数据备份-解决方案 | Veritas NetBackup 防勒索备份及恢复软件：协助企业构建防勒索软件攻击的业务韧性

时间：2023-06-25 09:43:01        

勒索软件袭击事件从来没有停止过。对于未建立完善灾备体系的企业来讲，勒索软件袭击造成的后果往往是灾难性的：系统崩溃、生产及业务数据被加密无法读取、业务中断。

备份、恢复始终是防御勒索袭击的最后一道坚固防线。

数十年来，Veritas NetBackup 软件一直是灾难恢复的代名词。可靠的 Veritas 解决方案通过整合通过验证的先进技术，以自动化和编排的方式实现大规模快速恢复。

保护、检测、恢复

Veritas 的各种产品功能可根据客户的独特需求和要求进行定制，从而支持客户保护环境、检测威胁并在遭到攻击后快速恢复。我们来看看构成 Veritas 勒索软件业务韧性战略的三大战略支柱。

 1、保护

第一步，保护您的关键和最重要的资产 — 数据，以及保护您的 IT 基础架构远离未知和意外攻击。其次，备份基础架构和已备份的数据是抵御攻击的最后一道防线，也是企业成功恢复的制胜法宝。NetBackup 支持 800 多个数据源、1400 多种存储目标和 60 多个云提供商，广泛支持从边缘、到核心再到云的多种环境，确保企业环境始终得到保护，且可恢复。

云、数据库和虚拟机管理员可通过智能策略自动检测应用程序或计算实例，并对其施以相应防护级别的保护措施，从而节省大量时间。

Veritas 一贯注重数据完整性，帮助客户确保备份文件安全无虞，远离恶意入侵者的魔爪。我们深切了解对于客户来说，最重要的是保护数据，正因如此，多云数据服务平台以 NetBackup 为核心技术，围绕数据完整性打造一系列关键功能。

为维持数据完整性，我们推出各种安全控制措施，目的在于强化数据保护。

身份信息和访问管理 (IAM)

• 基于角色的访问：您可根据特定的个人需求定制访问粒度，指定可访问数据的对象以及他们可执行的操作。
• 单一登录：支持 Active Directory、LDAP 以及 SAML 2.0。企业可使用身份验证
• 提供商实行双重身份验证。
• 可定制的身份验证：NetBackup Flex 一体机可对身份验证强度进行配置。

数据加密

• 动态：确保数据发送至通过身份验证的环境，并在传输中加以保护。该解决方案利用 Veritas 或客户提供的 TLS 1.2 证书，采用 2048 位密钥支持，确保数据以加密状态进行传输。
• 静态：如果黑客成功获取数据，则实施加密可保护数据避免被利用。Veritas 提供基于 AES 256 位、FIPS 140-2 加密技术的特有密钥管理方式，也支持客户通过密钥管理互操作性协议 (KMIP) 选择自己偏好的密钥管理方式。

“3-2-1”备份战略

• 至少备份三份数据
• 两份数据分别存放在不同类型的存储中
• 一份保留在异地

防篡改/不可擦除的镜像管理和存储

• 没有存储限制的灵活映像管理
• NetBackup 包含 OpenStorage Technology (OST) API，您可通过 Veritas 或第三方解决方案管理防篡改的备份映像。
• 支持主要和辅助域重复数据删除，以及跨域复制（借助 AIR），提供跨任何备份存储层的无限制配置选项。
• 在本地和云端使用防篡改存储，以保证数据安全与合规。
• 采用支持 Amazon Web Services (AWS) S3 Object 的防篡改云存储，确保云数据安全，不会遭到感染。如要了解 NetBackup 云防篡改
• NetBackup Flex 解决方案可提供防篡改且不可擦除的存储选项，降低恶意软件或勒索软件加密或删除备份数据的风险，让犯罪分子知难而退。
• 映像保存于 WORM（一次写入、多次读取）存储中
• WORM 存储服务器在 NetBackup Flex 一体机内提供基于容器的安全 MSDP 解决方案。
• NetBackup Flex 提供“企业”和“合规”锁定两种模式，方便您选择正确的防篡改强度（参见图 3）。
• 合规模式可启用防篡改存储，启用后，任何用户（包括 root 用户）都不能在预定义保留期间内删除数据。
• 企业模式可避免数据在预定义保留期间内被删除，只有特殊权限的用户可以修改保留设置或使用双重身份验证删除数据。但必须由 RBAC 别不同的两个人均同意更改保留时间或修改/删除数据。
• 防篡改控制领域的行业公认评估机构 Cohasset Associates 对 NetBackup Flex 解决方案的防篡改强度开展了第三方评估，评估标准包括 SEC 规则 17a-4(f)、FINRA 规则 4511(c) 以及商品期货交易委员会 (CFTC) 的规则（参见第 17 CFR § 1.31(c)-(d) 规定）。

 解决方案强化

NetBackup Flex 解决方案从软件和硬件两个方面进行了强化，支持防篡改且不可擦除的存储，打造全方位的安全解决方案。该解决方案可提供安全的 WORM 存储服务器和硬件安全功能。

• 在整个开发周期中，Veritas 采用公认的第三方检测工具执行如下操作，深入分析 NetBackup Flex 代码是否存在漏洞：
• 静态代码分析。
• 运行时漏洞检查。
• 渗透测试。
• NetBackup Flex 随附各种安全功能，包括：
• 操作系统安全强化，例如安全功能增强的 Linux (SELinux)。
• 入侵检测系统 (IDS)/入侵防御系统 (IPS)。
• 基于角色的强大身份验证。
• 锁定存储阵列。
• 安全、可靠且强化的 Veritas File System。

2、检测

与许多企业一样，您的 IT 环境可能也面临着复杂度日益增加的挑战，因此您不但要实行妥善管理，还可能要应对资源紧缩的问题。要确保环境安全可靠，除了要应对勒索软件等威胁，还要简化对备份的日常维护与监控，轻松进行存储配置。Veritas 提供的解决方案实现了基础架构可视化，可及时检测异常。

恶意软件和异常检测

最新版 NetBackup 还提供基于人工智能的异常检测。NetBackup 可在备份时检测风险并提醒可疑行为。该功能确保您的数据始终可恢复，使企业能够在遭到勒索软件攻击时立即采取行动，将备份与恶意软件隔离，遏制破坏的影响范围。NetBackup 全程监控所有设备，支持管理员随时查看数据并提出异常相关建议，让您及时发现和解决问题。NetBackup 人工智能异常检测可无缝整合到 NetBackup 主服务器中，将不属于群集的行为视为异常进行检测。这种功能有助于备份架构师或安全管理员洞察可疑情况，并追根溯源找出问题所在。它还可以挖掘大量数据，提供可操作性情报，预警勒索软件事件或提示环境中需要管理员关注的变化。

Veritas 不仅可通过 NetBackup 检测辅助存储中的备份数据，还可以通过 Veritas Data Insight 监控主存储中的应用程序。Veritas Data Insight 提供异常行为检测、自定义勒索软件特定查询模板，可针对勒索软件的文件扩展名进行恶意软件识别，是现有的安全检测工具的有力补充。Data Insight 内置基于策略的近实时监控和警报功能，有助于检测用户帐户的任何恶意或异常行为。它通过扫描监控范围内的非结构化数据系统，收集对所有文件的用户活动（读取、写入、创建、删除和重命名等）审计，针对每个用户进行安全性统计和文件统计。

该技术可比较所收集的历史数据并找出与统计标准的偏差，帮助检测异常行为，同时识别可能遭到勒索软件感染的帐户。Data Insight 还可检测恶意用户帐户或勒索软件特定活动，识别潜在勒索软件文件的位置。

备份和存储基础架构可视化

面对勒索软件攻击，必须分秒必争。Veritas 意识到，企业迫切希望在最短的时间内了解环境中的风险因素，以迅速采取补救措施清理环境。

APTARE™ 运维数据透视分析平台提供开箱即用的勒索软件风险评估控制板，帮助解决该问题。该控制板包含风险预识别报告，您可根据它洞察备份环境中的风险。APTARE 可帮助您的企业：

• 发现基础架构中的所有主机或虚拟机，并将其与 NetBackup 所保护的主机进行比较。
• 将未进行备份的主机或最近没有备份的主机标记为潜在风险。
• 检测可能遭到勒索软件感染的文件及其大小，以及它们在环境中的位置。
• 通过交互式图表呈现风险产生的历史情况。

APTARE 可提供端到端备份监控，包括：

• 风险缓解分析
• 连续发生故障的源
• 最近没有备份的源
• 应用程序备份失败的情况

APTARE 通过比较历史备份与新备份发现可疑情况，例如作业持续时间显著变化、映像大小变化和/或策略配置更改，以此查询成功的备份并识别潜在的误报。

3、恢复

我们提供多种解决方案，助力企业打造运营韧性与业务韧性兼备的战略，保证企业快速灵活恢复。一直以来，企业都认为备份与恢复共同构成防勒索软件攻击的最后一道防线，但选择 Veritas 解决方案，恢复在全局战略中的重要性更胜一筹，无论恢复规模的大小。Veritas 解决方案助力企业在复杂 IT 环境中实现大规模恢复。

NetBackup Resiliency

NetBackup Resiliency 应对恢复挑战的制胜法宝是自动化的编排功能，通过该功能在企业整个异构环境中实现一致的用户体验，用户可以基于对环境的洞察，从多种恢复选项中做出最佳选择，以满足恢复时间目标 (RTO) 和恢复点目标 (RPO)。

为最高效的实现 RTO，NetBackup Resiliency 首先帮助您了解企业RTO 现有状态，洞察整个数据中心工作负载和应用程序运行状况，在掌握恢复流程的基础上决定最佳的恢复方案。NetBackup Resiliency 可对涵盖工作负载、应用程序和相应数据的复杂异构环境进行编排。通过选择 NetBackup 的自动复制，基于存储的复制，或者 Resiliency 的内置 Data Mover，助力您的 RTO 和RPO 满足应用程序需求。具体而言，该解决方案利用虚拟业务服务（适用于多层应用程序的灾难恢复保护）并结合“韧性与撤离方案”（运行手册），支持在数据中心之间自动大规模恢复或恢复至云基础架构。

该解决方案还支持在隔离的网络中开展一键式演练验证。在勒索软件攻击后的恢复场景中，企业可利用自定义脚本在工作流中集成第三方病毒扫描解决方案，以在恢复生产前对恶意软件进行验证。从 RPO 角度，NetBackup 的连续数据保护 (CDP) 可以近乎为零的 RPO 对虚拟机进行粒度恢复，从而进一步增强韧性。CDP 借助Resiliency 近乎实时的数据复制功能，利用时间点恢复，对异构环境中的应用程序进行粒度级恢复。该功能运用复制的数据，在系统遭到恶意软件攻击或出现崩溃时快速进行恢复。

NetBackup 的其他恢复方法

Veritas 还提供其他恢复解决方案来满足您的 RTO 和 RPO 目标，让您灵活选择最适合企业需求的恢复方案。图 10 阐释了基于 RPO 和 RTO的最佳恢复选项。面向 VMware 的 NetBackup 即时回滚：可实现 VMware 环境的高速即时回滚，它利用更改块跟踪技术，快速识别需要恢复的单个数据块，在出现灾难或勒索软件攻击后，应用这些更改的数据块让虚拟机快速恢复运行，整个过程不需要数分钟或数小时，只需几秒即可。无论是 1 台虚拟机，还是 100 台虚拟机，也无论您的基础架构位于何处，该流程均可轻松实现快速批量恢复。

虚拟机恢复：一个 VMware 虚拟机备份对应八种恢复方式：整个虚拟机恢复、单个 VMDK 恢复、文件和文件夹恢复、完整应用程序恢复、即时访问、文件下载、应用程序 GRT 和 AMI 转换。新增对 vTPM 的支持，确保备份和还原满足环境的高级别安全要求。

面向 MSSQL/VMware 的即时访问：借助 Instant Access for VMware 功能，您几乎可以立即恢复任何机器，无需等待从备份传输虚拟机数据。您还可以使用备份进行虚拟机测试或直接从备份存储恢复虚拟机。这些虚拟机会自动显示为 VMware 基础架构中的普通访客机。此外，您还可在 Web 用户界面中浏览和恢复个别文件。如要实现大规模快速恢复，您可使用 VMware Storage vMotion 将在用的虚拟机从备份存储迁移到生产环境。

Instant Access for MSSQL 提供数据库的即时可用性，采用备份存储实现数据库元素的粒度恢复（参见图 12）。自助服务功能可支持数据库管理员快速置备 MSSQL 数据库以应对开发测试需求。如果某些数据副本受到勒索软件的影响，NetBackup 还可让您灵活使用界面和 API 从任何可用备份副本快速恢复。

NetBackup CloudPoint：使用容器技术和云服务提供商。CloudPoint 摆脱了存储平台的限制，采用独立于云供应商的云原生快照技术，轻松保护混合和多云基础架构。此外，CloudPoint 所提供的功能不只是公有云的基本功能，还支持应用程序感知型快照、单一文件恢复和多区域快照迁移。凭借 CloudPoint 的多帐户支持，用户可将备份安全存储在不同帐户，降低帐户被入侵等事件对整个系统的影响。

通用共享和保护点：一种 MSDP 功能。利用它，您可在 NetBackup 服务器上置备支持重复数据删除的存储，来作为安全共享，保护不使用代理或备份 API 的数据库或其他工作负载。您可将通用共享用作 NAS，通过压缩技术和重复数据删除功能存储数据。NetBackup HA Appliances 进一步增强了管理功能，您可在 NetBackup Web 用户界面中实现对 API 的完全支持、共享与保护点的集中管理，以及支持用户配额和 Active Directory集成。通用共享的保护点功能允许您对共享上的数据创建时间点副本，即刻创建备份映像，然后将其用作备份。

CoPilot for Oracle：基于 Oracle CoPilot 功能构建，最新版本支持 Oracle 数据库管理员直接从 NetBackup 备份一体机存储启动数据库。

长期保留 (LTR) 存档：如果您要长久保留数据，该选项可对数据进行去重和压缩处理，以经济高效的方式持久保存数据。借助这种方法，您还可以使用对象存储和私有云或公有云。对于私有云应用场景，多云数据服务平台中的 Veritas Access Appliance 一体机可提供长期保留。决定恢复方法时，务必记住，LTR 解决方案对于医疗系统和其他需要长期保留数据的机构来说，是经济效益最高，也是最佳的选择。对于倾向于继续使用磁带技术的企业来说，我们拥有最全面的磁带解决方案，提供可靠的气隙隔离备份，有助于企业在遭到勒索软件后迅速恢复。

传统恢复：这种方法包括粒度恢复特定文件、完整恢复服务器/应用程序以及灾难恢复至其他站点位置或云。采用 Veritas Resiliency Platform，只需按一下按钮，即可自动执行和编排传统恢复，简化整个灾难恢复流程。

裸机还原 (BMR)：如果勒索软件感染后的恢复需要利用已感染的硬件，裸机还原是资源有限条件下的可靠选择。裸机还原可自动执行服务器恢复流程，避免重新安装操作系统或手动配置硬件。系统一旦崩溃就必须重新写入数据，而裸机还原有助于您快速从头重建系统，一键还原操作系统和应用程序数据。