(CWW)世界風(fēng)云變幻,一切供給和消費(fèi)都在“即服務(wù)”化(as a Service),甚至勒索軟件也不例外。事實(shí)證明,“勒索軟件即服務(wù)”(Ransomware as a Service, RaaS)正在成為另一種意義上的 “病毒”,它迫使企業(yè)徹底改變其安全應(yīng)對態(tài)勢。
企業(yè)的云計(jì)算之旅本就進(jìn)度各異,而不良行為者和威脅載體又帶來更大挑戰(zhàn)。有市場分析師指出,云計(jì)算中的錯誤配置是不良行為者會最先利用的關(guān)鍵漏洞之一,這為企業(yè)帶來又一值得擔(dān)憂的難題。
Commvault備份副本為企業(yè)提供“保險(xiǎn)單”
Commvault在數(shù)據(jù)保護(hù)和管理領(lǐng)域有25年的領(lǐng)先經(jīng)驗(yàn),并始終堅(jiān)持與時俱進(jìn),通過多層次的安全保護(hù)方法幫助客戶恢復(fù)數(shù)據(jù),在網(wǎng)絡(luò)和災(zāi)難恢復(fù)危機(jī)中反擊,證明了網(wǎng)絡(luò)就緒(cyber-ready)和恢復(fù)就緒(recovery-ready)備份副本的重要性。
當(dāng)前有關(guān)網(wǎng)絡(luò)恢復(fù)能力的最新標(biāo)準(zhǔn)是,能否將所有為減少攻擊表面積而孤立的工作負(fù)載納入統(tǒng)一框架(且這一框架應(yīng)易于適應(yīng)客戶當(dāng)前既有企業(yè)內(nèi)部又有SaaS的混合生態(tài)系統(tǒng)),并能確保在每一層互動中都持續(xù)提供最高級別的保護(hù)和恢復(fù)。Commvault將遵守業(yè)務(wù)服務(wù)級別協(xié)議(SLAs)視為最優(yōu)先的參數(shù),在其智能數(shù)據(jù)服務(wù)平臺上,客戶擁有支持工作負(fù)載和實(shí)現(xiàn)部署靈活性的多樣選擇。
Commvault先進(jìn)的數(shù)據(jù)保護(hù)和管理產(chǎn)品與服務(wù)讓跨越企業(yè)內(nèi)部、云端和SaaS平臺保護(hù)和管理數(shù)據(jù)的無縫體驗(yàn)得以實(shí)現(xiàn):Commvault HyperScale X:基于Commvault分布式存儲的Commvault超融合基礎(chǔ)設(shè)施(HCI)產(chǎn)品。幫助客戶從統(tǒng)一且高標(biāo)準(zhǔn)的安全保護(hù)、分段和簡易部署中獲益,并提供無縫云整合選項(xiàng)。
安全和備份數(shù)據(jù)不可更改性的最佳實(shí)踐
而隨著備份副本成為企業(yè)恢復(fù)的“保險(xiǎn)單”,數(shù)據(jù)的不可更改性也變得至關(guān)重要。
不可更改性(Immutability)即任何數(shù)據(jù)在特定的一段持續(xù)時間內(nèi)保持不可變狀態(tài)的能力。Commvault軟件支持客戶內(nèi)置一系列功能,補(bǔ)充異常檢測和通知機(jī)制,使其成為安全且網(wǎng)絡(luò)就緒的數(shù)據(jù)保護(hù)解決方案。正如美國國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)的網(wǎng)絡(luò)安全框架所描述的那樣,企業(yè)正迅速向“縱深防御”戰(zhàn)略看齊。當(dāng)這一戰(zhàn)略擴(kuò)展到數(shù)據(jù)保護(hù)和管理環(huán)境時,同樣的框架能幫助企業(yè)在無需犧牲恢復(fù)、性能和成本的情況下達(dá)到理想的數(shù)據(jù)不可更改性和安全水平。
具體而言,安全和備份數(shù)據(jù)不可更改性可通過多種方法相互配合來實(shí)現(xiàn),以下是Commvault推薦的關(guān)鍵最佳實(shí)踐:
嚴(yán)控基于角色的訪問控制(RBAC):確保只有組織內(nèi)資源有權(quán)訪問備份庫,并配合多因素認(rèn)證(MFA)和多人認(rèn)證以阻止流氓管理員或被泄露的管理員憑證的訪問?;卮稹罢l可以訪問什么”“為什么這么安排”等基本問題有助于實(shí)施RBAC原則,這與最小特權(quán)訪問(Least Privilege Access)準(zhǔn)則具有一致性。
啟用Commvault Retention Lock(舊稱WORM Copy):防止流氓管理員或被泄露的管理員憑證對Commvault環(huán)境造成破壞。這種軟件級別的鎖定配置一旦在策略上啟用,有助于防止任何人(包括管理員)意外或故意的刪除行為或?qū)Σ呗员A簟⒁褎h除工作和未裝載/刪除的庫的更改。
使用Commvault默認(rèn)加密設(shè)置:保證服務(wù)端和傳輸中數(shù)據(jù)均被加密,并保證即使備份數(shù)據(jù)泄露,壞人也無法在沒有解密密鑰的情況下利用它們。又由于Commvault寫入的數(shù)據(jù)是重復(fù)數(shù)據(jù)塊,因此在發(fā)生雙重勒索贖金軟件威脅時,這些數(shù)據(jù)塊對勒索者來說毫無用處。
Commvault整合并支持第三方密鑰管理服務(wù)器,提供額外安全保障層。
使用Commvault Ransomware Lock:保護(hù)企業(yè)內(nèi)部任何相關(guān)的數(shù)據(jù)移動設(shè)備掛載路徑,確保數(shù)據(jù)只能由Commvault和Commvault批準(zhǔn)的進(jìn)程寫入目標(biāo)磁盤存儲,使掛載路徑不能被任何非Commvault進(jìn)程讀取、寫入和更新,從而滿足不可更改性要求。
部署Commvault HyperScale X:用嚴(yán)格的操作系統(tǒng)級數(shù)據(jù)保護(hù)防止用戶和/或勒索軟件攻擊繞過其他安全層。在系統(tǒng)內(nèi)部,HyperScale X采用SELinux,能夠通過限制文件修改或磁盤級活動(如重新格式化驅(qū)動器)的訪問策略增強(qiáng)不可更改性。最重要的是,由Commvault的一體化橫向擴(kuò)展文件系統(tǒng)支持的HyperScale X在存儲層提供了額外的不可更改性,這項(xiàng)默認(rèn)啟用的功能確保了備份庫中的數(shù)據(jù)不能在文件系統(tǒng)層面被修改或加密。
先驗(yàn)證再觸發(fā):在備份工作觸發(fā)前驗(yàn)證云存儲服務(wù)訪問權(quán)限,這基于“零信任”架構(gòu)對所有通信渠道都要經(jīng)過“挑戰(zhàn)”然后再“驗(yàn)證”的規(guī)定,否定了持久性概念。
使用基于時間的保留鎖(WORM不可變鎖):使用于云對象存儲和支持它的企業(yè)內(nèi)部對象存儲,確保任何程序或人員(包括IaaS供應(yīng)商)在不滿足保留條件時不能刪除或更新云存儲中的副本。
采用“拉式”(Pull)而非“推式”(Push)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu):“推式”架構(gòu)依賴連接持久性,惡意軟件有可能通過這種永遠(yuǎn)在線的連接進(jìn)行滲透;而在“拉式”架構(gòu)中,與客戶的連接是周期性的,需要訪問請求、訪問認(rèn)證才能導(dǎo)致數(shù)據(jù)和事件的“拉動”,符合零信任架構(gòu)原則。
實(shí)現(xiàn)不可更改性應(yīng)考慮的關(guān)鍵架構(gòu)因素
一個經(jīng)常被問到的問題是,我們?nèi)绾螢橐粋€具有上述所有功能的特定環(huán)境設(shè)計(jì)出合適的架構(gòu)?或者說,在設(shè)計(jì)一個平衡安全、成本和性能參數(shù)的混合環(huán)境時,有哪些關(guān)鍵的架構(gòu)考慮?
Commvault認(rèn)為,一個能實(shí)現(xiàn)數(shù)據(jù)不可更改性的架構(gòu)應(yīng)包括以下要素:
將副本存儲與勒索軟件隔離的訪問鎖
通過能減少風(fēng)險(xiǎn)、平衡消費(fèi)影響的生命周期鎖實(shí)現(xiàn)的不可更改性
空氣間隙隔離網(wǎng)絡(luò)與控制
防止故意或意外改動的配置管理
在充分考慮速度和成本的情況下減少延遲的恢復(fù)并發(fā)性能
用于保持對數(shù)據(jù)保護(hù)基礎(chǔ)設(shè)施的現(xiàn)有、簡化管理與維護(hù)的自動修補(bǔ)
3-2-1異地存儲副本
下圖可為理解這些要點(diǎn)提供簡單快速參考:
欲了解更多Commvault多層次勒索軟件保護(hù)與恢復(fù)方法相關(guān)信息,歡迎參加Commvault Connections 21大會。從主題演講、技術(shù)研討會和演示到自由交流活動,Commvault Connections 21大會將使您的數(shù)據(jù)(和業(yè)務(wù))廣泛獲益。敬請?jiān)L問https://www.commvaultconnections21.com/。欲了解更多Commvault對不可更改性的洞察,敬請?jiān)L問https://bit.ly/3mszm1N 閱讀《Commvault數(shù)據(jù)不可更改的基礎(chǔ)設(shè)施架構(gòu)》解決方案簡介。