無(wú)論你是在何處托管的數(shù)據(jù)（公有云、私有數(shù)據(jù)中心還是本地），很多對(duì)抗勒索軟件的策略（例如定期備份）都是相同的。

然而，運(yùn)營(yíng)數(shù)據(jù)中心的企業(yè)可以部署一些特殊的措施，以降低成為勒索軟件攻擊受害者的風(fēng)險(xiǎn)。當(dāng)你控制了基礎(chǔ)設(shè)施和托管設(shè)施的各個(gè)方面時(shí)，就可以采取一些措施來(lái)降低勒索軟件威脅，而這在其他方面是不可能的。

為此，本文介紹了降低數(shù)據(jù)中心勒索軟件風(fēng)險(xiǎn)的一些可行策略。

基本的勒索軟件緩解策略

在深入研究適用于數(shù)據(jù)中心的反勒索軟件策略之前，我們先討論一下在任何類型環(huán)境中防止勒索軟件的通用技巧。標(biāo)準(zhǔn)最佳實(shí)踐包括：

• 備份數(shù)據(jù)：如果你定期備份數(shù)據(jù)，就可以在勒索軟件攻擊后從備份中進(jìn)行恢復(fù)，而無(wú)需支付贖金。
• 監(jiān)控威脅：持續(xù)的監(jiān)控可以幫助你檢測(cè)出是否存在勒索軟件攻擊者用來(lái)加密數(shù)據(jù)的惡意軟件，從而在某些情況下在信息被勒索之前就能阻止攻擊。
• 教育用戶：對(duì)員工、客戶、承包商和其他利益相關(guān)者進(jìn)行有關(guān)勒索軟件和相關(guān)風(fēng)險(xiǎn)的教育，可以降低有人陷入詐騙事件的幾率。
• 最大限度地減少暴露：關(guān)閉不必要的網(wǎng)絡(luò)端口、遵循最小特權(quán)原則、關(guān)閉無(wú)關(guān)工作負(fù)載等做法，會(huì)讓威脅行為者更難實(shí)施勒索軟件攻擊。

同樣地，你可以在任何地方執(zhí)行這些操作，而不僅僅是在私有數(shù)據(jù)中心托管環(huán)境中。

阻止數(shù)據(jù)中心的勒索軟件

但是，當(dāng)你運(yùn)營(yíng)著自己的數(shù)據(jù)中心（或使用托管設(shè)施）以托管工作負(fù)載的時(shí)候，可以采取其他措施來(lái)防范勒索軟件，而這些措施在大多數(shù)其他環(huán)境中是具有挑戰(zhàn)性或者不可能采取的。

氣隙系統(tǒng)

首先，你可以隔離數(shù)據(jù)和工作負(fù)載。氣隙，意味著完全斷開(kāi)資源與互聯(lián)網(wǎng)的連接，完全防止任何網(wǎng)絡(luò)攻擊。這在勒索軟件保護(hù)的背景下尤其是有價(jià)值的，因?yàn)檫@意味著你幾乎可以保證數(shù)據(jù)備份不會(huì)被攻擊者訪問(wèn)，攻擊者有時(shí)會(huì)試圖破壞備份，讓受害者在不支付贖金的情況下無(wú)法恢復(fù)數(shù)據(jù)。

在公有云中通常不太可能運(yùn)用氣隙方法，因?yàn)楣性剖遣荒軘嚅_(kāi)網(wǎng)絡(luò)的。你能做的最好的事情，就是將其放置在不直接暴露于互聯(lián)網(wǎng)的專用網(wǎng)絡(luò)上，但仍可能暴露給已經(jīng)存在于環(huán)境中的攻擊者。如果使用私有數(shù)據(jù)中心的話，你就可以完全控制基礎(chǔ)設(shè)施，并且如果你愿意，就可以從物理上斷開(kāi)數(shù)據(jù)與網(wǎng)絡(luò)的連接。

異地備份

私有數(shù)據(jù)中心還可以更輕松地維護(hù)異地備份，這意味著備份數(shù)據(jù)是保存在一個(gè)與托管生產(chǎn)工作負(fù)載的物理位置相互分開(kāi)的物理位置上。異地備份提供了針對(duì)勒索軟件的另一道防線，確保你即使是在整個(gè)數(shù)據(jù)中心設(shè)施在攻擊中受到損害的情況下，也擁有一組可以恢復(fù)的安全信息。

雖然可以通過(guò)將備份數(shù)據(jù)下載到你選擇的位置以便從公有云中創(chuàng)建異地備份，但你必須依靠網(wǎng)絡(luò)來(lái)移動(dòng)數(shù)據(jù)，如果有大量數(shù)據(jù)要移動(dòng)，這可能需要很長(zhǎng)時(shí)間。而通過(guò)你自己的數(shù)據(jù)中心，就可以將數(shù)據(jù)直接復(fù)制到存儲(chǔ)介質(zhì)，然后將介質(zhì)移動(dòng)到你選擇的位置上。

數(shù)字孿生

在數(shù)據(jù)中心環(huán)境中，數(shù)字孿生是IT環(huán)境的一種完整復(fù)制。數(shù)字孿生提供了一個(gè)環(huán)境，讓組織可以切換到這個(gè)環(huán)境中來(lái)防范勒索軟件風(fēng)險(xiǎn)，以便在主要環(huán)境中因?yàn)槔账鬈浖舳艿綋p害時(shí)保持連續(xù)性。

如果你愿意的話，可以在公有云中維護(hù)數(shù)字孿生，但這樣做往往成本更高且更加復(fù)雜，因?yàn)樗鼘?shí)際上會(huì)讓你支付的云資源量增加一倍。你還必須實(shí)施一項(xiàng)計(jì)劃將云環(huán)境切換到備份環(huán)境，由于涉及許多變量（例如網(wǎng)絡(luò)規(guī)則和IAM策略），這個(gè)計(jì)劃可能是很復(fù)雜的。

在一個(gè)數(shù)據(jù)中心內(nèi)，你可以更經(jīng)濟(jì)高效地維護(hù)數(shù)字孿生，例如，使用舊硬件來(lái)托管數(shù)字孿生環(huán)境。你也無(wú)需擔(dān)心在勒索軟件攻擊后調(diào)整配置（例如IAM規(guī)則）以將請(qǐng)求重定向到備份環(huán)境。

物理安全

由惡意的內(nèi)部人員（例如員工）發(fā)起的勒索軟件攻擊所帶來(lái)的風(fēng)險(xiǎn)越來(lái)越大。在這方面，私有數(shù)據(jù)中心的優(yōu)勢(shì)在于讓組織能夠更好地控制物理安全，幫助他們以精細(xì)的方式管理誰(shuí)可以訪問(wèn)內(nèi)部基礎(chǔ)設(shè)施和數(shù)據(jù)。

公有云中的物理安全控制措施也非常出色，但不同的是，如果使用公有云，你就必須把物理安全委托給第三方，而第三方無(wú)法保證設(shè)施中不存在惡意內(nèi)部人員。在你自己的數(shù)據(jù)中心中，你完全有能力管理對(duì)設(shè)施的訪問(wèn)權(quán)，以及監(jiān)控各項(xiàng)活動(dòng)，作為檢測(cè)勒索軟件風(fēng)險(xiǎn)和其他威脅的一種手段。

結(jié)論

如果你得出數(shù)據(jù)中心本質(zhì)上不易遭受勒索軟件攻擊的結(jié)論，那么這是錯(cuò)誤的。與任何環(huán)境一樣，數(shù)據(jù)中心也可能而且經(jīng)常受到勒索軟件的攻擊。然而，數(shù)據(jù)中心運(yùn)營(yíng)商可以采用那些在其他類型環(huán)境中可能并不實(shí)用的、針對(duì)勒索軟件的預(yù)防措施，從而讓使用數(shù)據(jù)中心托管工作負(fù)載的企業(yè)在打擊勒索軟件方面取得優(yōu)勢(shì)。