抵御勒索软件的备份方案

韧性

高冗余备份系统,提供强大的反勒索软件防护

由于近期先后发生了一起几乎导致数据泄露的险情,以及一次关键数据几乎被勒索软件加密锁定的事件,这家服务型公司委托我们加强其备份机制的深度与弹性。

 

我们协助客户大幅提升备份体系的健壮性、冗余性和多样化程度,从而建立起对勒索软件攻击及类似灾难性数据丢失或损坏事件具有强大抵御能力的防护姿态。

项目目标

目标

防止数据被未授权访问

反勒索软件防护的首要任务是首先防止未经授权访问数据,因为一旦获得访问权限,就可能导致数据泄露、复制、窃取,以及本项目更侧重应对的风险:数据被删除、篡改和加密。

防止备份损坏

当第一层数据保护可能失效时,关键就在于确保至少备份是安全的、未损坏且未被加密。可以通过冗余、限制对备份的访问、版本管理等方式来实现这一点,这些内容我们将在本项目中进一步展开。

简化用户体验

万无一失的备份系统通常包含多层设置、配置和服务,这会不断增加复杂性,并且具有讽刺意味的是也会带来更多潜在的故障点。所构建系统的用户体验必须尽可能清晰、易用,以防止出错,同时也要确保系统能够按照预期真正被使用。

验证系统

一旦系统建立完成,必须进行充分测试,以确保其按预期运行,而且不仅仅是在一次测试中正常工作,而是能够在未来任何需要的时间持续可靠地运作。应通过实际从备份中恢复数据和服务来对系统进行完整测试,并检查恢复的数据是否保持了原有的质量。同时,还应对系统进行压力测试,并开展漏洞扫描和渗透测试,以发现并修复任何缺陷。

精度影响

结果

开源组件

使用 Kopia 的备份系统

交付可靠性

为反勒索软件备份机制实施的策略

SEIRIM 致力于提供一种易于维护、几乎万无一失、易于上手且具有高性价比的备份方案。其目标是在防止未经授权的数据访问以及数据丢失或泄露方面实现极高的韧性。在本案例研究中,我们重点介绍众多组成部分中的一个部分——AWS S3 存储桶加上 Kopia 备份系统。

第5课 - 超越3-2-1

在这一体系下,SEIRIM 推荐并实施了我们的「Class 5(5 级)」备份范式,其目标是相比标准的 3-2-1 备份建议,增加更多的备份副本和存储位置。

 

在 Class 5 中,我们建议使用 2 套云端方案。在本案例中,最加固(安全性最高)的方案是部署 Kopia 与 AWS S3 存储桶协同工作,并同时使用 iDrive 企业账户作为更加基础、现成可用的标准解决方案。

 

C - Cloud 1(云端 1) - 在本案例中为 AWS S3 + Kopia

L - Cloud 2(云端 2) - iDrive Enterprise

A - Attached external(直连外部存储) - 在这个客户案例中为网络附加存储(NAS)

S - Separate external 1(独立外部存储 1) - 轮换周期更长且存放在异地,在本案例中为上述 NAS 的同步副本

S - Separate external 2(独立外部存储 2) - 按时间间隔轮换的外置硬盘

系统测试 - TRIP

在客户参与下,对所有备份版本进行了系统测试,包括对系统进行漏洞扫描和渗透测试。定期测试备份系统非常重要,人们太容易想当然地认为自己在定期、有效地执行备份,却在事故发生后才发现系统中存在错误,备份数据不完整、已损坏、难以访问,甚至根本无法访问,或同样受到事故影响。

 

此处应用了 SEIRIM 的 5 级“TRIP”概念:

 

- Throw 尽可能对系统进行各种极端测试,设法让其出故障!

- Restore 从备份中恢复系统

- Inspect 检查已恢复的系统是否存在错误并寻找可改进之处

- Prove 向相关方证明系统能够正常运行