無論你是在何處托管的數(shù)據(jù)（公有云、私有數(shù)據(jù)中心還是本地），很多對抗勒索軟件的策略（例如定期備份）都是相同的。

然而，運營數(shù)據(jù)中心的企業(yè)可以部署一些特殊的措施，以降低成為勒索軟件攻擊受害者的風(fēng)險。當(dāng)你控制了基礎(chǔ)設(shè)施和托管設(shè)施的各個方面時，就可以采取一些措施來降低勒索軟件威脅，而這在其他方面是不可能的。

為此，本文介紹了降低數(shù)據(jù)中心勒索軟件風(fēng)險的一些可行策略。

基本的勒索軟件緩解策略

在深入研究適用于數(shù)據(jù)中心的反勒索軟件策略之前，我們先討論一下在任何類型環(huán)境中防止勒索軟件的通用技巧。標(biāo)準(zhǔn)最佳實踐包括：

• 備份數(shù)據(jù)：如果你定期備份數(shù)據(jù)，就可以在勒索軟件攻擊后從備份中進行恢復(fù)，而無需支付贖金。
• 監(jiān)控威脅：持續(xù)的監(jiān)控可以幫助你檢測出是否存在勒索軟件攻擊者用來加密數(shù)據(jù)的惡意軟件，從而在某些情況下在信息被勒索之前就能阻止攻擊。
• 教育用戶：對員工、客戶、承包商和其他利益相關(guān)者進行有關(guān)勒索軟件和相關(guān)風(fēng)險的教育，可以降低有人陷入詐騙事件的幾率。
• 最大限度地減少暴露：關(guān)閉不必要的網(wǎng)絡(luò)端口、遵循最小特權(quán)原則、關(guān)閉無關(guān)工作負(fù)載等做法，會讓威脅行為者更難實施勒索軟件攻擊。

同樣地，你可以在任何地方執(zhí)行這些操作，而不僅僅是在私有數(shù)據(jù)中心托管環(huán)境中。

阻止數(shù)據(jù)中心的勒索軟件

但是，當(dāng)你運營著自己的數(shù)據(jù)中心（或使用托管設(shè)施）以托管工作負(fù)載的時候，可以采取其他措施來防范勒索軟件，而這些措施在大多數(shù)其他環(huán)境中是具有挑戰(zhàn)性或者不可能采取的。

氣隙系統(tǒng)

首先，你可以隔離數(shù)據(jù)和工作負(fù)載。氣隙，意味著完全斷開資源與互聯(lián)網(wǎng)的連接，完全防止任何網(wǎng)絡(luò)攻擊。這在勒索軟件保護的背景下尤其是有價值的，因為這意味著你幾乎可以保證數(shù)據(jù)備份不會被攻擊者訪問，攻擊者有時會試圖破壞備份，讓受害者在不支付贖金的情況下無法恢復(fù)數(shù)據(jù)。

在公有云中通常不太可能運用氣隙方法，因為公有云是不能斷開網(wǎng)絡(luò)的。你能做的最好的事情，就是將其放置在不直接暴露于互聯(lián)網(wǎng)的專用網(wǎng)絡(luò)上，但仍可能暴露給已經(jīng)存在于環(huán)境中的攻擊者。如果使用私有數(shù)據(jù)中心的話，你就可以完全控制基礎(chǔ)設(shè)施，并且如果你愿意，就可以從物理上斷開數(shù)據(jù)與網(wǎng)絡(luò)的連接。

異地備份

私有數(shù)據(jù)中心還可以更輕松地維護異地備份，這意味著備份數(shù)據(jù)是保存在一個與托管生產(chǎn)工作負(fù)載的物理位置相互分開的物理位置上。異地備份提供了針對勒索軟件的另一道防線，確保你即使是在整個數(shù)據(jù)中心設(shè)施在攻擊中受到損害的情況下，也擁有一組可以恢復(fù)的安全信息。

雖然可以通過將備份數(shù)據(jù)下載到你選擇的位置以便從公有云中創(chuàng)建異地備份，但你必須依靠網(wǎng)絡(luò)來移動數(shù)據(jù)，如果有大量數(shù)據(jù)要移動，這可能需要很長時間。而通過你自己的數(shù)據(jù)中心，就可以將數(shù)據(jù)直接復(fù)制到存儲介質(zhì)，然后將介質(zhì)移動到你選擇的位置上。

數(shù)字孿生

在數(shù)據(jù)中心環(huán)境中，數(shù)字孿生是IT環(huán)境的一種完整復(fù)制。數(shù)字孿生提供了一個環(huán)境，讓組織可以切換到這個環(huán)境中來防范勒索軟件風(fēng)險，以便在主要環(huán)境中因為勒索軟件攻擊而受到損害時保持連續(xù)性。

如果你愿意的話，可以在公有云中維護數(shù)字孿生，但這樣做往往成本更高且更加復(fù)雜，因為它實際上會讓你支付的云資源量增加一倍。你還必須實施一項計劃將云環(huán)境切換到備份環(huán)境，由于涉及許多變量（例如網(wǎng)絡(luò)規(guī)則和IAM策略），這個計劃可能是很復(fù)雜的。

在一個數(shù)據(jù)中心內(nèi)，你可以更經(jīng)濟高效地維護數(shù)字孿生，例如，使用舊硬件來托管數(shù)字孿生環(huán)境。你也無需擔(dān)心在勒索軟件攻擊后調(diào)整配置（例如IAM規(guī)則）以將請求重定向到備份環(huán)境。

物理安全

由惡意的內(nèi)部人員（例如員工）發(fā)起的勒索軟件攻擊所帶來的風(fēng)險越來越大。在這方面，私有數(shù)據(jù)中心的優(yōu)勢在于讓組織能夠更好地控制物理安全，幫助他們以精細(xì)的方式管理誰可以訪問內(nèi)部基礎(chǔ)設(shè)施和數(shù)據(jù)。

公有云中的物理安全控制措施也非常出色，但不同的是，如果使用公有云，你就必須把物理安全委托給第三方，而第三方無法保證設(shè)施中不存在惡意內(nèi)部人員。在你自己的數(shù)據(jù)中心中，你完全有能力管理對設(shè)施的訪問權(quán)，以及監(jiān)控各項活動，作為檢測勒索軟件風(fēng)險和其他威脅的一種手段。

結(jié)論

如果你得出數(shù)據(jù)中心本質(zhì)上不易遭受勒索軟件攻擊的結(jié)論，那么這是錯誤的。與任何環(huán)境一樣，數(shù)據(jù)中心也可能而且經(jīng)常受到勒索軟件的攻擊。然而，數(shù)據(jù)中心運營商可以采用那些在其他類型環(huán)境中可能并不實用的、針對勒索軟件的預(yù)防措施，從而讓使用數(shù)據(jù)中心托管工作負(fù)載的企業(yè)在打擊勒索軟件方面取得優(yōu)勢。