給FlashSystem裝上“耳朵”

存儲，總是憨憨地、默默地為業(yè)務(wù)系統(tǒng)服務(wù)，保護(hù)用戶的數(shù)據(jù)。最近，IBM給FlashSystem裝上了一個小“耳朵”，這是怎么回事呢？

后疫情時代，隨著數(shù)字化轉(zhuǎn)型的加速，勒索軟件和敲詐勒索軟件攻擊已經(jīng)成為企業(yè)業(yè)務(wù)連續(xù)性的主要網(wǎng)絡(luò)威脅，而且這些攻擊的復(fù)雜性在不斷增加。勒索軟件攻擊是一場持久的全球危機(jī)。盡管在網(wǎng)絡(luò)安全方面投入了大量資金，各組織仍在努力保護(hù)自己免受攻擊。當(dāng)一個組織的數(shù)據(jù)被惡意加密時，它只有兩個選擇：支付贖金或恢復(fù)數(shù)據(jù)。這兩種選擇都不理想。波尼蒙研究所（Ponemon Institute）最近將單個網(wǎng)絡(luò)攻擊的估計成本從440萬美元提高到520萬美元。支付贖金的替代方案是從備份和歸檔中重建數(shù)據(jù)。不幸的是，重建數(shù)據(jù)的傳統(tǒng)備份/恢復(fù)方案需要數(shù)周才能完成；如今，運營數(shù)據(jù)的平均恢復(fù)時間為23天。想象一下，一次為期三周的停機(jī)對收入的影響和聲譽的損害可能會更大。顯然，需要采取一些措施來改進(jìn)組織如何預(yù)測勒索軟件攻擊并從中恢復(fù)。

IBM的Cyber Vault方案應(yīng)運而生，它大大縮短了恢復(fù)時間，如下所示，生產(chǎn)恢復(fù)時間從原先的數(shù)周/數(shù)月（圖中暗灰色大三角形）縮短到小時，甚至分鐘級（圖中藍(lán)色小三角形），最大限度降低網(wǎng)絡(luò)攻擊造成的影響，把Data Resilience的能力發(fā)揮到極致。

IBM的Cyber Vault解決方案建立在Safeguarded Copy功能的基礎(chǔ)上，該功能可在主存儲陣列上提供不可變的數(shù)據(jù)副本，通過空氣隔離可以防止勒索軟件傳播導(dǎo)致備份數(shù)據(jù)被污染，并且可以超快速地恢復(fù)。通過創(chuàng)建一個專用且隔離的Cyber Vault環(huán)境（可以是VMware的VM虛擬機(jī)或邏輯分區(qū)LPAR），在此環(huán)境中可以進(jìn)行自動化的恢復(fù)測試、驗證和分析，因此不會對生產(chǎn)系統(tǒng)產(chǎn)生影響。當(dāng)發(fā)生攻擊時，在需要時獲得授權(quán)人員的批準(zhǔn)，以確?；謴?fù)既簡單方便又安全可靠。

IBM Cyber Vault方案如何運作呢？這里有4大法寶：不可變副本，主動監(jiān)測，數(shù)據(jù)拷貝測試與驗證，快速恢復(fù)。四個字總結(jié)：隔！先！穩(wěn)！快！

法寶一「隔」

不可變副本

不可變副本，即與生產(chǎn)數(shù)據(jù)隔離。IBM存儲的Safeguarded Copy創(chuàng)建不可更改的，基于時間點的拷貝或快照，這些受保護(hù)的快照在獨立于生產(chǎn)環(huán)境的隔離存儲池中被創(chuàng)建，并且只能由Cyber Vault恢復(fù)系統(tǒng)訪問。Cyber Vault將應(yīng)用涉及的所有卷之間創(chuàng)建一致性組（CG），以保證應(yīng)用數(shù)據(jù)恢復(fù)時的可用性。

法寶二「先」

主動監(jiān)測

主動檢測可能的風(fēng)險，并自動采取行動。主動威脅檢測和響應(yīng)模塊（能力由IBM QRadar提供）先進(jìn)的日志分析，深度檢測和威脅實時監(jiān)控功能已經(jīng)集成到Cyber Vault中，結(jié)合IBM存儲管理訪問日志，應(yīng)用程序日志、網(wǎng)絡(luò)或服務(wù)器日志等，為企業(yè)數(shù)據(jù)提供全方位保護(hù)。當(dāng)法寶二監(jiān)測到可能的威脅后，Cyber Vault可以主動觸發(fā)法寶一的Safeguarded Copy，以便在第一次出現(xiàn)威脅時，創(chuàng)建受保護(hù)的生產(chǎn)卷快照，以保護(hù)生產(chǎn)數(shù)據(jù)。此外，一旦發(fā)生攻擊，Cyber Vault可以使用的最佳時間點的快照副本，并可以自動執(zhí)行將數(shù)據(jù)還原到生產(chǎn)。由于快照恢復(fù)的即時性特點，幾乎可以立即完成恢復(fù)。

法寶三「穩(wěn)」

拷貝測試與驗證

為了保證日常數(shù)據(jù)的拷貝可以平穩(wěn)恢復(fù)，Cyber Vault將定期對受保護(hù)的快照進(jìn)行驗證，主動檢測數(shù)據(jù)是否損壞，在恢復(fù)之前確?？煺帐菦]被污染的。這里運維人員可以利用幾種不同的實用程序和工具來進(jìn)行主動數(shù)據(jù)驗證，如：Oracle的DBVerify，DB2的Inspect，MongoDB的Validate以及其他數(shù)據(jù)掃描工具。此外，Cyber Vault還可以結(jié)合Ansible自動化腳本，檢索受保護(hù)的快照，恢復(fù)受保護(hù)的快照并通過執(zhí)行數(shù)據(jù)驗證工具，獲得干凈的快照，然后將干凈的快照恢復(fù)到生產(chǎn)環(huán)境。

法寶四「快」

快速恢復(fù)

前面三個法寶的目的，都是為了祭出“快速恢復(fù)”，畢竟時間就是金錢。下面我們就來看看Cyber Vault是如何實現(xiàn)快速恢復(fù)的吧。

Cyber Vault首先在一天中的不同時間點在主存儲陣列上獲取不可變的數(shù)據(jù)副本，目的是使其恢復(fù)點盡可能短，以最大程度地減少數(shù)據(jù)丟失。該方案中用于主動監(jiān)控的威脅檢測與響應(yīng)模塊通過對存儲系統(tǒng)日志進(jìn)行關(guān)聯(lián)性分析，發(fā)現(xiàn)存儲系統(tǒng)出現(xiàn)的異?；顒?，如：登錄異常、系統(tǒng)操作異常，或者是文件正在被加密，典型的勒索軟件行為。也可與企業(yè)中現(xiàn)有的安全平臺安全工具對接，接收其發(fā)送的安全事件。假定此時是17:00，威脅檢測與響應(yīng)模塊模塊發(fā)現(xiàn)系統(tǒng)出現(xiàn)異常，首先會自動創(chuàng)建備份副本，目的是，即使某個系統(tǒng)受到攻擊，數(shù)據(jù)被污染或破壞，但其它系統(tǒng)的數(shù)據(jù)還是完整的，安全。當(dāng)存儲管理員意識到問題時，很顯然18:00的數(shù)據(jù)是被破壞或污染了，無需嘗試進(jìn)行恢復(fù)。可以從17:00的快照開始回滾，將數(shù)據(jù)交給Cyber Vault環(huán)境，并使用工具對數(shù)據(jù)進(jìn)行校驗，如果發(fā)現(xiàn)數(shù)據(jù)一致性有問題，再回滾到之前的時間點，如：15:00,12:00，直到恢復(fù)到9:00時，發(fā)現(xiàn)這個時間點的數(shù)據(jù)是可用的，將其恢復(fù)到生產(chǎn)環(huán)境中。威脅檢測與響應(yīng)模塊為存儲環(huán)境注入了智能化安全威脅分析的能力，第一時間主動發(fā)現(xiàn)問題，并可以自動化采取響應(yīng)動作，可助力實現(xiàn)更優(yōu)的RTO和RPO目標(biāo)。

實施Cyber Vault的關(guān)鍵價值在于，通過主動監(jiān)控、測試、記錄的步驟來響應(yīng)此類攻擊，以及快速測試和恢復(fù)數(shù)據(jù)的能力，客戶現(xiàn)在可以在數(shù)小時內(nèi)恢復(fù)生產(chǎn)數(shù)據(jù)，而不是數(shù)周。應(yīng)對網(wǎng)絡(luò)安全危機(jī)只是時間問題，沒有如果。因此，當(dāng)Flash System裝上了小“耳朵”，就可以更好地保護(hù)您的數(shù)據(jù)了。