“至暗時刻”
是每個企業都難以避免的
比如最近著名的“刪庫”事件
讓某企業付出沉重的代價
今天,數字資產已成為企業核心競爭力
如何讓它更安全,讓企業不再輕易“失去”?
今天,我們來聊聊關於
如何守住企業資產的最後一道防線
各位讀者,一次又一次的IT事故無不說明了建立現代化數據防護體系的緊迫和必要性,而要搭建這樣的體系不僅需要好的安全策略和及時的主動偵測手段,更要可靠的數據備份以及經常驗證的恢復手段,因為它們是你的最後一道防線。
下面就和大家討論一下,萬一你的系統遭遇安全事件後,如何快速的恢復和還原你的數據,讓業務快速上線,把損失減少到最低。
三分靠技術,七分靠管理
現代數據保護要“防”更要“管”
一個現代化數據中心,應該建立一個安全可靠的現代化數據保護體系,它是多種全新數據保護技術和管理方式的融合,不同技術能滿足不同業務的RTO/RPO要求:
☛ 有的核心業務RTO/RPO要求秒級;
☛ 有的則需要連續數據保護(CDP);
☛ 有的RTO/RPO是小時級的;
☛ 還有的需要長期保存,需要對數據進行歸檔。
同時,一份生產數據最好有多份保護數據,多個備份還原點去防止單點故障,並且多份備份數據要保存在不同介質,不同系統,並複製到不同的數據中心。如果條件允許,最好建一個備份數據“避風港”,讓備份數據和生產環境完全隔離 。
最後,備份軟件本身和存儲備份數據的介質一定要可靠,現在有一些攻擊行為專門針對備份軟件,像有的備份軟件的服務器本身只支持Windows,其本身很容易中病毒,就是一個巨大的安全隱患。
所謂“三分靠技術,七分靠管理”,現代化數據保護體系除了採用先進可靠的技術外,還需要加強員工安全意識培訓,這一點非常重要,卻常常被忽略。同時,建立完備的日常備份制度和災難恢復措施,並由管理人員切實執行數據保護制度,備份的數據一定要定期驗證,確保備份數據的完整可用,否則數據保護將僅僅是紙上談兵。
防止安全事件的終極解決方案
Cyber Recovery “避風港”
為應對愈演愈烈的惡意攻擊和勒索病毒等行為,戴爾易安信推出了全新的“避風港”計劃——Cyber Recovery。
Cyber Recovery解決方案由一對PowerProtect DD系統和Cyber Recovery管理主機組成,運行在管理主機上的Cyber Recovery軟件通過啟用或禁用CR存儲區中Data Domain系統上的複製以太網接口,來控制從生產環境流向存儲區環境的數據流。
Cyber Recovery是一個邏輯上的的Air-Gap解決方案,它提供了對任何網絡攻擊的保護,是戴爾易安信對病毒防護、惡意刪除等安全事件的終極解決方案。
備份數據存儲在生產端DD上後,生產端DD和CR存儲區的DD建立複製鏈接,使用DD的專用接口將備份數據從生產中心DD通過內部網絡複製到CR存儲區的DD上。
Cyber Recovery使用DD Retention Lock特性(後文會詳細介紹),在Cyber Recovery存儲區創建生產端DD複製數據的不可變副本,在CR存儲區中通過CR Management創建調度來啟用複製接口鏈接,複製完後將禁用Cyber Recovery Vault區DD上的複製接口,以建立備份數據完全網絡隔離方案。我們還可以在CR 存儲區創建RW沙箱,用於分析數據並恢復驗證數據。
Cyber Recovery解決方案的諮詢服務還可以為用戶提供進一步的物理安全性設計,防止內部破壞分子可能利用物理安全薄弱環節。可以將CR存儲區設備安裝在專門的房間或籠子裡,並實施物理訪問控制措施,如房間或籠子上鎖,使用鑰匙須登記,或者兩人同時插入鑰匙才能開鎖,以及籠門、房門、設備上安裝視頻監控等。
除了“避風港”解決方案,戴爾易安信DPS依據下列“黃金三角”模型為用戶提供全方位、多層次的數據保護解決方案,不僅能夠有效地防止物理損壞、防止邏輯損壞,還能夠在出現災難或者數據丟失時能最快恢復數據,讓業務快速上線。
數據保護“黃金三角”模型
1. 遭遇“刪庫”、誤操作後
如何快速恢復數據?
每一個系統管理員心中都有一個理想:“數據不丟,業務不停” , 可理想是美好的,現實是骨感的。
“百密終有一疏”,安全事件防不勝防,現如今很多企業的數據保護還是依靠單一的傳統備份軟件+帶庫或者備份一體機的簡單方式,而且備份策略還是傳統的“每天增量+每週一個全備”。
然而,即使每天每隔4小時備份一次歸檔日誌,數據丟失量(RPO)最小也是4小時,這種備份方式如果恢復數據,需要先恢復最近的全備,再恢復增量,最後再回滾日誌,系統的目標恢復時間 (RTO)可能是8小時以上,這對很多核心業務來說是不可接受的。
因此,戴爾易安信RecoverPoint系列連續數據保護(CDP)解決方案 能幫助系統管理員實現任意時間點的恢復,它不是單純地保護你的數據,而是更深入地保護整個系統,為更嚴苛的RTO/RPO業務提供保障。
RecoverPoint分為硬件版(簡稱RP)和純軟件版(簡稱RP4VM)。它通過捕捉每一個I/O的變化,並記錄這些變化,將業務系統的RPO趨近於0,幾乎沒有數據丟失, RTO可由數小時或者數天減少到數分鐘,同時利用書籤跟蹤應用程序相一致的任何恢復點,這使用戶能夠及時恢復任意時間點數據,而無需擔心任何一個時間點的數據一致性。
RecoverPoint指定時間點的數據還可以按需即時訪問,具有完全讀和寫的能力,可做備份數據的驗證、實時應用程序的測試、數據遷移等許多其他有價值的數據處理,不像傳統備份數據,要恢復才知道可不可用。因此,對很多核心業務來說,RecoverPoint連續數據保護技術就是一臺“備份時光機”。
2. 如何建立一個可靠的
數據保護環境?
“打鐵還需自身硬”,數據保護系統自身是否安全?比如一些備份軟件廠商的備份服務器只支持Windows,容易受到攻擊,還有一些用戶選用一些傳統磁盤陣列存放備份數據,簡單的依靠存儲的RAID來保障備份數據,這些都是現代化數據保護方案應該避免的。
戴爾易安信PowerProtect DD(前身為Data Domain)作為專用的數據保護存儲,打破了傳統存儲的設計理念,以數據完整性和可恢復性為重要目的。
DD的操作系統DDOS是專門為確保數據無損來設計和構建的。它採用“端到端的驗證”、“故障避免和控制”、“不斷執行故障檢測和修復”、“文件系統可恢復性”等一些列的技術保證存在上面的數據一定可恢復,其行業佔比
10年來遙遙領先。
3. 備份數據管理的“保險箱”
DD Retention Lock
DD Retention Lock是DD專用備份存儲上一個可以輕鬆啟用的功能,它可以防範多種攻擊,一旦在備份時啟用Retention Lock,任何人都不能在備份數據的保留期間更改備份數據 。
Retention Lock因此提供了一個非常強大的能力——防止勒索病毒攻擊,通過阻止病毒對數據的加密,並且屏蔽病毒的刪除能力,可以輕鬆對付黑客攻擊。
例如,如果您通常將備份數據保留30天,那麼Retention Lock將在你設置30天的保留期同時提供額外的一層保護,同時期間的備份工作正常進行。
4. 備份數據的“加密鎖”
DD Encryption
備份數據除了避免被刪除和篡改等必要手段,如果再能配合備份數據加密,則可以達到“拿不走,改不了,認不到”的多重數據防護體系,真正做到固若金湯。
通過DD上的Encryption軟件選項對存入DD的備份數據進行實時加密,這樣,如果不事先進行身份驗證和解密,便無法在現有系統或任何其他環境訪問這些數據,其採用標準的AES 128和256位密鑰,加密發生在文件系統下面,這樣可以保護用戶備份到DD裡的數據,避免在DD系統被盜或者存儲介質在傳輸期間丟失時數據丟失風險。
此外,DD Encryption不需要其他硬件,並且對DD性能影響較小,通過利用DD的SISL擴展體系結構,重複數據不需要加密處理,此優化會大幅減少加密過程所消耗的資源,從而減少對總體性能的影響。同時,DD Encryption對外部服務器和應用程序透明,不需要其他服務器和應用裝置參與。
5. 在傳統備份基礎之上
用Direct Backup多建立一個還原點
災難發生時,快速恢復是第一反應,但是否能在正確時間讓備份管理員找到正確時間點的數據,來恢復DBA和應用管理員需求的數據,這需要很好的管理機制來配合。所以很多用戶的DBA或者應用管理員都會在已有集中備份的基礎上,直接用自己最熟悉的應用管理工具備份。
現在各種基於敏捷方式開發的新業務如雲原生應用,它們基於DevOps思想進行運維,需要應用管理員、DBA、虛機管理員以及存儲管理員直接參與數據保護,減少數據丟失的同時要求有狀態數據也能快速恢復,構建立體的數據保護體系。這也是現代化數據保護體系的一個新理念:Direct Backup。
DBA或者應用管理員可控制其應用的備份和恢復,不再需要專門的備份管理員參與,從而提高了恢復效率,當然備份管理員也有能力通過集中的管理平臺對其數據進行備份和恢復管理的監控。
PowerProtect DD通過DD BOOST和應用程序直接集成,實現源端重複數據刪除的備份,從而加快50%備份速度,並有助於降低帶寬需求,這種直接備份也可以和存儲集成實現備份,它可以從戴爾易安信VMAX/All Flash或XtremIO上直接把快照備份到DD。
這種備份方式比傳統備份快20倍,比傳統恢復快10倍,而且對生產應用不會造成任何影響,並能識別應用,保證數據庫一致性,還使得備份數據在不用恢復的情況下直接被拉起來驗證和利用,這種解決方案滿足一些客戶非常嚴格的RTO業務要求。
而對於VMware環境的數據保護,則可以基於VMware CBT實現image的快速備份和恢復,並可以在不恢復VM的情況下,直接在備份存儲DD上立即拉起虛機映像,並
可以藉助後端備份存儲DD的的Fastcopy優化VM的備份和恢復,這是傳統備份軟件廠商沒法實現的。
雲環境的數據保護
基於IaaS/Pass的雲環境應用,在現代化數據數據中心也是一個主流。等保2.0明確要求企業雲上的數據一定要在線下也有一份,此時,
Avamar Virtual Edition(AVE) 和Data Domain Virtual Edition (DDVE) 這兩款純軟件,可以在雲上的實現數據保護,將數據從雲上覆制回本地數據中心,也可以複製數據到雲。
而本地數據數據中心的DD,可採用DD Cloud Tier技術將經過重複數據消除的數據直接從DD無縫分層到公有云、私有云或混合雲,以實現長期保留的目的。
數據保護43210法則
最後,對於建立一個完善可靠的現代化數據保護體系,戴爾易安信一直在宣傳一條簡單好記的法則,即“數據保護43210法則”:
❖ 所謂4,就是除生產數據本身,最佳實踐是有四份以上的來自不同介質,不同系統、不同數據中心的數據對其進行保護。4份數據中可以是生產陣列的一份快照,近線存儲上的一份連續數據保護數據,離線備份存儲上的一份備份數據,還可以是一份異地複製數據。如果系統要求高,還可以對數據進行隔離,建立一份脫離數據中心的一份數據。
❖ 3,是指三個以上的還原點。備份的目的是為了恢復,採用不同技術(如本地CDP、同城備份、異地複製等)保證數據一致的前提下,讓同一數據有不同恢復點。
❖ 2,是指對一個數據最好有兩種以上的方式對其保護。如用備份軟件備了,最好通過數據庫自帶的備份工具(如Oracle、RMAN等)再備份一次,或者通過CDP備份一次。
❖ 1,是指對重要數據一定要有一份異地複製數據 。防止本地出現大的災難時,你的數據還能找的回來,等保2級以上就要求備份數據異地存放,只是不同級別要求採用的同異步方式不同。
❖ 0,在以上技術基礎上,輔之以完善的日常備份制度和災難恢復的演練措施,一定能做到數據零丟失。
當然“43210法則”是一個理想的完備模型,可以結合自己行業業務應用特點靈活選擇。
尊敬的讀者
疫情當前
各行各業都受到了巨大影響
而金融行業因其特殊性
使得它面臨的IT挑戰更加複雜和多變
那麼銀行、證券、保險等金融機構
該如何面對特殊事情的挑戰呢?
今天上午
9:30-12:00
戴爾科技將邀請戴爾專家
業界分析師以及金融行業專家等
舉辦金融行業網絡研討會
就金融行業的遠程辦公
開放銀行的趨勢及挑戰
等話題進行分享和介紹
歡迎觀看下圖瞭解會議詳情
並掃碼參會
閱讀更多 戴爾科技集團 的文章
