Doogree
גיבוי · בחירת-טכנולוגיה

גיבוי חסין-כופרה: למה בחרנו ב-Kopia ו-Backblaze B2

30/06/2026 · ~8 דקות קריאה
גיבויכופרהObject-Lockקוד-פתוח

גיבוי שתוקף-כופרה יכול להצפין או למחוק הוא חסר-ערך. זו הדרישה היחידה שהכתיבה את כל הבחירה — והיא הובילה אותנו למסקנה חד-משמעית אחרי שהשווינו 11 מנועי-גיבוי קוד-פתוח וארבעה ספקי-אחסון.

מה הבעיה באמת — "Harvest then encrypt"

במתקפת-כופרה מודרנית התוקף משיג הרשאות על המכשיר, ואז עושה שני דברים: מצפין את הקבצים, ומוחק או מצפין גם את הגיבויים כדי שלא תוכלו לשחזר. אם הסוכן-גיבוי שלך מחזיק את מפתחות-האחסון, התוקף ששלט על המכשיר מחזיק אותם גם — ומוחק את הגיבוי. לכן השאלה הראשונה היא לא "כמה מהר מגבים" אלא "האם אפשר בכלל למחוק את הגיבוי".

הקריטריון מספר 1: Object-Lock במצב Compliance — מנגנון WORM (Write-Once-Read-Many) ברמת האחסון, שבו אפילו מי שמחזיק את המפתחות לא יכול למחוק קובץ עד שתוקף ה-retention. זה מה שהופך גיבוי ל"חסין-כופרה".

מה השווינו — 11 מנועי קוד-פתוח

סרקנו את כל הנוף: restic, BorgBackup, Kopia, Duplicati, Duplicacy, rclone, UrBackup, Bareos, Proxmox Backup Server, ZFS, ו-Clonezilla. בדקנו לכל אחד: dedup+הצפנה client-side, תמיכה ב-Windows (כולל VSS לקבצים פתוחים), כתיבה ישירה ל-S3, ובעיקר — Object-Lock אמיתי.

מנועהצפנה+dedupObject-Lock (כופרה)רישיון מסחרי
Kopia✓ Compliance nativeApache-2.0
resticלא שוחרר עדייןBSD
BorgBackupappend-only בלבדBSD
Duplicatiדורס קבציםMIT
Duplicacyחלקיאסור מסחרי
Proxmox BackupObject-Lock משחיתAGPL

למה בחרנו ב-Kopia

Kopia הוא המנוע היחיד שהיום עושה גם dedup+הצפנה client-side וגם תומך ב-Object-Lock במצב Compliance מול אחסון S3. restic מצוין ופופולרי, אבל תמיכת ה-Object-Lock שלו עדיין לא שוחררה. Borg חזק בלינוקס אבל אין לו Windows אמיתי ולא Object-Lock מול S3. Duplicacy פסול על רישיון (אסור להטמיע במוצר מסחרי). ההכרעה הטכנית הייתה ברורה.

בנוסף: Kopia הוא בינארי יחיד (Go), רץ על Windows (עם VSS), Mac ו-Linux — אז אנחנו מנהלים מנוע אחד על כל הצי, עם פלט JSON שקל לתזמר מהסוכן.

ולמה Backblaze B2 — ולא Cloudflare R2

אנחנו כבר עובדים על Cloudflare, אז ה-R2 היה הבחירה המתבקשת. אבל בדקנו לעומק וגילינו: ה-"bucket locks" של R2 אינם ה-S3 Object-Lock API, ואין להם ערובת-compliance מוכחת ש"מפתח-שנפרץ לא יכול למחוק". זה לא עומד ברף ה-WORM שלנו.

אחסוןObject-Lock אמיתיעלות-egress (שחזור)$/TB/חודש
Backblaze B2✓ Complianceחינם דרך CDN של Cloudflare~$7
Wasabiמוגבל~$7
AWS S3✓ (הרף)$0.09/GB~$23
Cloudflare R2לא מוכח~חינם~$15

B2 נותן WORM אמיתי, האחסון הזול ביותר, ו-egress חינמי דרך ה-CDN של Cloudflare — כך שהשחזורים כמעט בחינם. R2 נשאר אצלנו לדאטה של האפליקציה ולעותק-משני זול, אבל לא לרגל ה-immutable.

איך בדקנו — לא הסתמכנו על שיווק

כל טענה אומתה מול מקור ראשוני: התיעוד הרשמי של כל מנוע, דיוני-הקהילה על Object-Lock, ורישיונות. שני ממצאים קריטיים שמצאנו דווקא בקריאה הזו: (1) restic עדיין לא lock-free, ו-(2) Proxmox Backup עלול להשחית את ה-datastore אם מפעילים עליו Object-Lock. בלי הבדיקה הזו היינו בוחרים לא נכון.

איפה אנחנו כנים: שחזור-מלא לשרת-וירטואלי

מנועי-קבצים (Kopia/restic) משחזרים דאטה, לא מכונה בוטבילית. "להקים את כל הסביבה על VM בלחיצה" זה בדיוק היכן ש-Veeam/Datto/Proxmox מנצחים את הקוד-הפתוח. ההחלטה שלנו: לבנות את ליבת הקבצים+immutable על Kopia+B2 (שם אנחנו מנצחים על מחיר וריבונות), ולשחזור-מלא-לשרת — לשלב/למכור מנוע מסחרי במקום לבנות מאפס. כנות מנצחת הבטחות.

איך אנחנו משפרים את זה — בקרת-איכות מתמשכת

גיבוי שלא נבדק = תקווה, לא תוכנית. לכן כל ~3 שבועות רצה בדיקת-שחזור אוטומטית: המערכת משחזרת דגימה מהגיבוי, מאמתת checksum מול ערך-ידוע, ומדווחת הצלחה/כשל לציון הארגוני. כשל = התראה מיידית. בנוסף, אנחנו בוחנים מחדש את בחירת המנוע וה-bucket מדי רבעון — restic עשוי לשחרר Object-Lock, ו-R2 עשוי להוסיף compliance-WORM אמיתי, ואז נשקול מחדש. הבחירה אינה קפואה.

כתבה זו מתארת שיקולי-תכנון ובחירת-טכנולוגיה. מחירים ויכולות-רישוי נכונים למחצית 2026 ועשויים להשתנות. אין כאן מפתחות, סודות, או פרטי-תצורה רגישים.

← כל הכתבות