根据 《2023 年数据保护趋势报告》,在接受调查的 4,200 家组织中,85% 在 2022 年遭受过至少一次勒索软件攻击。更令人吃惊的是,39% 的组织生产数据在攻击期间被加密或遭到破坏,受害者平均只能恢复一半(55%)受影响的数据。鉴于网络威胁没有减缓的迹象,因此,大多数企业采用不可变存储和隔离网闸(即可存续存储)技术来确保其数据恢复工作不受勒索软件的阻碍也就不足为奇了。本博文旨在讨论隔离网闸和不可变备份技术之间的差异,以及组织如何在其网络弹性策略中利用这些解决方案。
网络弹性策略概述
第 1 步–确保可存续备份目标
几十年来,用于备份的隔离网闸存储一直是企业最信赖的选项,可用于保护企业的关键资产免受大多数威胁。通过磁带或轮转硬盘进行的一写多读 (WORM)确保数据在弹出并异地移动后,组织能够在发生灾难时恢复其数据。此后,由于公司利用更安全的架构和混合云方法,磁带等弹性数据存储得到了发展。不可变性已变得越来越普遍,因为它提供与 WORM 类似的功能,减少了管理媒体的开销,但有时可在网络上访问数据。在构建网络弹性和灾难恢复策略时,隔离网闸和不可变策略各有利弊。但是,您可以将这两种技术相互结合使用,以获得超安全的弹性副本。
首先,我们一直建议确保在生产站点发生中断时拥有不受影响的二级副本。传统的“3-2-1 原则”建议至少使用 2 种介质创建 3 个数据副本,其中 1 个副本为异地存储。对于大多数 Veeam 部署,您的生产数据为 [副本 1,介质类型=磁盘],本地存储库上的备份数据为 [副本 2,介质类型=磁盘],第三种副本用于异地灾难恢复 [副本 3,介质类型 = 磁盘、云或磁带]。大多数组织都采用这种做法,并从 3-2-1 原则扩展到 3-2-1-1-0 原则来包括不可变性和测试,这也是因为有法规要求和不断增长的网络威胁风险。规则中添加的 1-0 表示 1 个副本处于“离线”状态(无法通过隔离网闸访问或不可变),并且存在 0 个错误(经过测试和验证)。这有助于确保在任何类型的灾难中实现最高级别的数据可恢复性。
第 2 步–减少访问机会
现在,一切都与访问有关,我们要让攻击者难以访问系统,更别说尝试破坏您进行恢复所需的备份了。因此,我们建议您采用网络弹性架构。
生产站点上的所有内容都具有适当的访问控制。您可以监控生产环境中的可疑活动并运行报告,以确保所有工作负载都得到保护并拥有不可变的备份存档。接下来,确定有权访问备份环境的用户帐户角色。在您的 Veeam 备份服务器上启用多重身份验证 (MFA) 可有助于提供一个更安全的环境来保护用户免受攻击。接下来,请使用
不可变的目标作为您的第一个备份介质,以便在出现错误、网络威胁或意外数据删除时进行恢复。最重要的是,经常测试这些备份,以验证其数据内容,确保在还原时不会出现任何不可预见的问题。这些存储设备包括专用硬件、去重设备和 S3 集成硬件。最后,我们有第三方副本,此副本应该是异地、加密、离线或物理隔离的副本。自然灾难和未经授权的物理用户访问并不是离线和异地保存独立副本有益的唯一原因。数据完整性、法律纠纷以及数据合规性/保留原则可能不是典型的数据丢失事件,但它们可以确保您拥有一个可用于满足任何数据驱动的需求的干净数据副本。
什么是物理隔离备份?
隔离网闸是隔离您的关键数据的一种方法,其原理是通过物理方式分离副本(将磁带从驱动器中取出)或者使副本无法从网络访问(例如禁用网络端口或路由)。隔离网闸备份有很多优势,包括:
防范勒索软件和其他恶意软件 ,因为这些备份无法从备份服务器或网络上的其他位置访问。攻击者要想破坏这些数据,就需要有人亲自到场并拥有正确的访问凭据才能删除数据。如果妥善地弹出/隔离和维护了(例如温度控制、污垢/灰尘、湿度等)这些备份,则恢复失败的可能性很低。
通过加密防止未经授权的访问和数据泄露 。在考虑任何备份时,尤其是那些物理隔离或异地存储的备份,对设备或介质进行加密就显得尤为重要。设想一下,您在未加密的情况下备份了域控制器,然后攻击者在其服务器上还原了您的备份。他们现在可以悠闲地获取您的凭据,以准备对您的生产系统进行攻击。备份加密(尤其是异地备份)是保护公司敏感数据不被未授权用户访问的关键步骤。
保护数据完整性,这可确保内容不被恶意更改。准确性和一致性不仅对于合规性至关重要,而且对于可靠恢复也至关重要。对于医疗、政府、金融等领域的组织而言,长期保存各种类型的数据的时间可能从数年到无限期不等,并且在某些情况下需要维护安全的保管链。根据州或联邦级别的法规遵循规定,如果不满足这些要求,则可能会产生法律影响,无法提供完整、准确数据的组织将面临巨额罚款。
不可变的备份存档
不可变备份是数据副本,它具有基于角色的访问控制和其他类型的身份验证,在设定的时间到期之前无法更改或删除。然而,它并不像隔离网闸备份那样处于“离线”状态,因为它仍然处于连接状态并可通过网络访问。无论是内部还是云端,多家技术厂商都在利用这种不可变性,包括对象锁、安全快照和 Veeam 的强化存储库。有关更多信息,请查看此 博文。
物理隔离备份与不可变的备份存档
由于不可变的备份存档实现了与隔离网闸备份相同的一些“可存续性”目标,因此两者既有相似之处,也有不同之处。这两种解决方案都能够防范勒索软件并确保 数据合规性,但也有不同之处:
传统的隔离网闸备份(如磁带)可能会因管理介质以及与供应商合作妥善存储介质而产生额外成本。这同样适用于不可变存储,因为如果数据策略发生变化,成本可能会呈指数级增长。
恢复时间目标(RTO)也是一个变量,具体取决于所使用的存储介质。例如,一位客户在测试从云端还原到内部的速度时发现网络限制很明显,导致他们恢复之前从磁带恢复的相同数据集的速度变慢。他们过去只需要几天就能调出磁带,但现在却要花上数周时间。提高下载速度是一种选择,但这需要他们对当前的网络进行大修,这将产生额外的成本。相反,另一家企业在网络安全事件发生后因取证调查问题而无法访问内部基础架构,但他们能够直接还原到公有云提供商那里,从而节省了数周的停机时间。对于他们来说,等待调查完成将花费一个月的停机时间。
在这两种情况下,客户都能够制定适合他们的数据弹性策略。但是,这不是一个非此即彼的情况,一个不应该取代另一个。这与虚拟机复制副本不是备份且反之亦然的情况非常相似。这两种技术都可以帮助组织更快地恢复数据,并且结合使用这两种技术只会增加网络事件后成功恢复的机会。
Veeam 助您保护数据
《2023 年勒索软件趋势报告》显示,在 1200 家曾经遭受过网络攻击的组织中,有 82% 正在利用不可变云技术,64% 正在使用不可变磁盘,磁带仍然有用,14% 的组织表示在他们的数据保护策略中使用了不可变磁盘。在组织寻求采用更具网络弹性的数据保护策略的过程中,Veeam 会继续与硬件和云厂商建立牢固的合作伙伴关系,以帮助更轻松地采用不可变的备份存档存储库、隔离网闸解决方案或两者(作为最佳实践)。最新版 v12 具有 Microsoft Azure 不可变性、不可变性直接备份到 S3 及磁带增强特性,可帮助组织快速采用添加另一个防御层来帮助抵御勒索软件。
点击以下链接亲自查看,或了解有关如何 与 Veeam 合作的更多信息。