了解更多數(shù)字化轉(zhuǎn)型方案查看此鏈接：

https://www.dellemc-solution.com/home/index.html

“至暗時(shí)刻”

是每個(gè)企業(yè)都難以避免的

比如最近著名的“刪庫”事件

讓某企業(yè)付出沉重的代價(jià)

今天，數(shù)字資產(chǎn)已成為企業(yè)核心競爭力

如何讓它更安全

讓企業(yè)不再輕易“失去”？

今天，我們來聊聊關(guān)于

如何守住企業(yè)資產(chǎn)的最后一道防線

各位讀者，一次又一次的IT事故無不說明了建立現(xiàn)代化數(shù)據(jù)防護(hù)體系的緊迫和必要性，而要搭建這樣的體系不僅需要好的安全策略和及時(shí)的主動(dòng)偵測手段，更要可靠的數(shù)據(jù)備份以及經(jīng)常驗(yàn)證的恢復(fù)手段，因?yàn)樗鼈兪悄愕?strong>最后一道防線。

下面就和大家討論一下，萬一你的系統(tǒng)遭遇安全事件后，如何快速的恢復(fù)和還原你的數(shù)據(jù)，讓業(yè)務(wù)快速上線，把損失減少到至低。

[[318220]]

 

三分靠技術(shù)，七分靠管理

現(xiàn)代數(shù)據(jù)保護(hù)要“防”更要“管”

一個(gè)現(xiàn)代化數(shù)據(jù)中心，應(yīng)該建立一個(gè)安全可靠的現(xiàn)代化數(shù)據(jù)保護(hù)體系，它是多種全新數(shù)據(jù)保護(hù)技術(shù)和管理方式的融合，不同技術(shù)能滿足不同業(yè)務(wù)的RTO/RPO要求：

☛ 有的核心業(yè)務(wù)RTO/RPO要求秒級(jí)；

☛ 有的RTO/RPO是小時(shí)級(jí)的；

☛ 還有的需要長期保存，需要對(duì)數(shù)據(jù)進(jìn)行歸檔。

同時(shí)，一份生產(chǎn)數(shù)據(jù)最好有多份保護(hù)數(shù)據(jù)，多個(gè)備份還原點(diǎn)去防止單點(diǎn)故障，并且多份備份數(shù)據(jù)要保存在不同介質(zhì)，不同系統(tǒng)，并復(fù)制到不同的數(shù)據(jù)中心。如果條件允許，最好建一個(gè)備份數(shù)據(jù)“避風(fēng)港”，讓備份數(shù)據(jù)和生產(chǎn)環(huán)境完全隔離。最后，備份軟件本身和存儲(chǔ)備份數(shù)據(jù)的介質(zhì)一定要可靠，現(xiàn)在有一些攻擊行為專門針對(duì)備份軟件，像有的備份軟件的服務(wù)器本身只支持Windows，其本身很容易中病毒，就是一個(gè)巨大的安全隱患。

[[318221]]

所謂“三分靠技術(shù)，七分靠管理”，現(xiàn)代化數(shù)據(jù)保護(hù)體系除了采用先進(jìn)可靠的技術(shù)外，還需要加強(qiáng)員工安全意識(shí)培訓(xùn)，這一點(diǎn)非常重要，卻常常被忽略。同時(shí)，建立完備的日常備份制度和災(zāi)難恢復(fù)措施，并由管理人員切實(shí)執(zhí)行數(shù)據(jù)保護(hù)制度，備份的數(shù)據(jù)一定要定期驗(yàn)證，確保備份數(shù)據(jù)的完整可用，否則數(shù)據(jù)保護(hù)將僅僅是紙上談兵。

[[318222]]

 

防止安全事件的終極解決方案

 Cyber Recovery  “避風(fēng)港”

為應(yīng)對(duì)愈演愈烈的惡意攻擊和勒索病毒等行為，戴爾易安信推出了全新的“避風(fēng)港”計(jì)劃——Cyber Recovery。

[[318223]]

Cyber Recovery解決方案由一對(duì)PowerProtect DD系統(tǒng)和Cyber Recovery管理主機(jī)組成，運(yùn)行在管理主機(jī)上的Cyber Recovery軟件通過啟用或禁用CR存儲(chǔ)區(qū)中Data Domain系統(tǒng)上的復(fù)制以太網(wǎng)接口，來控制從生產(chǎn)環(huán)境流向存儲(chǔ)區(qū)環(huán)境的數(shù)據(jù)流。

Cyber Recovery是一個(gè)邏輯上的的Air-Gap解決方案，它提供了對(duì)任何網(wǎng)絡(luò)攻擊的保護(hù)，是戴爾易安信對(duì)病毒防護(hù)、惡意刪除等安全事件的終極解決方案。

備份數(shù)據(jù)存儲(chǔ)在生產(chǎn)端DD上后，生產(chǎn)端DD和CR存儲(chǔ)區(qū)的DD建立復(fù)制鏈接，使用DD的專用接口將備份數(shù)據(jù)從生產(chǎn)中心DD通過內(nèi)部網(wǎng)絡(luò)復(fù)制到CR存儲(chǔ)區(qū)的DD上。

[[318224]]

Cyber Recovery使用DD Retention Lock特性（后文會(huì)詳細(xì)介紹），在Cyber Recovery存儲(chǔ)區(qū)創(chuàng)建生產(chǎn)端DD復(fù)制數(shù)據(jù)的不可變副本，在CR存儲(chǔ)區(qū)中通過CR Management創(chuàng)建調(diào)度來啟用復(fù)制接口鏈接，復(fù)制完后將禁用Cyber Recovery Vault區(qū)DD上的復(fù)制接口，以建立備份數(shù)據(jù)完全網(wǎng)絡(luò)隔離方案。我們還可以在CR 存儲(chǔ)區(qū)創(chuàng)建RW沙箱，用于分析數(shù)據(jù)并恢復(fù)驗(yàn)證數(shù)據(jù)。

Cyber Recovery解決方案的專用咨詢服務(wù)提供：環(huán)境調(diào)研，方案設(shè)計(jì)，實(shí)施部署，驗(yàn)證等服務(wù)，方案設(shè)計(jì)里面包括的物理安全性設(shè)計(jì)，可以防止內(nèi)部破壞分子可能利用物理安全薄弱環(huán)節(jié)?？梢詫R存儲(chǔ)區(qū)設(shè)備安裝在專門的房間或籠子里，并實(shí)施物理訪問控制措施，如房間或籠子上鎖，使用鑰匙須登記，或者兩人同時(shí)插入鑰匙才能開鎖，以及籠門、房門、設(shè)備上安裝視頻監(jiān)控等。

除了“避風(fēng)港”解決方案，戴爾易安信DPS依據(jù)下列“黃金三角”模型為用戶提供全方位、多層次的數(shù)據(jù)保護(hù)解決方案，不僅能夠有效地防止物理損壞、防止邏輯損壞，還能夠在出現(xiàn)災(zāi)難或者數(shù)據(jù)丟失時(shí)能最快恢復(fù)數(shù)據(jù)，讓業(yè)務(wù)快速上線。

數(shù)據(jù)保護(hù)“黃金三角”模型

1. 遭遇“刪庫”、誤操作后

如何快速恢復(fù)數(shù)據(jù)？

每一個(gè)系統(tǒng)管理員心中都有一個(gè)理想：“數(shù)據(jù)不丟，業(yè)務(wù)不停”  , 可理想是美好的，現(xiàn)實(shí)是骨感的。

“百密終有一疏”，安全事件防不勝防，現(xiàn)如今很多企業(yè)的數(shù)據(jù)保護(hù)還是依靠單一的傳統(tǒng)備份軟件+帶庫或者備份一體機(jī)的簡單方式，而且備份策略還是傳統(tǒng)的“每天增量+每周一個(gè)全備”。

[[318225]]

然而，即使每天每隔4小時(shí)備份一次歸檔日志，數(shù)據(jù)丟失量（RPO）至小也是4小時(shí)，這種備份方式如果恢復(fù)數(shù)據(jù)，需要先恢復(fù)最近的全備，再恢復(fù)增量，最后再回滾日志，系統(tǒng)的目標(biāo)恢復(fù)時(shí)間 （RTO）可能是8小時(shí)以上，這對(duì)很多核心業(yè)務(wù)來說是不可接受的。

因此，戴爾易安信RecoverPoint系列連續(xù)數(shù)據(jù)保護(hù)（CDP）解決方案能幫助系統(tǒng)管理員實(shí)現(xiàn)任意時(shí)間點(diǎn)的恢復(fù)，它不是單純地保護(hù)你的數(shù)據(jù)，而是更深入地保護(hù)整個(gè)系統(tǒng)，為更嚴(yán)苛的RTO/RPO業(yè)務(wù)提供保障。

RecoverPoint分為硬件版（簡稱RP）和純軟件版（簡稱RP4VM）。它通過捕捉每一個(gè)I/O的變化，并記錄這些變化，將業(yè)務(wù)系統(tǒng)的RPO趨近于0，幾乎沒有數(shù)據(jù)丟失， RTO可由數(shù)小時(shí)或者數(shù)天減少到數(shù)分鐘，同時(shí)利用書簽跟蹤應(yīng)用程序相一致的任何恢復(fù)點(diǎn)，這使用戶能夠及時(shí)恢復(fù)任意時(shí)間點(diǎn)數(shù)據(jù)，而無需擔(dān)心任何一個(gè)時(shí)間點(diǎn)的數(shù)據(jù)一致性。

RecoverPoint指定時(shí)間點(diǎn)的數(shù)據(jù)還可以按需即時(shí)訪問，具有完全讀和寫的能力，可做備份數(shù)據(jù)的驗(yàn)證、實(shí)時(shí)應(yīng)用程序的測試、數(shù)據(jù)遷移等許多其他有價(jià)值的數(shù)據(jù)處理，不像傳統(tǒng)備份數(shù)據(jù)，要恢復(fù)才知道可不可用。因此，對(duì)很多核心業(yè)務(wù)來說，RecoverPoint連續(xù)數(shù)據(jù)保護(hù)技術(shù)就是一臺(tái)“備份時(shí)光機(jī)”。

 

2. 如何建立一個(gè)可靠的

數(shù)據(jù)保護(hù)環(huán)境？

“打鐵還需自身硬”，數(shù)據(jù)保護(hù)系統(tǒng)自身是否安全？比如一些備份軟件廠商的備份服務(wù)器只支持Windows，容易受到攻擊，還有一些用戶選用一些傳統(tǒng)磁盤陣列存放備份數(shù)據(jù)，簡單的依靠存儲(chǔ)的RAID來保障備份數(shù)據(jù)，這些都是現(xiàn)代化數(shù)據(jù)保護(hù)方案應(yīng)該避免的。

戴爾易安信PowerProtect DD（前身為Data Domain）作為專用的數(shù)據(jù)保護(hù)存儲(chǔ)，打破了傳統(tǒng)存儲(chǔ)的設(shè)計(jì)理念，以數(shù)據(jù)完整性和可恢復(fù)性為重要目的。

DD的操作系統(tǒng)DDOS是專門為確保數(shù)據(jù)無損來設(shè)計(jì)和構(gòu)建的。它采用“端到端的驗(yàn)證”、“故障避免和控制”、“不斷執(zhí)行故障檢測和修復(fù)”、“文件系統(tǒng)可恢復(fù)性”等一些列的技術(shù)保證存在上面的數(shù)據(jù)一定可恢復(fù)，其行業(yè)占比10年來遙遙領(lǐng)先。

 

3. 備份數(shù)據(jù)管理的“保險(xiǎn)箱”

DD Retention Lock

DD Retention Lock是DD和IDPA備份一體機(jī)上一個(gè)可以輕松啟用的功能，它可以防范多種攻擊，一旦在備份時(shí)啟用Retention Lock，任何人都不能在備份數(shù)據(jù)的保留期間更改備份數(shù)據(jù)。

Retention Lock因此提供了一個(gè)非常強(qiáng)大的能力——防止勒索病毒攻擊，通過阻止病毒對(duì)數(shù)據(jù)的加密，并且屏蔽病毒的刪除能力，可以輕松對(duì)付黑客攻擊。

[[318226]]

例如，如果您通常將備份數(shù)據(jù)保留30天，那么Retention Lock將在你設(shè)置30天的保留期同時(shí)提供額外的一層保護(hù)，同時(shí)期間的備份工作正常進(jìn)行。

 

4. 備份數(shù)據(jù)的“加密鎖”

DD Encryption

備份數(shù)據(jù)除了避免被刪除和篡改等必要手段，如果再能配合備份數(shù)據(jù)加密，則可以達(dá)到“拿不走，改不了，認(rèn)不到”的多重?cái)?shù)據(jù)防護(hù)體系，真正做到固若金湯。

通過DD和IDPA備份一體機(jī)上的Encryption軟件選項(xiàng)對(duì)存入DD和IDPA備份一體機(jī)的備份數(shù)據(jù)進(jìn)行實(shí)時(shí)加密，這樣，如果不事先進(jìn)行身份驗(yàn)證和解密，便無法在現(xiàn)有系統(tǒng)或任何其他環(huán)境訪問這些數(shù)據(jù)，其采用標(biāo)準(zhǔn)的AES 128和256位密鑰，加密發(fā)生在文件系統(tǒng)下面，這樣可以保護(hù)用戶備份到DD和IDPA備份一體機(jī)里的數(shù)據(jù)，避免在DD和IDPA備份一體機(jī)系統(tǒng)被盜或者存儲(chǔ)介質(zhì)在傳輸期間丟失時(shí)數(shù)據(jù)丟失風(fēng)險(xiǎn)。

[[318227]]

此外，DD Encryption不需要其他硬件，并且對(duì)DD和IDPA備份一體機(jī)性能影響較小，通過利用DD和IDPA備份一體機(jī)的SISL擴(kuò)展體系結(jié)構(gòu)，重復(fù)數(shù)據(jù)不需要加密處理，此優(yōu)化會(huì)大幅減少加密過程所消耗的資源，從而減少對(duì)總體性能的影響。同時(shí)，DD Encryption對(duì)外部服務(wù)器和應(yīng)用程序透明，不需要其他服務(wù)器和應(yīng)用裝置參與。

 

5. 在傳統(tǒng)備份基礎(chǔ)之上

用Direct Backup多建立一個(gè)還原點(diǎn)

災(zāi)難發(fā)生時(shí)，快速恢復(fù)是第一反應(yīng)，但是否能在正確時(shí)間讓備份管理員找到正確時(shí)間點(diǎn)的數(shù)據(jù)，來恢復(fù)DBA和應(yīng)用管理員需求的數(shù)據(jù)，這需要很好的管理機(jī)制來配合。所以很多用戶的DBA或者應(yīng)用管理員都會(huì)在已有集中備份的基礎(chǔ)上，直接用自己熟悉的應(yīng)用管理工具備份。

現(xiàn)在各種基于敏捷方式開發(fā)的新業(yè)務(wù)如云原生應(yīng)用，它們基于DevOps思想進(jìn)行運(yùn)維，需要應(yīng)用管理員、DBA、虛機(jī)管理員以及存儲(chǔ)管理員直接參與數(shù)據(jù)保護(hù)，減少數(shù)據(jù)丟失的同時(shí)要求有狀態(tài)數(shù)據(jù)也能快速恢復(fù)，構(gòu)建立體的數(shù)據(jù)保護(hù)體系。這也是現(xiàn)代化數(shù)據(jù)保護(hù)體系的一個(gè)新理念：Direct Backup。

DBA或者應(yīng)用管理員可控制其應(yīng)用的備份和恢復(fù)，不再需要專門的備份管理員參與，從而提高了恢復(fù)效率，當(dāng)然備份管理員也有能力通過集中的管理平臺(tái)對(duì)其數(shù)據(jù)進(jìn)行備份和恢復(fù)管理的監(jiān)控。

DD和IDPA備份一體機(jī)通過DD BOOST和應(yīng)用程序直接集成，實(shí)現(xiàn)源端重復(fù)數(shù)據(jù)刪除的備份，從而加快50%備份速度，并有助于降低帶寬需求，這種直接備份也可以和存儲(chǔ)集成實(shí)現(xiàn)備份，它可以從戴爾易安信VMAX/All Flash或XtremIO上直接把快照備份到DD和IDPA備份一體機(jī)。

[[318228]]

這種備份方式比傳統(tǒng)備份快20倍，比傳統(tǒng)恢復(fù)快10倍，而且對(duì)生產(chǎn)應(yīng)用不會(huì)造成任何影響，并能識(shí)別應(yīng)用，保證數(shù)據(jù)庫一致性，還使得備份數(shù)據(jù)在不用恢復(fù)的情況下直接被拉起來驗(yàn)證和利用，這種解決方案滿足一些客戶非常嚴(yán)格的RTO業(yè)務(wù)要求。

而對(duì)于VMware環(huán)境的數(shù)據(jù)保護(hù)，則可以基于VMware CBT實(shí)現(xiàn)image的快速備份和恢復(fù)，并可以在不恢復(fù)VM的情況下，直接在備份存儲(chǔ)DD和IDPA備份一體機(jī)上立即拉起虛機(jī)映像，并可以借助后端備份存儲(chǔ)DD和IDPA備份一體機(jī)的的Fastcopy優(yōu)化VM的備份和恢復(fù)，這是傳統(tǒng)備份軟件廠商沒法實(shí)現(xiàn)的。

 

云環(huán)境的數(shù)據(jù)保護(hù)

基于IaaS/Pass的云環(huán)境應(yīng)用，在現(xiàn)代化數(shù)據(jù)數(shù)據(jù)中心也是一個(gè)主流。等保2.0明確要求企業(yè)云上的數(shù)據(jù)一定要在線下也有一份，此時(shí)，Avamar Virtual Edition（AVE） 和Data Domain Virtual Edition （DDVE） 這兩款純軟件，可以在云上的實(shí)現(xiàn)數(shù)據(jù)保護(hù)，將數(shù)據(jù)從云上復(fù)制回本地?cái)?shù)據(jù)中心，也可以復(fù)制數(shù)據(jù)到云。

而本地?cái)?shù)據(jù)數(shù)據(jù)中心的DD和IDPA備份一體機(jī)，可采用Cloud Tier技術(shù)將經(jīng)過重復(fù)數(shù)據(jù)消除的數(shù)據(jù)直接從DD和IDPA備份一體機(jī)無縫分層到公有云、私有云或混合云，以實(shí)現(xiàn)長期保留的目的。

 

數(shù)據(jù)保護(hù)43210法則

最后，對(duì)于建立一個(gè)完善可靠的現(xiàn)代化數(shù)據(jù)保護(hù)體系，戴爾易安信一直在宣傳一條簡單好記的法則，即“數(shù)據(jù)保護(hù)43210法則”：

❖ 所謂4，就是除生產(chǎn)數(shù)據(jù)本身，優(yōu)秀實(shí)踐是有四份以上的來自不同介質(zhì)，不同系統(tǒng)、不同數(shù)據(jù)中心的數(shù)據(jù)對(duì)其進(jìn)行保護(hù)。4份數(shù)據(jù)中可以是生產(chǎn)陣列的一份快照，近線存儲(chǔ)上的一份連續(xù)數(shù)據(jù)保護(hù)數(shù)據(jù)，離線備份存儲(chǔ)上的一份備份數(shù)據(jù)，還可以是一份異地復(fù)制數(shù)據(jù)。如果系統(tǒng)要求高，還可以對(duì)數(shù)據(jù)進(jìn)行隔離，建立一份脫離數(shù)據(jù)中心的一份數(shù)據(jù)。

❖ 3，是指三個(gè)以上的還原點(diǎn)。備份的目的是為了恢復(fù)，采用不同技術(shù)（如本地CDP、同城備份、異地復(fù)制等）保證數(shù)據(jù)一致的前提下，讓同一數(shù)據(jù)有不同恢復(fù)點(diǎn)。

❖ 2，是指對(duì)一個(gè)數(shù)據(jù)最好有兩種以上的方式對(duì)其保護(hù)。如用備份軟件備了，最好通過數(shù)據(jù)庫自帶的備份工具（如Oracle、RMAN等）再備份一次，或者通過CDP備份一次。

❖ 1，是指對(duì)重要數(shù)據(jù)一定要有一份異地復(fù)制數(shù)據(jù)。防止本地出現(xiàn)大的災(zāi)難時(shí)，你的數(shù)據(jù)還能找的回來，等保2級(jí)以上就要求備份數(shù)據(jù)異地存放，只是不同級(jí)別要求采用的同異步方式不同。

❖ 0，在以上技術(shù)基礎(chǔ)上，輔之以完善的日常備份制度和災(zāi)難恢復(fù)的演練措施，一定能做到數(shù)據(jù)零丟失。

當(dāng)然“43210法則”是一個(gè)理想的完備模型，可以結(jié)合自己行業(yè)業(yè)務(wù)應(yīng)用特點(diǎn)靈活選擇。

尊敬的讀者

疫情當(dāng)前

各行各業(yè)都受到了巨大影響

而金融行業(yè)因其特殊性

使得它面臨的IT挑戰(zhàn)更加復(fù)雜和多變

那么銀行、證券、保險(xiǎn)等金融機(jī)構(gòu)

該如何面對(duì)特殊事情的挑戰(zhàn)呢？

今天上午

9：30-12：00

戴爾科技將邀請(qǐng)戴爾專家

業(yè)界分析師以及金融行業(yè)專家等

舉辦金融行業(yè)網(wǎng)絡(luò)研討會(huì)

就金融行業(yè)的遠(yuǎn)程辦公

開放銀行的趨勢(shì)及挑戰(zhàn)

等話題進(jìn)行分享和介紹

歡迎觀看下圖了解會(huì)議詳情并掃碼參會(huì)

相關(guān)內(nèi)容推薦：戴爾科技CTO預(yù)測2020年破壞性創(chuàng)新技術(shù)發(fā)展趨勢(shì)

相關(guān)產(chǎn)品：PowerEdge R740 機(jī)架式服務(wù)器