“縱深防御”勒索軟件，Commvault提供實(shí)現(xiàn)數(shù)據(jù)安全和備份不可更改的最佳實(shí)踐

（CWW）世界風(fēng)云變幻，一切供給和消費(fèi)都在“即服務(wù)”化（as a Service），甚至勒索軟件也不例外。事實(shí)證明，“勒索軟件即服務(wù)”（Ransomware as a Service, RaaS）正在成為另一種意義上的 “病毒”，它迫使企業(yè)徹底改變其安全應(yīng)對態(tài)勢。

企業(yè)的云計(jì)算之旅本就進(jìn)度各異，而不良行為者和威脅載體又帶來更大挑戰(zhàn)。有市場分析師指出，云計(jì)算中的錯誤配置是不良行為者會最先利用的關(guān)鍵漏洞之一，這為企業(yè)帶來又一值得擔(dān)憂的難題。

Commvault備份副本為企業(yè)提供“保險(xiǎn)單”

Commvault在數(shù)據(jù)保護(hù)和管理領(lǐng)域有25年的領(lǐng)先經(jīng)驗(yàn)，并始終堅(jiān)持與時俱進(jìn)，通過多層次的安全保護(hù)方法幫助客戶恢復(fù)數(shù)據(jù)，在網(wǎng)絡(luò)和災(zāi)難恢復(fù)危機(jī)中反擊，證明了網(wǎng)絡(luò)就緒（cyber-ready）和恢復(fù)就緒（recovery-ready）備份副本的重要性。

當(dāng)前有關(guān)網(wǎng)絡(luò)恢復(fù)能力的最新標(biāo)準(zhǔn)是，能否將所有為減少攻擊表面積而孤立的工作負(fù)載納入統(tǒng)一框架（且這一框架應(yīng)易于適應(yīng)客戶當(dāng)前既有企業(yè)內(nèi)部又有SaaS的混合生態(tài)系統(tǒng)），并能確保在每一層互動中都持續(xù)提供最高級別的保護(hù)和恢復(fù)。Commvault將遵守業(yè)務(wù)服務(wù)級別協(xié)議（SLAs）視為最優(yōu)先的參數(shù)，在其智能數(shù)據(jù)服務(wù)平臺上，客戶擁有支持工作負(fù)載和實(shí)現(xiàn)部署靈活性的多樣選擇。

Commvault先進(jìn)的數(shù)據(jù)保護(hù)和管理產(chǎn)品與服務(wù)讓跨越企業(yè)內(nèi)部、云端和SaaS平臺保護(hù)和管理數(shù)據(jù)的無縫體驗(yàn)得以實(shí)現(xiàn)：Commvault HyperScale X：基于Commvault分布式存儲的Commvault超融合基礎(chǔ)設(shè)施（HCI）產(chǎn)品。幫助客戶從統(tǒng)一且高標(biāo)準(zhǔn)的安全保護(hù)、分段和簡易部署中獲益，并提供無縫云整合選項(xiàng)。

安全和備份數(shù)據(jù)不可更改性的最佳實(shí)踐

而隨著備份副本成為企業(yè)恢復(fù)的“保險(xiǎn)單”，數(shù)據(jù)的不可更改性也變得至關(guān)重要。

不可更改性（Immutability）即任何數(shù)據(jù)在特定的一段持續(xù)時間內(nèi)保持不可變狀態(tài)的能力。Commvault軟件支持客戶內(nèi)置一系列功能，補(bǔ)充異常檢測和通知機(jī)制，使其成為安全且網(wǎng)絡(luò)就緒的數(shù)據(jù)保護(hù)解決方案。正如美國國家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）的網(wǎng)絡(luò)安全框架所描述的那樣，企業(yè)正迅速向“縱深防御”戰(zhàn)略看齊。當(dāng)這一戰(zhàn)略擴(kuò)展到數(shù)據(jù)保護(hù)和管理環(huán)境時，同樣的框架能幫助企業(yè)在無需犧牲恢復(fù)、性能和成本的情況下達(dá)到理想的數(shù)據(jù)不可更改性和安全水平。

具體而言，安全和備份數(shù)據(jù)不可更改性可通過多種方法相互配合來實(shí)現(xiàn)，以下是Commvault推薦的關(guān)鍵最佳實(shí)踐：

嚴(yán)控基于角色的訪問控制（RBAC）：確保只有組織內(nèi)資源有權(quán)訪問備份庫，并配合多因素認(rèn)證（MFA）和多人認(rèn)證以阻止流氓管理員或被泄露的管理員憑證的訪問?；卮稹罢l可以訪問什么”“為什么這么安排”等基本問題有助于實(shí)施RBAC原則，這與最小特權(quán)訪問（Least Privilege Access）準(zhǔn)則具有一致性。

啟用Commvault Retention Lock（舊稱WORM Copy）：防止流氓管理員或被泄露的管理員憑證對Commvault環(huán)境造成破壞。這種軟件級別的鎖定配置一旦在策略上啟用，有助于防止任何人（包括管理員）意外或故意的刪除行為或?qū)Σ呗员Ａ簟⒁褎h除工作和未裝載/刪除的庫的更改。

使用Commvault默認(rèn)加密設(shè)置：保證服務(wù)端和傳輸中數(shù)據(jù)均被加密，并保證即使備份數(shù)據(jù)泄露，壞人也無法在沒有解密密鑰的情況下利用它們。又由于Commvault寫入的數(shù)據(jù)是重復(fù)數(shù)據(jù)塊，因此在發(fā)生雙重勒索贖金軟件威脅時，這些數(shù)據(jù)塊對勒索者來說毫無用處。

Commvault整合并支持第三方密鑰管理服務(wù)器，提供額外安全保障層。

使用Commvault Ransomware Lock：保護(hù)企業(yè)內(nèi)部任何相關(guān)的數(shù)據(jù)移動設(shè)備掛載路徑，確保數(shù)據(jù)只能由Commvault和Commvault批準(zhǔn)的進(jìn)程寫入目標(biāo)磁盤存儲，使掛載路徑不能被任何非Commvault進(jìn)程讀取、寫入和更新，從而滿足不可更改性要求。

部署Commvault HyperScale X：用嚴(yán)格的操作系統(tǒng)級數(shù)據(jù)保護(hù)防止用戶和/或勒索軟件攻擊繞過其他安全層。在系統(tǒng)內(nèi)部，HyperScale X采用SELinux，能夠通過限制文件修改或磁盤級活動（如重新格式化驅(qū)動器）的訪問策略增強(qiáng)不可更改性。最重要的是，由Commvault的一體化橫向擴(kuò)展文件系統(tǒng)支持的HyperScale X在存儲層提供了額外的不可更改性，這項(xiàng)默認(rèn)啟用的功能確保了備份庫中的數(shù)據(jù)不能在文件系統(tǒng)層面被修改或加密。

先驗(yàn)證再觸發(fā)：在備份工作觸發(fā)前驗(yàn)證云存儲服務(wù)訪問權(quán)限，這基于“零信任”架構(gòu)對所有通信渠道都要經(jīng)過“挑戰(zhàn)”然后再“驗(yàn)證”的規(guī)定，否定了持久性概念。

使用基于時間的保留鎖（WORM不可變鎖）：使用于云對象存儲和支持它的企業(yè)內(nèi)部對象存儲，確保任何程序或人員（包括IaaS供應(yīng)商）在不滿足保留條件時不能刪除或更新云存儲中的副本。

采用“拉式”（Pull）而非“推式”（Push）的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)：“推式”架構(gòu)依賴連接持久性，惡意軟件有可能通過這種永遠(yuǎn)在線的連接進(jìn)行滲透；而在“拉式”架構(gòu)中，與客戶的連接是周期性的，需要訪問請求、訪問認(rèn)證才能導(dǎo)致數(shù)據(jù)和事件的“拉動”，符合零信任架構(gòu)原則。

實(shí)現(xiàn)不可更改性應(yīng)考慮的關(guān)鍵架構(gòu)因素

一個經(jīng)常被問到的問題是，我們?nèi)绾螢橐粋€具有上述所有功能的特定環(huán)境設(shè)計(jì)出合適的架構(gòu)？或者說，在設(shè)計(jì)一個平衡安全、成本和性能參數(shù)的混合環(huán)境時，有哪些關(guān)鍵的架構(gòu)考慮？

Commvault認(rèn)為，一個能實(shí)現(xiàn)數(shù)據(jù)不可更改性的架構(gòu)應(yīng)包括以下要素：

將副本存儲與勒索軟件隔離的訪問鎖

通過能減少風(fēng)險(xiǎn)、平衡消費(fèi)影響的生命周期鎖實(shí)現(xiàn)的不可更改性

空氣間隙隔離網(wǎng)絡(luò)與控制

防止故意或意外改動的配置管理

在充分考慮速度和成本的情況下減少延遲的恢復(fù)并發(fā)性能

用于保持對數(shù)據(jù)保護(hù)基礎(chǔ)設(shè)施的現(xiàn)有、簡化管理與維護(hù)的自動修補(bǔ)

3-2-1異地存儲副本

下圖可為理解這些要點(diǎn)提供簡單快速參考：

欲了解更多Commvault多層次勒索軟件保護(hù)與恢復(fù)方法相關(guān)信息，歡迎參加Commvault Connections 21大會。從主題演講、技術(shù)研討會和演示到自由交流活動，Commvault Connections 21大會將使您的數(shù)據(jù)（和業(yè)務(wù)）廣泛獲益。敬請?jiān)L問https://www.commvaultconnections21.com/。欲了解更多Commvault對不可更改性的洞察，敬請?jiān)L問https://bit.ly/3mszm1N 閱讀《Commvault數(shù)據(jù)不可更改的基礎(chǔ)設(shè)施架構(gòu)》解決方案簡介。

關(guān)鍵詞： 資訊 通信世界網(wǎng) Commvault 安全 防御 勒索軟件