Professional Documents
Culture Documents
软件业务韧性的最佳做法
白皮书 | 2021 年 8 月
目录
执行摘要 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
引言 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
最佳做法 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4
保护、检测、恢复 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
保护 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
检测 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7
恢复 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
竞争优势 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .12
总结 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .13
参考文献 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .13
2
执行摘要
很多人认为备份和恢复数据是抵御勒索软件攻击的最后一道防线。Veritas 建议采用全方位多层次网络安全防御体系,其中备份和恢复是最有意义
且高度可靠的一环。倒下的并非您的数据,而是您的业务。
Veritas 高度可靠的解决方案以韧性为核心,可确保客户的业务连续正常运行,将业务中断影响控制在最低水平。我们的解决方案内置各种契合您需
求的安全控制措施,可保护 IT 系统和数据完整性。这些工具监控并检测可能出现的威胁,全面监视用户行为和数据基础架构,通过监控备份确保关
键数据得到妥善保护。数十年来,Veritas NetBackup 软件一直是灾难恢复的代名词。可靠的 Veritas 解决方案通过整合业经验证的先进技术,以
自动化和编排的方式实现大规模快速恢复。
引言
本白皮书将帮助您:
• 了解如何保护您的 IT 系统和维护数据完整性。
• 了解 Veritas 解决方案如何通过持续监控,检测系统中的异常,缓解威胁。
• 确定我们的哪种恢复解决方案最契合您的需求,以便对您的环境应用正确的恢复方案。
务必要注意,没有一刀切的解决方案,本白皮书也并未暗示它适用于任何场景。Veritas 给您充分的选择自由,您可从广泛的选项中自由选择最适合
应用程序特定需求的解决方案。Veritas 建议您部署全方位的整体防御战略,在企业系统中添加防火墙、电子邮件和垃圾邮件过滤器、反恶意软件和
单点保护软件。企业还必须制定、演练并持续评估自己的防御战略,并根据威胁和技术的复杂程度不断调整。下面,我们深入了解下 Veritas 推荐的
企业备份生态系统的最佳做法。
3
版本管理 数据加密
保持处于最新状态 静态和动态传输
身份信息和访问管理 配置
利用 RBAC 安全的备份环境
防篡改存储 部署
保护您的备份 韧性备份基础架构
图 1. 企业备份生态系统的推荐最佳做法
最佳做法
版本管理
• 定期安装安全补丁和发行版本,保证版本最新,以减少漏洞风险。
• 如要关注 Veritas 技术预警,请访问 Veritas 支持网站或 Veritas Services and Operations Readiness Tools (SORT)
身份信息和访问管理
• 要求用户用自己的凭据登录。
• 定期更改所有内置常规用户帐户和密码,例如主机 ‘admin’、
‘maintenance’、RMM ‘sysadmin’ 和 ‘nbasecadmin’ 帐户。
防篡改存储
• 运用不可篡改和无法擦除的存储技术,防止勒索软件加密或删除备份。
数据加密
• 实施动态加密,保护数据在网络传输途中不会遭到感染。
• 实施静态加密,防止勒索软件或犯罪分子盗取您的数据,继而威胁您要公开数据或采取其他恶意行为。
配置
• 遵循安全实施指南。
• 启用防火墙,通过限制端口和进程强化环境。
• 更新默认的主目录备份策略。
4
部署
• 采用美国网络安全和基础架构安全局推荐的备份数据“3-2-1”最佳做法:保留三份数据副本,两份 “3-2-1”备份战略
存储在两个不同的介质上,一份保留在异地。
部署战略后,务必定期测试和演练流程。这种做法不仅可帮助缩短响应威胁的时间,而且可最大限度降低 至少备份三份数据
攻击影响,增强的可视化还可帮助您找到要解决和改进的问题点。您的韧性计划效果取决于最终测试,因
此时常演练和不断修改韧性战略是明智之举。
两份数据分别存放在不同类型的存储中
保护、检测、恢复
保护
云、数据库和虚拟机管理员可通过智能策略自动检测应用程序或计算实例,并对其施以相应防护级别的保护措施,从而节省大量时间。
Veritas 一贯注重数据完整性,帮助客户确保备份文件安全无虞,远离恶意入侵者的魔爪。我们深切了解对于客户来说,最重要的是保护数据,正因
如此,多云数据服务平台以 NetBackup 为核心技术,围绕数据完整性打造一系列关键功能。
为维持数据完整性,我们推出各种安全控制措施,目的在于强化数据保护。
身份信息和访问管理 (IAM)
• 基于角色的访问:您可根据特定的个人需求定制访问粒度,指定可访问数据的对象以
及他们可执行的操作(参见图 2)。
数据加密
• 动态:确保数据发送至通过身份验证的环境,并在传输中加以保护。该解决方案利用
图 2. NetBackup 中的访问权限控制板
Veritas 或客户提供的 TLS 1.2 证书,采用 2048 位密钥支持,确保数据以加密状
态进行传输。
5
防篡改 /不可擦除的映像管理和存储
• 没有存储限制的灵活映像管理
• 支持主要和辅助域重复数据删除,以及跨域复制(借助 AIR),提供跨任何备份存储层的无限制配置选项。
• 在本地和云端使用防篡改存储,以保证数据安全与合规。
• 映像保存于 WORM(一次写入、多次读取)存储中
主存储
• 主目录信息 防篡改模式
合规或企业
• 备份策略
MSDP 插件,
使用 OST
防篡改性 API NetBackup
客户端源数据 NetBackup NetBackup
(对象) 主服务器 WORM Flex 一体机容器存储包含
介质服务器
存储服务器 不可篡改和可篡改的映像
• 企业模式可避免数据在预定义保留期间内被删除,只有特殊权限的用户可以修改保留设置或使用双重身份验证删除数据。但必须由 RBAC
级别不同的两个人均同意更改保留时间或修改 /删除数据。
6
解决方案强化:NetBackup Flex 解决方案从软件和硬件两个方面进行了强化,支持防篡改且不可擦除的存储,打造全方位的安全解决方案。该解决
方案可提供安全的 WORM 存储服务器和硬件安全功能。
• 静态代码分析。
• 运行时漏洞检查。
• 渗透测试。
• 基于角色的强大身份验证。
• 锁定存储阵列。
有关详细信息,请参阅内置 NetBackup 安全功能的 Veritas Flex Appliance 一体机白皮书(支持安全部署)以及内置 NetBackup 的 Veritas Flex
Appliance 一体机白皮书。
检测
与许多企业一样,您的 IT 环境可能也面临着复杂度日益增加的挑战,因此您不但要实行妥善管理,还可能要应对资源紧缩的问题。要确保环境安全
可靠,除了要应对勒索软件等威胁,还要简化对备份的日常维护与监控,轻松进行存储配置。Veritas 提供的解决方案实现了基础架构可视化,可及
时检测异常。
恶意软件和异常检测
7
Veritas 不仅可通过 NetBackup 检测辅助存储中的备份数据,
还可以通过 Veritas Data Insight 监控主存储中的应用程序。
Veritas Data Insight 提供异常行为检测、自定义勒索软件特定查
询模板,可针对勒索软件的文件扩展名进行恶意软件识别,是现有
的安全检测工具的有力补充。Data Insight 内置基于策略的近实时
监控和警报功能,有助于检测用户帐户的任何恶意或异常行为。它
通过扫描监控范围内的非结构化数据系统,收集对所有文件的用户
活动(读取、写入、创建、删除和重命名等)审计,针对每个用户进
行安全性统计和文件统计(参见图 5)。
图 5. 在 Data Insight 中设置用户活动检测策略
该技术可比较所收集的历史数据并找出与统计标准的偏差,帮助检
测异常行为,同时识别可能遭到勒索软件感染的帐户。Data Insight 还可检测恶意用户帐户或勒索软件特定活动,识别潜在勒索软件文件的位置。
备份和存储基础架构可视化
面对勒索软件攻击,必须分秒必争。Veritas 意识到,企业迫切希望在最短的时间内了解环境中的风险因素,以迅速采取补救措施清理环境。
APTARE™ 运维数据透视分析平台提供开箱即用的勒索软件风险评估控制板,帮助解决该问题。该控制板包含风险预识别报告,您可根据它洞察备
份环境中的风险。APTARE 可帮助您的企业:
• 将未进行备份的主机或最近没有备份的主机标记为潜在风险。
• 检测可能遭到勒索软件感染的文件及其大小,以及它们在环境中的位置。
• 通过交互式图表呈现风险产生的历史情况。
APTARE 可提供端到端备份监控,包括:
• 风险缓解分析(参见图 6)
• 连续发生故障的源
• 最近没有备份的源
• 应用程序备份失败的情况
APTARE 通过比较历史备份与新备份发现可疑情况,例如作业持续时
间显著变化、映像大小变化和 / 或策略配置更改,以此查询成功的备份
并识别潜在的误报。 图 6. APTARE 中的勒索软件风险评估控制板
如要了解更多信息,请查看《提高勒索软件业务韧性:通过 APTARE 运
维数据透视分析平台,全面掌控基础架构》。
恢复
大规模恢复复杂关系
我们提供多种解决方案,助力企业打造运营韧性与业务韧性兼备的战略, +
–
保证企业快速灵活恢复。一直以来,企业都认为备份与恢复共同构成防勒
索软件攻击的最后一道防线,但选择 Veritas 解决方案,恢复在全局战略 异构性 依赖关系
图 7. Veritas 解决方案可处理的大规模复杂关系恢复
8
NetBackup Resiliency
具体而言,该解决方案利用虚拟业务服务(适用于多层应用程序的灾难恢复保护)并结合“韧性与撤离方案”(运行手册),支持在数据中心之间自动
大规模恢复或恢复至云基础架构。
该解决方案还支持在隔离的网络中开展一键式演练验证。在勒索软件攻
粒度恢复点
击后的恢复场景中,企业可利用自定义脚本在工作流中集成第三方病毒扫
复制周期
(更新设置时间的粒度) 描解决方案,以在恢复生产前对恶意软件进行验证。
NetBackup 的其他恢复方法
即时访问
传统恢复
云/LTR
复制
9
虚拟机恢复:一个 VMware 虚拟机备份对应八种恢复方式:整个虚拟机恢复、单个 VMDK 恢复、文件和文件夹恢复、完整应用程序恢复、即时访问、
文件下载、应用程序 GRT 和 AMI 转换。新增对 vTPM 的支持,确保备份和还原满足环境的高级别安全要求。
10
图 13. 从任意 MSSQL 备份副本恢复数据库。
CoPilot for Oracle:基于 Oracle CoPilot 功能构建,最新版本支持 Oracle 数据库管理员直接从 NetBackup 备份一体机存储启动数据库。
裸机还原 (BMR):如果勒索软件感染后的恢复需要利用已感染的硬件,裸机还原是资源有限条件下的可靠选择。裸机还原可自动执行服务器恢复流
程,避免重新安装操作系统或手动配置硬件。系统一旦崩溃就必须重新写入数据,而裸机还原有助于您快速从头重建系统,一键还原操作系统和应
用程序数据。
11
竞争优势
下文是选择数据保护供应商时要考虑的几个关键问题:
• 解决方案能否在核心、边缘和云中交付勒索软件业务韧性?
Veritas 可满足上述所有需求:
• 提供多种部署选项,企业可自由选择部署方案,实现对抗勒索软件的业务韧性。
• 采用强化的操作系统来缩小勒索软件攻击面。
• 根据 3-2-1 最佳做法设计备份解决方案,为磁带、防篡改存储和气隙隔离提供复制标准。
• 部署增强的容器化一体机,比传统物理或虚拟机更加安全牢固。
• 一体机中内置入侵检测和保护机制,可节省 IT 和安全团队的开销。
• 检测不仅在备份监控级别运行,还可以扩展到基础架构和主要的数据访问模式级别,有助于用户删除已知的勒索软件以及禁用潜在的感染帐
户,将勒索软件的影响控制在最低水平。
• 遭到勒索软件攻击后,NetBackup 仅需回滚对虚拟机的更改,实现高效快速恢复。
Veritas 深刻了解韧性的重要性。考虑采用两类安防系统监控设施:一类仅查看安全录像记录以识别入侵,另一类系统不仅查看历史录像,更重要
的是监控实时信息流。如果发现入侵迹象,监控实时信息流的系统可立即禁止他人访问此设施。您认为哪个系统更好?Veritas 可监控生产系统,
实时检测勒索软件。而且监控范围可扩展到同时涵盖数据和基础架构。它通过检测数据访问模式的差异,锁定可能运行勒索软件/恶意软件的帐户。
Veritas 还能够从来源删除已知勒索软件。此外,NetBackup 采用人工智能 /机器学习技术分析备份属性的改变,从而及时提醒企业是否有勒索软件
入侵。
我们认识到,企业需要以最高效和最快速的方式恢复数据。NetBackup 的即时回滚恢复等功能,无需完全还原或关闭整个虚拟机,即可消除勒索
软件造成的任何损害。NetBackup 不仅可以大规模轻松还原复杂、多层环境中的虚拟机(数千台),还允许在隔离环境中运行同等规模的演练。
NetBackup Flex 和 Flex Scale 一体机是市面上为数不多可对关键工作负载的即时访问和迅速还原进行优化升级的设备。NetBackup SaaS
Protection 也被证明可处理 PB 量级的工作负载恢复。以上是 Veritas 与其他同类产品在勒索软件业务韧性的完备程度上进行比较的所有关键点。
12
总结
勒索软件和恶意内部攻击对企业构成严重威胁,新的操作系统漏洞不断被挖出,各种已知恶意软件和勒索软件不断推出新的变体。勒索软件背后是
高额的利益,犯罪分子在高额利益的驱使下不断开发出新方法来渗透企业基础架构,中断业务正常运行。系统和备份管理员竭尽全力保护企业数据,
但勒索软件和恶意内部攻击仍偶有得手的机会,入侵企业系统,感染并影响企业的关键数据。因此,全方位、多层次、一体化防御战略至关重要,而且
这也是最好的防御战略。
参考文献
政府:
ν NIST SP 1800-11a:执行摘要
Veritas:
如要了解勒索软件报告模板的更多信息,请参阅用户指南的这些部分:
ν 关于 DQL 查询模板
https://www.veritas.com/content/support/en_US/doc/133376979-133376982-0/DI_6_1_2_v109979871-133376982
13
• 内置 NetBackup 的 Veritas Flex Appliance 一体机:
https://www.veritas.com/content/dam/Veritas/docs/white-papers/v1111-ga-ent-wp-flex-design-guide-2020-en.pdf
1. https://www.crn.com/slide-shows/security/the-11-biggest-ransomware-attacks-of-2020-so-far-
关于 Veritas
Veritas Technologies 是全球数据保护及数据管理领域的领导者。超过八万家企业级客户,包括 87% 的全球
财富 500 强企业,均依靠 Veritas 化解 IT 复杂度并简化数据管理流程。Veritas 多云数据服务平台可提供自
北京市朝阳区东大桥路 9 号
动化的数据保护,无论何处都能协调数据冗灾恢复,确保关键业务数据及应用的 7x24 实时稳定运行,同时也
侨福芳草地大厦 A 座 10 层
为企业提供数据洞察,实现数据合规。Veritas 在可靠性、扩展性以及灵活按需部署方面拥有很好的声誉,支持
04-05 单元 100020
超过 800 种数据源,100 多种操作系统,1400 多种存储设备以及 60 类云平台。欲了解更多详细信息,请访
咨询服务热线:400-120-4816
问 www.veritas.com 或者关注 Veritas 官方微信平台:VERITAS_CHINA(VERITAS中文社区)。
www.veritas.com/zh/cn
如需获得国际联络处信息,请访问:
veritas.com/company/contact
Copyright © 2021 Veritas Technologies LLC. © 2021 年 Veritas Technologies LLC 版权所有。All rights reserved. 保留所有权利。Veritas、Veritas
标识和 NetBackup 是 Veritas Technologies LLC 或其附属机构在美国和其他国家/地区的商标或注册商标。其他名称可能是其各自所有者的商标。 V0827 08/21