世界風云變幻，一切供給和消費都在“即服務”化(as a Service)，甚至勒索軟件也不例外。事實證明，“勒索軟件即服務”(Ransomware as a Service, RaaS)正在成為另一種意義上的 “病毒”，它迫使企業(yè)徹底改變其安全應對態(tài)勢。

　　企業(yè)的云計算之旅本就進度各異，而不良行為者和威脅載體又帶來更大挑戰(zhàn)。有市場分析師指出，云計算中的錯誤配置是不良行為者會最先利用的關(guān)鍵漏洞之一，這為企業(yè)帶來又一值得擔憂的難題。

　　Commvault備份副本為企業(yè)提供“保險單”

　　Commvault在數(shù)據(jù)保護和管理領(lǐng)域有25年的領(lǐng)先經(jīng)驗，并始終堅持與時俱進，通過多層次的安全保護方法幫助客戶恢復數(shù)據(jù)，在網(wǎng)絡和災難恢復危機中反擊，證明了網(wǎng)絡就緒(cyber-ready)和恢復就緒(recovery-ready)備份副本的重要性。

　　當前有關(guān)網(wǎng)絡恢復能力的最新標準是，能否將所有為減少攻擊表面積而孤立的工作負載納入統(tǒng)一框架(且這一框架應易于適應客戶當前既有企業(yè)內(nèi)部又有SaaS的混合生態(tài)系統(tǒng))，并能確保在每一層互動中都持續(xù)提供最高級別的保護和恢復。Commvault將遵守業(yè)務服務級別協(xié)議(SLAs)視為最優(yōu)先的參數(shù)，在其智能數(shù)據(jù)服務平臺上，客戶擁有支持工作負載和實現(xiàn)部署靈活性的多樣選擇。

　　Commvault先進的數(shù)據(jù)保護和管理產(chǎn)品與服務讓跨越企業(yè)內(nèi)部、云端和SaaS平臺保護和管理數(shù)據(jù)的無縫體驗得以實現(xiàn)：Commvault HyperScale X：基于Commvault分布式存儲的Commvault超融合基礎設施(HCI)產(chǎn)品。幫助客戶從統(tǒng)一且高標準的安全保護、分段和簡易部署中獲益，并提供無縫云整合選項。

　　安全和備份數(shù)據(jù)不可更改性的最佳實踐

　　而隨著備份副本成為企業(yè)恢復的“保險單”，數(shù)據(jù)的不可更改性也變得至關(guān)重要。

　　不可更改性(Immutability)即任何數(shù)據(jù)在特定的一段持續(xù)時間內(nèi)保持不可變狀態(tài)的能力。Commvault軟件支持客戶內(nèi)置一系列功能，補充異常檢測和通知機制，使其成為安全且網(wǎng)絡就緒的數(shù)據(jù)保護解決方案。正如美國國家標準與技術(shù)研究院(NIST)的網(wǎng)絡安全框架所描述的那樣，企業(yè)正迅速向“縱深防御”戰(zhàn)略看齊。當這一戰(zhàn)略擴展到數(shù)據(jù)保護和管理環(huán)境時，同樣的框架能幫助企業(yè)在無需犧牲恢復、性能和成本的情況下達到理想的數(shù)據(jù)不可更改性和安全水平。

　　具體而言，安全和備份數(shù)據(jù)不可更改性可通過多種方法相互配合來實現(xiàn)，以下是Commvault推薦的關(guān)鍵最佳實踐：

　　嚴控基于角色的訪問控制(RBAC)：確保只有組織內(nèi)資源有權(quán)訪問備份庫，并配合多因素認證(MFA)和多人認證以阻止流氓管理員或被泄露的管理員憑證的訪問?；卮?ldquo;誰可以訪問什么”“為什么這么安排”等基本問題有助于實施RBAC原則，這與最小特權(quán)訪問(Least Privilege Access)準則具有一致性。

　　啟用Commvault Retention Lock(舊稱WORM Copy)：防止流氓管理員或被泄露的管理員憑證對Commvault環(huán)境造成破壞。這種軟件級別的鎖定配置一旦在策略上啟用，有助于防止任何人(包括管理員)意外或故意的刪除行為或?qū)Σ呗员Ａ簟⒁褎h除工作和未裝載/刪除的庫的更改。

　　使用Commvault默認加密設置：保證服務端和傳輸中數(shù)據(jù)均被加密，并保證即使備份數(shù)據(jù)泄露，壞人也無法在沒有解密密鑰的情況下利用它們。又由于Commvault寫入的數(shù)據(jù)是重復數(shù)據(jù)塊，因此在發(fā)生雙重勒索贖金軟件威脅時，這些數(shù)據(jù)塊對勒索者來說毫無用處。

　　Commvault整合并支持第三方密鑰管理服務器，提供額外安全保障層。

　　使用Commvault Ransomware Lock：保護企業(yè)內(nèi)部任何相關(guān)的數(shù)據(jù)移動設備掛載路徑，確保數(shù)據(jù)只能由Commvault和Commvault批準的進程寫入目標磁盤存儲，使掛載路徑不能被任何非Commvault進程讀取、寫入和更新，從而滿足不可更改性要求。

　　部署Commvault HyperScale X：用嚴格的操作系統(tǒng)級數(shù)據(jù)保護防止用戶和/或勒索軟件攻擊繞過其他安全層。在系統(tǒng)內(nèi)部，HyperScale X采用SELinux，能夠通過限制文件修改或磁盤級活動(如重新格式化驅(qū)動器)的訪問策略增強不可更改性。最重要的是，由Commvault的一體化橫向擴展文件系統(tǒng)支持的HyperScale X在存儲層提供了額外的不可更改性，這項默認啟用的功能確保了備份庫中的數(shù)據(jù)不能在文件系統(tǒng)層面被修改或加密。

　　先驗證再觸發(fā)：在備份工作觸發(fā)前驗證云存儲服務訪問權(quán)限，這基于“零信任”架構(gòu)對所有通信渠道都要經(jīng)過“挑戰(zhàn)”然后再“驗證”的規(guī)定，否定了持久性概念。

　　使用基于時間的保留鎖(WORM不可變鎖)：使用于云對象存儲和支持它的企業(yè)內(nèi)部對象存儲，確保任何程序或人員(包括IaaS供應商)在不滿足保留條件時不能刪除或更新云存儲中的副本。

　　采用“拉式”(Pull)而非“推式”(Push)的網(wǎng)絡拓撲結(jié)構(gòu)：“推式”架構(gòu)依賴連接持久性，惡意軟件有可能通過這種永遠在線的連接進行滲透;而在“拉式”架構(gòu)中，與客戶的連接是周期性的，需要訪問請求、訪問認證才能導致數(shù)據(jù)和事件的“拉動”，符合零信任架構(gòu)原則。

　　實現(xiàn)不可更改性應考慮的關(guān)鍵架構(gòu)因素

　　一個經(jīng)常被問到的問題是，我們?nèi)绾螢橐粋€具有上述所有功能的特定環(huán)境設計出合適的架構(gòu)?或者說，在設計一個平衡安全、成本和性能參數(shù)的混合環(huán)境時，有哪些關(guān)鍵的架構(gòu)考慮?

　　Commvault認為，一個能實現(xiàn)數(shù)據(jù)不可更改性的架構(gòu)應包括以下要素：

　　將副本存儲與勒索軟件隔離的訪問鎖

　　通過能減少風險、平衡消費影響的生命周期鎖實現(xiàn)的不可更改性

　　空氣間隙隔離網(wǎng)絡與控制

　　防止故意或意外改動的配置管理

　　在充分考慮速度和成本的情況下減少延遲的恢復并發(fā)性能

　　用于保持對數(shù)據(jù)保護基礎設施的現(xiàn)有、簡化管理與維護的自動修補

　　3-2-1異地存儲副本