在数字化转型的大潮中,网络犯罪日益激增,威胁无处不在,防不胜防。威胁有来自企业外部的,也有来自企业内部的,可谓让企业“内忧外患”。数据安全成为所有企业或组织面临的重要挑战。
网络攻击事件频发,企业信息安全支出大幅增长
根据世界经济论坛(WEF),恶意行为者正在利用人工智能来策划更强大的网络攻,25% 的企业将在未来两年内遭遇数据泄露。网络攻击的风险增加,导致资金和数据被盗(75% 的受访企业)和信息基础设施中断(76% 的受访企业)。INTERPOL 指出,去年网络犯罪的目标已从个人和小企业显著转向大公司、政府和关键基础架构。
根据英国金融时报,“双重敲诈”勒索软件攻击(即黑客窃取、加密现场敏感信息,然后威胁要发布这些数据)在 2020 年增加了 200%。
网络犯罪可以说是“大生意”。从 2019 年至 2020 年,美国勒索软件的平均支付额增长了 775%。在 COVID-19 大流行期间,攻击次数增加了一倍。如果以国家衡量,那么预计 2021 年全球网络犯罪将造成总计 6 万亿美元的损失,相当于世界第三大经济体的 GDP。
应对猖獗的网络攻击和高额的安全成本,企业需要弹性的部署以防患未然。
发现攻击需要半年多,如何快速获得干净的副本?
在传统的恢复方案中,最新的备份副本通常是恢复的理想副本。这使得它成为应对网络攻击的自然场所。而网络攻击呈现一种新的态势:攻击平均发生在六个月前,您才刚刚发现它。找到一份干净、未受感染的副本可能需要一些“侦探”工作。您需要检查大量逐渐老旧的备份副本,以查找数据的最干净、无恶意软件副本。为了提高获得干净、未受感染副本的可能性,您应该考虑一些问题。
您的主存储是否具有足够的弹性?
首要任务是防止恶意行为者访问您的数据,在违规之前阻止数据泄露。但是,当攻击者设法通过时,您是否做好准备以快速响应?存储主要数据的主存储是否具有足够的弹性?
您的备份副本是否被隔离?
当攻击者访问您的主要数据时(通常通过受感染的应用程序),您希望确保您的副本是隔离的。这是“空气隔离数据副本”(air-gap data copy)的用武之地。您的应用程序数据与其副本之间存在攻击者无法跨越的物理隔离,因此您的副本将不受影响。
您的副本是否不可变?
如果老道的攻击者设法访问未受感染的副本,则第二层保护是以不可变的形式存储该数据,这就是 WORM 技术的用处。
您的副本是否易找到?
如果您知道是攻击的受害者,想快速恢复和运行。要做到这一点,首先需要找到在攻击者感染您的数据之前创建的副本。攻击者经常穿透系统,等待一段时间,平均超过六个月。找到一份干净、未受感染的副本可能需要一些“侦探”工作。传统上,这意味着反复挂载和检查逐渐老的备份副本。较新的系统使副本可搜索或有一些电子发现工具可帮助您搜索,以便您第一时间找到正确的恢复副本。您需要选择简化查找的工具。
您能快速恢复副本吗?
您保留副本的时间很长,发现已被感染通常需要几个月的时间。这可能意味着您的初始本地快照已迁移到二级存储,如云或 WORM 磁带中的不可变对象存储。隔离最好的副本可能不是恢复最快的副本。总是有一个平衡,每个组织都做出自己的权衡选择。由于各种存储介质选项可以配置为隔离和不可变,因此您需要考虑适合您的组织的最佳选项。
企业需要弹性、灵活的主存储来确保数据可用性
确保数据的可用性是存储的主要功能。那么,弹性的主存储需要具备哪些特点以提供帮助?
弹性的主存储应能够使用您所选的同步或异步数据通信实现传统的 2 站点和 3 站点复制配置,包括公共云。这让您有信心数据可以从局部灾难中幸免,造成很少或零数据丢失 – 这也被称为恢复点目标或 RPO。
弹性的主存储还意味着快速甚至是即时访问您的数据,这被称为恢复时间目标或 RTO。弹性的存储提供即时故障切换选项,以便访问远程位置的数据。如此,您的数据不仅在局部灾难中幸存下来,而且您的应用程序可以立即访问备用副本,就好像什么都没发生过一样。
无论您选择什么主存储硬件供应商或公共云提供商中,这些 RPO/RTO 选项都应可用。 弹性的主存储还涉及保护您的数据免受恶意行为者的干扰。加密可以防止“窥探眼睛”或直接的数据盗窃。如果您的主要数据副本确实受到感染,弹性的主存储还应规定副本应与原始数据在逻辑上实现空气隔离,并进一步使该副本不可更改或不可变。
在混合云世界中,组织与多个地点合作,包括多个本地基础架构和和多个公有云提供商。弹性的主存储应具有极大的灵活性,使您能够灵活利用基础架构供应商和地理位置获得数据弹性。
抵御网络攻击的新防线,IBM 存储解决方案有绝招
传统的数据恢复解决方案已不足以应对当今日益猖獗的网络威胁。现在,让我们来了解 IBM 存储解决方案如何帮助您构筑网络攻击的新防线。
多站点复制 – 灾难恢复
IBM Spectrum Virtualize 是主存储的一个战略性存储软件基础。其管理下的存储环境能够使用您选择的同步或异步数据通信实现传统的 2 站点和 3 站点的复制配置,包括公共云。根据数据的需求,您可以实现恢复点目标(RPO) 短至零,这意味着关键应用程序(例如面向公众的电子商务网站)绝对不会丢失数据,或者对于可能不太关键的应用程序(例如员工差旅费工具)的数据,可灵活至亚秒到几分钟或几天。
IBM FlashSystem 存储是企业级存储解决方案,配备 Spectrum Virtualize 软件,从入门级到高端一应俱全,您可以灵活选择最适合您需求的配置。
IBM SAN Volume Controller (SVC) 是 Spectrum Virtualize 软件的设备版。现在 Spectrum Virtualize 已经发展到第 10 代了,客户在 SVC 上部署 Spectrum Virtualize 已经超过十年,将战略性软件基础的功能从众多供应商带到 500 多个本地存储系统。如果您有兴趣通过多站点复制(甚至在供应商之间)实现已有存储的现代化,那么不妨从 SVC 入手。
即时故障切换 – 高可用/增强高可用
Spectrum Virtualize 环境支持 HyperSwap 功能。如果由 IBM 实验室服务 (IBM Lab Services)团队进行部署,可以保证 100% 的可用性。这是通过创建一个 active-active 双活关系来实现的,该关系由至少两个 IO 组组成,这些组以集群的形式存在并分布在两个站点。然后,我们可以创建一个 HyperSwap 卷,在每个站点都有一个独立的副本,并使用复制来保持两个副本之间的同步。这两个网站都能够处理读取和写入,从本地副本处理的读取和写入总是在两个站点之间复制。
在发生灾难时,HyperSwap 将自动重新配置以停止使用失败的副本,当该站点恢复时,它会自动重新同步卷。与其他复制选项不同,您可以从单个 CLI 或 GUI 中进行所有配置和管理,因为整个解决方案都在一个集群系统中。
把战略性存储软件基础如 IBM Spectrum Virtualize,部署在本地存储系统和公有云中,您可以非常灵活地利用基础架构位置来实现运维弹性。
当与 IBM SAN Volume Controller(SVC)即 Spectrum Virtualize 的设备版相结合时,可提供独特、增强的高可用性 (HA) 配置,可在 2 到 4 个站点之间实现零 RTO 切换,并有可能在包括公有云的第 5 站点复制。
Safeguarded Copy 不可变副本– 快速恢复
当您需要隐藏、不可访问的、无法更改或删除的生产数据副本时,并且仅在恢复后才可用,换句话说,您想要黑客无法访问的副本,那么可借助 IBM Safeguarded Copy 来实现,这项技术曾经只应用于安全性最高的主机存储中。IBM FlashSystem 系列产品、SAN Volume Controller(SVC)和 DS8900 主机存储已全面支持 Safeguarded Copy 功能,通过不可变且隔离的副本增强保护,让您在发生攻击事件时,能够快速、从容地地恢复副本。
Safeguarded Copy 自动地在逻辑上“空气隔离的池”中创建节省空间的数据副本,未经授权的用户无法访问或更改。在发生数据丢失、数据泄露、恶意事件或任何其他损害数据或中断操作的事件时,您可以根据泄露之前的已知时间点从快照中恢复其数据。原本企业可能需要几天、几周甚至几个月才能从攻击中恢复过来,Safeguarded Copy 可以让恢复在短短几分钟内完成。
这些时间点副本 (point-in-time copies)具备常规快照相同的 API 和自动化功能,但其独特性让其成为保护您最重要数据的首选。首先离线设计,在生产数据和副本之间创建了一个逻辑上的空气隔离。这意味着,如果网络罪犯侵犯了您的生产应用程序并获取您的生产数据,他们与您的 Safeguarded Copy 之间存在空气隔离。即使他们设法通过隔离,您的副本内容也不能被更改、感染或损坏。与传统快照不同,应用程序所有者通常有权访问副本,而 Safeguarded Copies 可以在生产数据和 Safeguarded Copies 管理员之间实现职责分离。
您可使用 Spectrum Virtualize for Public Cloud 将 Safeguarded Copies 存储在本地或云上。云上目前支持 IBM Cloud, Amazon Web Services 和 Microsoft Azure。此外, SafeGuarded Copy 可以与 IBM QRadar(安全信息和事件管理系统)集成,帮助安全团队准确检测并优先排序整个企业的威胁。
数据保护 – 快速灵活
前文指出,恶意软件攻击可能需要 6 个多月才能被发现。这意味着您可能需要大量的长期备份才能找到一个干净的副本。而数据保护软件如 IBM Spectrum Protect Plus,可以成为存储快照速度优化方法的重要配件。
IBM Spectrum Protect Plus 会备份您的生产数据 - 无论是物理机、虚机的还是容器化的环境。与 Spectrum Virtualize Safeguarded Copy 一样,Spectrum Protect Plus 副本也是不可变快照。但也有一些重要区别,可以提供额外的保护层。
首先,Spectrum Protect Plus 快照始终存储在“其他地方”,这意味着它们至少在同一数据中心的不同存储系统上,但也可以存储在远程数据中心。这可确保您的副本能够在局部灾难中幸存下来。其次,由于发现您的数据已被感染可能需要很长时间,IT 经理存储了大量长期备份副本。Spectrum Protect Plus 能够维护副本目录,以加快识别正确的副本进行恢复。最后,它允许用户自助恢复,从而减少日常管理开销。
加密 – 防止窃取
借助 Spectrum Virtualize 环境,加密可以有两种形式。首先是美国政府计算机安全标准 FIPS 140-2 验证加密,可在 IBM FlashSystem 存储中的 FlashCore 模块中启用。这是针对您最敏感数据的防篡改硬件加密。还有软件加密可以扩展到全系统,或者使用 IBM SAN Volume Controller,无论您在硬件供应商中选择哪家,都可以以一致的方式扩展到数据中心中的所有其他块存储。在如何管理加密密钥方面也提供选择 – 您可以在系统中使用物理 USB 密钥,也可以使用企业级密钥管理如 IBM Security Key Lifecycle Manager(SKLM)或 Gemalto SafeNet KeySecure。
网络罪犯正变得越来越复杂,数据弹性这一主题既任重道远。本文探讨了一些主存储弹性问题,现在您可以联系 IBM 存储专家 (400-669-2039,9:00-17:00)免费获得存储网络弹性评估,您将收到详细的评估报告、相关的演示文稿、路线图和潜在的改进。
立即前往了解 IBM 现代化 IT 基础架构:敏捷开放加速转型,稳定安全夯实未来
参考资源
• World Economic Forum, The Global Risks Report 2020
http://www3.weforum.org/docs/WEF_Global_Risk_Report_2020.pdf
• Cybersecurity Ventures Cybercrime Magazine. 7 December 2018.
https://cybersecurityventures.com/cybercrime-damages-6-trillion-by-2021
• “INTERPOL report shows alarming rate of cyberattacks during COVID-19”. Aug 4, 2020.
https://www.interpol.int/News-and-Events/News/2020/INTERPOL-report-shows-alarming-rate-of-cyberattacks-during-COVID-19
• Malicious Software Attacks ‘Spiraling Out of Control’
https://www.ft.com/content/f3cc4243-5942-46d0-8d26-ee757c8f225f
