世界風(fēng)云變幻，一切供給和消費(fèi)都在“即服務(wù)”化(as a Service)，甚至勒索軟件也不例外。事實(shí)證明，“勒索軟件即服務(wù)”(Ransomware as a Service, RaaS)正在成為另一種意義上的 “病毒”，它迫使企業(yè)徹底改變其安全應(yīng)對(duì)態(tài)勢(shì)。

　　企業(yè)的云計(jì)算之旅本就進(jìn)度各異，而不良行為者和威脅載體又帶來更大挑戰(zhàn)。有市場(chǎng)分析師指出，云計(jì)算中的錯(cuò)誤配置是不良行為者會(huì)最先利用的關(guān)鍵漏洞之一，這為企業(yè)帶來又一值得擔(dān)憂的難題。

　　Commvault備份副本為企業(yè)提供“保險(xiǎn)單”

　　Commvault在數(shù)據(jù)保護(hù)和管理領(lǐng)域有25年的領(lǐng)先經(jīng)驗(yàn)，并始終堅(jiān)持與時(shí)俱進(jìn)，通過多層次的安全保護(hù)方法幫助客戶恢復(fù)數(shù)據(jù)，在網(wǎng)絡(luò)和災(zāi)難恢復(fù)危機(jī)中反擊，證明了網(wǎng)絡(luò)就緒(cyber-ready)和恢復(fù)就緒(recovery-ready)備份副本的重要性。

　　當(dāng)前有關(guān)網(wǎng)絡(luò)恢復(fù)能力的最新標(biāo)準(zhǔn)是，能否將所有為減少攻擊表面積而孤立的工作負(fù)載納入統(tǒng)一框架(且這一框架應(yīng)易于適應(yīng)客戶當(dāng)前既有企業(yè)內(nèi)部又有SaaS的混合生態(tài)系統(tǒng))，并能確保在每一層互動(dòng)中都持續(xù)提供最高級(jí)別的保護(hù)和恢復(fù)。Commvault將遵守業(yè)務(wù)服務(wù)級(jí)別協(xié)議(SLAs)視為最優(yōu)先的參數(shù)，在其智能數(shù)據(jù)服務(wù)平臺(tái)上，客戶擁有支持工作負(fù)載和實(shí)現(xiàn)部署靈活性的多樣選擇。

　　Commvault先進(jìn)的數(shù)據(jù)保護(hù)和管理產(chǎn)品與服務(wù)讓跨越企業(yè)內(nèi)部、云端和SaaS平臺(tái)保護(hù)和管理數(shù)據(jù)的無縫體驗(yàn)得以實(shí)現(xiàn)：Commvault HyperScale X：基于Commvault分布式存儲(chǔ)的Commvault超融合基礎(chǔ)設(shè)施(HCI)產(chǎn)品。幫助客戶從統(tǒng)一且高標(biāo)準(zhǔn)的安全保護(hù)、分段和簡易部署中獲益，并提供無縫云整合選項(xiàng)。

　　安全和備份數(shù)據(jù)不可更改性的最佳實(shí)踐

　　而隨著備份副本成為企業(yè)恢復(fù)的“保險(xiǎn)單”，數(shù)據(jù)的不可更改性也變得至關(guān)重要。

　　不可更改性(Immutability)即任何數(shù)據(jù)在特定的一段持續(xù)時(shí)間內(nèi)保持不可變狀態(tài)的能力。Commvault軟件支持客戶內(nèi)置一系列功能，補(bǔ)充異常檢測(cè)和通知機(jī)制，使其成為安全且網(wǎng)絡(luò)就緒的數(shù)據(jù)保護(hù)解決方案。正如美國國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)的網(wǎng)絡(luò)安全框架所描述的那樣，企業(yè)正迅速向“縱深防御”戰(zhàn)略看齊。當(dāng)這一戰(zhàn)略擴(kuò)展到數(shù)據(jù)保護(hù)和管理環(huán)境時(shí)，同樣的框架能幫助企業(yè)在無需犧牲恢復(fù)、性能和成本的情況下達(dá)到理想的數(shù)據(jù)不可更改性和安全水平。

　　具體而言，安全和備份數(shù)據(jù)不可更改性可通過多種方法相互配合來實(shí)現(xiàn)，以下是Commvault推薦的關(guān)鍵最佳實(shí)踐：

　　嚴(yán)控基于角色的訪問控制(RBAC)：確保只有組織內(nèi)資源有權(quán)訪問備份庫，并配合多因素認(rèn)證(MFA)和多人認(rèn)證以阻止流氓管理員或被泄露的管理員憑證的訪問。回答“誰可以訪問什么”“為什么這么安排”等基本問題有助于實(shí)施RBAC原則，這與最小特權(quán)訪問(Least Privilege Access)準(zhǔn)則具有一致性。

　　啟用Commvault Retention Lock(舊稱WORM Copy)：防止流氓管理員或被泄露的管理員憑證對(duì)Commvault環(huán)境造成破壞。這種軟件級(jí)別的鎖定配置一旦在策略上啟用，有助于防止任何人(包括管理員)意外或故意的刪除行為或?qū)Σ呗员Ａ?、已刪除工作和未裝載/刪除的庫的更改。

　　使用Commvault默認(rèn)加密設(shè)置：保證服務(wù)端和傳輸中數(shù)據(jù)均被加密，并保證即使備份數(shù)據(jù)泄露，壞人也無法在沒有解密密鑰的情況下利用它們。又由于Commvault寫入的數(shù)據(jù)是重復(fù)數(shù)據(jù)塊，因此在發(fā)生雙重勒索贖金軟件威脅時(shí)，這些數(shù)據(jù)塊對(duì)勒索者來說毫無用處。

　　Commvault整合并支持第三方密鑰管理服務(wù)器，提供額外安全保障層。

　　使用Commvault Ransomware Lock：保護(hù)企業(yè)內(nèi)部任何相關(guān)的數(shù)據(jù)移動(dòng)設(shè)備掛載路徑，確保數(shù)據(jù)只能由Commvault和Commvault批準(zhǔn)的進(jìn)程寫入目標(biāo)磁盤存儲(chǔ)，使掛載路徑不能被任何非Commvault進(jìn)程讀取、寫入和更新，從而滿足不可更改性要求。

　　部署Commvault HyperScale X：用嚴(yán)格的操作系統(tǒng)級(jí)數(shù)據(jù)保護(hù)防止用戶和/或勒索軟件攻擊繞過其他安全層。在系統(tǒng)內(nèi)部，HyperScale X采用SELinux，能夠通過限制文件修改或磁盤級(jí)活動(dòng)(如重新格式化驅(qū)動(dòng)器)的訪問策略增強(qiáng)不可更改性。最重要的是，由Commvault的一體化橫向擴(kuò)展文件系統(tǒng)支持的HyperScale X在存儲(chǔ)層提供了額外的不可更改性，這項(xiàng)默認(rèn)啟用的功能確保了備份庫中的數(shù)據(jù)不能在文件系統(tǒng)層面被修改或加密。

　　先驗(yàn)證再觸發(fā)：在備份工作觸發(fā)前驗(yàn)證云存儲(chǔ)服務(wù)訪問權(quán)限，這基于“零信任”架構(gòu)對(duì)所有通信渠道都要經(jīng)過“挑戰(zhàn)”然后再“驗(yàn)證”的規(guī)定，否定了持久性概念。

　　使用基于時(shí)間的保留鎖(WORM不可變鎖)：使用于云對(duì)象存儲(chǔ)和支持它的企業(yè)內(nèi)部對(duì)象存儲(chǔ)，確保任何程序或人員(包括IaaS供應(yīng)商)在不滿足保留條件時(shí)不能刪除或更新云存儲(chǔ)中的副本。

　　采用“拉式”(Pull)而非“推式”(Push)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)：“推式”架構(gòu)依賴連接持久性，惡意軟件有可能通過這種永遠(yuǎn)在線的連接進(jìn)行滲透;而在“拉式”架構(gòu)中，與客戶的連接是周期性的，需要訪問請(qǐng)求、訪問認(rèn)證才能導(dǎo)致數(shù)據(jù)和事件的“拉動(dòng)”，符合零信任架構(gòu)原則。

　　實(shí)現(xiàn)不可更改性應(yīng)考慮的關(guān)鍵架構(gòu)因素

　　一個(gè)經(jīng)常被問到的問題是，我們?nèi)绾螢橐粋€(gè)具有上述所有功能的特定環(huán)境設(shè)計(jì)出合適的架構(gòu)?或者說，在設(shè)計(jì)一個(gè)平衡安全、成本和性能參數(shù)的混合環(huán)境時(shí)，有哪些關(guān)鍵的架構(gòu)考慮?

　　Commvault認(rèn)為，一個(gè)能實(shí)現(xiàn)數(shù)據(jù)不可更改性的架構(gòu)應(yīng)包括以下要素：

　　將副本存儲(chǔ)與勒索軟件隔離的訪問鎖

　　通過能減少風(fēng)險(xiǎn)、平衡消費(fèi)影響的生命周期鎖實(shí)現(xiàn)的不可更改性

　　空氣間隙隔離網(wǎng)絡(luò)與控制

　　防止故意或意外改動(dòng)的配置管理

　　在充分考慮速度和成本的情況下減少延遲的恢復(fù)并發(fā)性能

　　用于保持對(duì)數(shù)據(jù)保護(hù)基礎(chǔ)設(shè)施的現(xiàn)有、簡化管理與維護(hù)的自動(dòng)修補(bǔ)

　　3-2-1異地存儲(chǔ)副本