Kilitleme dosya sistemi seviyesinde gerçekleşiyor; uygulama katmanı ele geçirilse bile kernel düzeyinde koruma devam ediyor.
  • S3 Object Lock
    • AWS, Azure, Huawei ve on‑prem S3 uyumlu object storage çözümlerinde yaygın.
    • Her obje için “governance” veya “compliance” lock konuluyor; süre dolana kadar silinemiyor.
  • ISV kontrollü immutability
    • Bazı üretici cihazlarda, örneğin Catalyst benzeri yapılarda, veriyi değiştirmek için iki ayrı yöneticinin onayı gerekiyor.
  • Retention time lock / iç katmana taşıma
    • Bazı appliance’lar veriyi ön katmandan daha korumalı iç katmanlara taşıyıp burada zaman kilidi uyguluyor.

Bu mekanizmaların hepsi “çalışıyor”; farkları Veeam konsoluna ne kadar şeffaf oldukları ve ne kadar iyi test edilip denetlenebildikleri.

Orta ölçekli kurumlar için genel tercih sıralaması

100 TB ile 800 TB aralığında yedek verisine sahip orta ölçekli kurumsal ortamlarda, güvenlik, esneklik, maliyet ve yönetilebilirlik birlikte değerlendirildiğinde genellikle şu sıralama öne çıkar:

  1. Linux Hardened Repository
    Güçlü güvenlik seviyesi, Veeam ile yüksek uyum, dosya sistemi düzeyinde immutability ve donanım esnekliği sayesinde çoğu orta ölçekli ortamda ilk değerlendirmeye alınan çözüm konumundadır.
  2. Özel tasarlanmış Linux repository
    Hardened yaklaşım temel alınarak, kurumun mevcut izleme, otomasyon ve güvenlik altyapılarıyla tam uyum sağlayacak şekilde tasarlanan, daha esnek ve kurum odaklı varyanttır.
  3. On‑prem S3 uyumlu object storage
    Ölçeğin büyümesi, uzun saklama süreleri ve çok sayıda iş yükü devreye girdiğinde, S3 Object Lock desteğiyle birlikte güçlü bir immutable depolama alternatifi haline gelir.
  4. Deduplikasyon appliance’ları
    Veri tekilleştirme ve veriyi appliance katmanında da Immutable tutulması için önemli bir çözüm. Ancak maliyet olarak diğer tercihlerden daha yüksek.

Linux Hardened Repository: Altın standart yaklaşım

Veeam Linux Hardened Repository, Veeam yedekleri için immutable hedef olarak tasarlanan, genellikle fiziksel bir Linux sunucusu üzerinde çalışan bir modeldir. XFS dosya sisteminin immutable bayrağı kullanılarak yedek dosyaları işletim sistemi düzeyinde kilitlenir ve belirlenen süre dolana kadar değiştirilemez hale getirilir.

Öne çıkan temel özellikler şunlardır:

  • Veeam, root yetkisi olmayan, sınırlı yetkili bir kullanıcı hesabı üzerinden erişim sağlar.
  • Kimlik doğrulama tek seferlik veya sertifika bazlı tasarlanabilir; kalıcı parolaların sistemde tutulması zorunlu değildir.
  • SSH erişimi, kurulum ve ilk yapılandırma tamamlandıktan sonra tamamen devre dışı bırakılabilir; yönetim out‑of‑band kanallar (iLO, iDRAC vb.) üzerinden yürütülebilir.
  • İmmutability, uygulama veya kullanıcı seviyesinde değil, dosya sistemi ve kernel seviyesinde etkinleştirilir.

Bu mimari, fidye yazılımlarının ve kötü niyetli erişimlerin yedek dosyalarına doğrudan etki etmesini zorlaştırır, ayrıca denetçiler ve güvenlik ekipleri açısından da sade ve anlaşılır bir güvenlik modeli sunar.

On‑prem S3 uyumlu object storage: Ölçek ve esneklik

S3 uyumlu API sunan on‑prem object storage çözümleri, Veeam tarafında Object Lock desteği ile birlikte güçlü bir immutable depolama katmanı sağlar. Bu tür sistemler genellikle cluster yapısında çalışır, yüksek kapasite ve yüksek eşzamanlılık için tasarlanır.

Tipik özellikler:

  • Büyük ölçekli ortamlarda kapasiteyi yatayda genişletmeye uygun mimariler sunar.
  • Kapasite çoğu zaman belirli bloklar halinde büyütülür; çok küçük adımlarla genişlemek her zaman mümkün olmayabilir.
  • Çoğunlukla üreticiye özel donanım ve işletim sistemine dayanır; bazı çözümler sanal appliance olarak da sunulur.

İzleme ve görünürlük tarafında, çoğunlukla üreticinin kendi yönetim paneli ve metrik seti kullanılır; harici SIEM veya monitoring platformlarına entegrasyon için ek çalışma gerekebilir.

Çok büyük veri hacimleri, uzun saklama süreleri ve yoğun iş yükü çeşitliliği söz konusu olduğunda, S3 object storage tabanlı mimariler, performans ve toplam sahip olma maliyeti açısından öne çıkan çözümlerden biri haline gelir.

Deduplikasyon appliance’ları: Yeri ve sınırları

Büyük üreticilerin deduplikasyon appliance’ları uzun süredir yedekleme dünyasında kullanılan, yüksek deduplikasyon oranları sunan çözümler olarak bilinir ve güncel modeller immutability özelliklerini de destekler.

Avantajları:

  • Özellikle uzun saklama sürelerinde, deduplikasyon sayesinde disk alanını verimli kullanır ve kapasite ihtiyacını azaltabilir.

Doğru çözümü seçerken dikkate alınması gerekenler

Immutable on‑prem depolama mimarisini tasarlarken, yalnızca teknolojilere değil, iş ihtiyaçlarına ve operasyonel gerçeklere de bakmak gerekir. Karar aşamasında şu kriterler öne çıkar:

  • Yedek veri hacmi ve büyüme hızı.
  • Mevcut ekip yetkinlikleri (özellikle Linux ve object storage deneyimi).
  • Donanım standartları ve tedarik politikaları.
  • Uyumluluk, denetim ve raporlama gereksinimleri.

Birçok senaryoda, hardened Linux repository veya kurumun süreçlerine uyarlanmış özel Linux repository, güvenlik, maliyet ve esneklik açısından güçlü bir başlangıç noktası sunar. Ölçek büyüdükçe ve ihtiyaçlar çeşitlendikçe, S3 uyumlu object storage çözümleri ikinci bir katman veya alternatif olarak değerlendirilebilir. Deduplikasyon appliance’ları ise daha çok mevcut yatırımların optimize edilmesi ya da spesifik senaryoların adreslenmesi bağlamında anlam kazanmaktadır.

Leave a Reply

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir