גיבוי חסין-כופרה: למה בחרנו ב-Kopia ו-Backblaze B2
גיבוי שתוקף-כופרה יכול להצפין או למחוק הוא חסר-ערך. זו הדרישה היחידה שהכתיבה את כל הבחירה — והיא הובילה אותנו למסקנה חד-משמעית אחרי שהשווינו 11 מנועי-גיבוי קוד-פתוח וארבעה ספקי-אחסון.
מה הבעיה באמת — "Harvest then encrypt"
במתקפת-כופרה מודרנית התוקף משיג הרשאות על המכשיר, ואז עושה שני דברים: מצפין את הקבצים, ומוחק או מצפין גם את הגיבויים כדי שלא תוכלו לשחזר. אם הסוכן-גיבוי שלך מחזיק את מפתחות-האחסון, התוקף ששלט על המכשיר מחזיק אותם גם — ומוחק את הגיבוי. לכן השאלה הראשונה היא לא "כמה מהר מגבים" אלא "האם אפשר בכלל למחוק את הגיבוי".
מה השווינו — 11 מנועי קוד-פתוח
סרקנו את כל הנוף: restic, BorgBackup, Kopia, Duplicati, Duplicacy, rclone, UrBackup, Bareos, Proxmox Backup Server, ZFS, ו-Clonezilla. בדקנו לכל אחד: dedup+הצפנה client-side, תמיכה ב-Windows (כולל VSS לקבצים פתוחים), כתיבה ישירה ל-S3, ובעיקר — Object-Lock אמיתי.
| מנוע | הצפנה+dedup | Object-Lock (כופרה) | רישיון מסחרי |
|---|---|---|---|
| Kopia | ✓ | ✓ Compliance native | Apache-2.0 |
| restic | ✓ | לא שוחרר עדיין | BSD |
| BorgBackup | ✓ | append-only בלבד | BSD |
| Duplicati | ✓ | דורס קבצים | MIT |
| Duplicacy | ✓ | חלקי | אסור מסחרי |
| Proxmox Backup | ✓ | Object-Lock משחית | AGPL |
למה בחרנו ב-Kopia
Kopia הוא המנוע היחיד שהיום עושה גם dedup+הצפנה client-side וגם תומך ב-Object-Lock במצב Compliance מול אחסון S3. restic מצוין ופופולרי, אבל תמיכת ה-Object-Lock שלו עדיין לא שוחררה. Borg חזק בלינוקס אבל אין לו Windows אמיתי ולא Object-Lock מול S3. Duplicacy פסול על רישיון (אסור להטמיע במוצר מסחרי). ההכרעה הטכנית הייתה ברורה.
בנוסף: Kopia הוא בינארי יחיד (Go), רץ על Windows (עם VSS), Mac ו-Linux — אז אנחנו מנהלים מנוע אחד על כל הצי, עם פלט JSON שקל לתזמר מהסוכן.
ולמה Backblaze B2 — ולא Cloudflare R2
אנחנו כבר עובדים על Cloudflare, אז ה-R2 היה הבחירה המתבקשת. אבל בדקנו לעומק וגילינו: ה-"bucket locks" של R2 אינם ה-S3 Object-Lock API, ואין להם ערובת-compliance מוכחת ש"מפתח-שנפרץ לא יכול למחוק". זה לא עומד ברף ה-WORM שלנו.
| אחסון | Object-Lock אמיתי | עלות-egress (שחזור) | $/TB/חודש |
|---|---|---|---|
| Backblaze B2 | ✓ Compliance | חינם דרך CDN של Cloudflare | ~$7 |
| Wasabi | ✓ | מוגבל | ~$7 |
| AWS S3 | ✓ (הרף) | $0.09/GB | ~$23 |
| Cloudflare R2 | לא מוכח | ~חינם | ~$15 |
B2 נותן WORM אמיתי, האחסון הזול ביותר, ו-egress חינמי דרך ה-CDN של Cloudflare — כך שהשחזורים כמעט בחינם. R2 נשאר אצלנו לדאטה של האפליקציה ולעותק-משני זול, אבל לא לרגל ה-immutable.
איך בדקנו — לא הסתמכנו על שיווק
כל טענה אומתה מול מקור ראשוני: התיעוד הרשמי של כל מנוע, דיוני-הקהילה על Object-Lock, ורישיונות. שני ממצאים קריטיים שמצאנו דווקא בקריאה הזו: (1) restic עדיין לא lock-free, ו-(2) Proxmox Backup עלול להשחית את ה-datastore אם מפעילים עליו Object-Lock. בלי הבדיקה הזו היינו בוחרים לא נכון.
איפה אנחנו כנים: שחזור-מלא לשרת-וירטואלי
מנועי-קבצים (Kopia/restic) משחזרים דאטה, לא מכונה בוטבילית. "להקים את כל הסביבה על VM בלחיצה" זה בדיוק היכן ש-Veeam/Datto/Proxmox מנצחים את הקוד-הפתוח. ההחלטה שלנו: לבנות את ליבת הקבצים+immutable על Kopia+B2 (שם אנחנו מנצחים על מחיר וריבונות), ולשחזור-מלא-לשרת — לשלב/למכור מנוע מסחרי במקום לבנות מאפס. כנות מנצחת הבטחות.
איך אנחנו משפרים את זה — בקרת-איכות מתמשכת
גיבוי שלא נבדק = תקווה, לא תוכנית. לכן כל ~3 שבועות רצה בדיקת-שחזור אוטומטית: המערכת משחזרת דגימה מהגיבוי, מאמתת checksum מול ערך-ידוע, ומדווחת הצלחה/כשל לציון הארגוני. כשל = התראה מיידית. בנוסף, אנחנו בוחנים מחדש את בחירת המנוע וה-bucket מדי רבעון — restic עשוי לשחרר Object-Lock, ו-R2 עשוי להוסיף compliance-WORM אמיתי, ואז נשקול מחדש. הבחירה אינה קפואה.
כתבה זו מתארת שיקולי-תכנון ובחירת-טכנולוגיה. מחירים ויכולות-רישוי נכונים למחצית 2026 ועשויים להשתנות. אין כאן מפתחות, סודות, או פרטי-תצורה רגישים.
← כל הכתבות