“至暗时刻”
是每个企业都难以避免的
比如最近著名的“删库”事件
让某企业付出沉重的代价
今天,数字资产已成为企业核心竞争力
如何让它更安全
让企业不再轻易“失去”
今天,我们来聊聊关于
如何守住企业资产的最后一道防线
各位读者,一次又一次的it事故无不说明了建立现代化数据防护体系的紧迫和必要性,而要搭建这样的体系不仅需要好的安全策略和及时的主动侦测手段,更要可靠的数据备份以及经常验证的恢复手段,因为它们是你的最后一道防线。
下面就和大家讨论一下,万一你的系统遭遇安全事件后,如何快速的恢复和还原你的数据,让业务快速上线,把损失减少到最低。
三分靠技术,七分靠管理
现代数据保护要“防”更要“管”
一个现代化数据中心,应该建立一个安全可靠的现代化数据保护体系,它是多种全新数据保护技术和管理方式的融合,不同技术能满足不同业务的rto/rpo要求:
有的核心业务rto/rpo要求秒级;
有的rto/rpo是小时级的;
还有的需要长期保存,需要对数据进行归档。
同时,一份生产数据最好有多份保护数据,多个备份还原点去防止单点故障,并且多份备份数据要保存在不同介质,不同系统,并复制到不同的数据中心。如果条件允许,最好建一个备份数据“避风港”,让备份数据和生产环境完全隔离。最后,备份软件本身和存储备份数据的介质一定要可靠,现在有一些攻击行为专门针对备份软件,像有的备份软件的服务器本身只支持windows,其本身很容易中病毒,就是一个巨大的安全隐患。
所谓“三分靠技术,七分靠管理”,现代化数据保护体系除了采用先进可靠的技术外,还需要加强员工安全意识培训,这一点非常重要,却常常被忽略。同时,建立完备的日常备份制度和灾难恢复措施,并由管理人员切实执行数据保护制度,备份的数据一定要定期验证,确保备份数据的完整可用,否则数据保护将仅仅是纸上谈兵。
防止安全事件的终极解决方案
cyber recovery  “避风港”
为应对愈演愈烈的恶意攻击和勒索病毒等行为,戴尔易安信推出了全新的“避风港”计划——  cyber recovery。
cyber recovery解决方案由一对powerprotect dd系统和cyber recovery管理主机组成,运行在管理主机上的cyber recovery软件通过启用或禁用cr存储区中data domain系统上的复制以太网接口,来控制从生产环境流向存储区环境的数据流。
cyber recovery是一个逻辑上的的air-gap解决方案,它提供了对任何网络攻击的保护,是戴尔易安信对病毒防护、恶意删除等安全事件的终极解决方案。
备份数据存储在生产端dd上后,生产端dd和cr存储区的dd建立复制链接,使用dd的专用接口将备份数据从生产中心dd通过内部网络复制到cr存储区的dd上。
cyber recovery使用dd retention lock特性(后文会详细介绍),在cyber recovery存储区创建生产端dd复制数据的不可变副本,在cr存储区中通过cr management创建调度来启用复制接口链接,复制完后将禁用cyber recovery vault区dd上的复制接口,以建立备份数据完全网络隔离方案。我们还可以在cr 存储区创建rw沙箱,用于分析数据并恢复验证数据。
cyber recovery解决方案的专用咨询服务提供:环境调研,方案设计,实施部署,验证等服务,方案设计里面包括的物理安全性设计,防止内部破坏分子可能利用物理安全薄弱环节。可以将cr存储区设备安装在专门的房间或笼子里,并实施物理访问控制措施,如房间或笼子上锁,使用钥匙须登记,或者两人同时插入钥匙才能开锁,以及笼门、房门、设备上安装视频监控等。
除了“避风港”解决方案,戴尔易安信dps依据下列“黄金三角”模型为用户提供全方位、多层次的数据保护解决方案,不仅能够有效地防止物理损坏、防止逻辑损坏,还能够在出现灾难或者数据丢失时能最快恢复数据,让业务快速上线。
数据保护“黄金三角”模型
1． 遭遇“删库”、误操作后
如何快速恢复数据
每一个系统管理员心中都有一个理想:“数据不丢,业务不停”  , 可理想是美好的,现实是骨感的。
“百密终有一疏”,安全事件防不胜防,现如今很多企业的数据保护还是依靠单一的传统备份软件+带库或者备份一体机的简单方式,而且备份策略还是传统的“每天增量+每周一个全备”。
然而,即使每天每隔4小时备份一次归档日志,数据丢失量(rpo)至小也是4小时,这种备份方式如果恢复数据,需要先恢复最近的全备,再恢复增量,最后再回滚日志,系统的目标恢复时间 (rto)可能是8小时以上,这对很多核心业务来说是不可接受的。
因此,戴尔易安信recoverpoint系列连续数据保护(cdp)解决方案能帮助系统管理员实现任意时间点的恢复,它不是单纯地保护你的数据,而是更深入地保护整个系统,为更严苛的rto/rpo业务提供保障。
recoverpoint分为硬件版(简称rp)和纯软件版(简称rp4vm)。它通过捕捉每一个i/o的变化,并记录这些变化,将业务系统的rpo趋近于0,几乎没有数据丢失, rto可由数小时或者数天减少到数分钟,同时利用书签跟踪应用程序相一致的任何恢复点,这使用户能够及时恢复任意时间点数据,而无需担心任何一个时间点的数据一致性。
recoverpoint指定时间点的数据还可以按需即时访问,具有完全读和写的能力,可做备份数据的验证、实时应用程序的测试、数据迁移等许多其他有价值的数据处理,不像传统备份数据,要恢复才知道可不可用。因此,对很多核心业务来说,recoverpoint连续数据保护技术就是一台“备份时光机”。
2． 如何建立一个可靠的
数据保护环境
“打铁还需自身硬”,数据保护系统自身是否安全比如一些备份软件厂商的备份服务器只支持windows,容易受到攻击,还有一些用户选用一些传统磁盘阵列存放备份数据,简单的依靠存储的raid来保障备份数据,这些都是现代化数据保护方案应该避免的。
戴尔易安信powerprotect dd(前身为data domain)作为专用的数据保护存储,打破了传统存储的设计理念,以数据完整性和可恢复性为重要目的。
dd的操作系统ddos是专门为确保数据无损来设计和构建的。它采用“端到端的验证”、“故障避免和控制”、“不断执行故障检测和修复”、“文件系统可恢复性”等一些列的技术保证存在上面的数据一定可恢复,其行业占比10年来遥遥领先。
3． 备份数据管理的“保险箱”
dd retention lock
dd retention lock是dd和idpa备份一体机一个可以轻松启用的功能,它可以防范多种攻击,一旦在备份时启用retention lock,任何人都不能在备份数据的保留期间更改备份数据。
retention lock因此提供了一个非常强大的能力——防止勒索病毒攻击,通过阻止病毒对数据的加密,并且屏蔽病毒的删除能力,可以轻松对付黑客攻击。
例如,如果您通常将备份数据保留30天,那么retention lock将在你设置30天的保留期同时提供额外的一层保护,同时期间的备份工作正常进行。
4． 备份数据的“加密锁”
dd encryption
备份数据除了避免被删除和篡改等必要手段,如果再能配合备份数据加密,则可以达到“拿不走,改不了,认不到”的多重数据防护体系,真正做到固若金汤。
通过dd和idpa备份一体机上的encryption软件选项对存入dd和idpa备份一体机的备份数据进行实时加密,这样,如果不事先进行身份验证和解密,便无法在现有系统或任何其他环境访问这些数据,其采用标准的aes 128和256位密钥,加密发生在文件系统下面,这样可以保护用户备份到dd和idpa备份一体机里的数据,避免在dd和idpa备份一体机系统被盗或者存储介质在传输期间丢失时数据丢失风险。
此外,dd encryption不需要其他硬件,并且对dd和idpa备份一体机性能影响较小,通过利用dd和idpa备份一体机的sisl扩展体系结构,重复数据不需要加密处理,此优化会大幅减少加密过程所消耗的资源,从而减少对总体性能的影响。同时,dd encryption对外部服务器和应用程序透明,不需要其他服务器和应用装置参与。
5． 在传统备份基础之上
用direct backup多建立一个还原点
灾难发生时,快速恢复是第一反应,但是否能在正确时间让备份管理员找到正确时间点的数据,来恢复dba和应用管理员需求的数据,这需要很好的管理机制来配合。所以很多用户的dba或者应用管理员都会在已有集中备份的基础上,直接用自己熟悉的应用管理工具备份。
现在各种基于敏捷方式开发的新业务如云原生应用,它们基于devops思想进行运维,需要应用管理员、dba、虚机管理员以及存储管理员直接参与数据保护,减少数据丢失的同时要求有状态数据也能快速恢复,构建立体的数据保护体系。这也是现代化数据保护体系的一个新理念:direct backup。
dba或者应用管理员可控制其应用的备份和恢复,不再需要专门的备份管理员参与,从而提高了恢复效率,当然备份管理员也有能力通过集中的管理平台对其数据进行备份和恢复管理的监控。
dd和idpa备份一体机通过dd boost和应用程序直接集成,实现源端重复数据删除的备份,从而加快50%备份速度,并有助于降低带宽需求,这种直接备份也可以和存储集成实现备份,它可以从戴尔易安信vmax/all flash或xtremio上直接把快照备份到dd和idpa备份一体机。
这种备份方式比传统备份快20倍,比传统恢复快10倍,而且对生产应用不会造成任何影响,并能识别应用,保证数据库一致性,还使得备份数据在不用恢复的情况下直接被拉起来验证和利用,这种解决方案满足一些客户非常严格的rto业务要求。
而对于vmware环境的数据保护,则可以基于vmware cbt实现image的快速备份和恢复,并可以在不恢复vm的情况下,直接在备份存储dd和idpa备份一体机上立即拉起虚机映像,并可以借助后端备份存储dd和idpa备份一体机的的fastcopy优化vm的备份和恢复,这是传统备份软件厂商没法实现的。
云环境的数据保护
基于iaas/pass的云环境应用,在现代化数据数据中心也是一个主流。等保2．0明确要求企业云上的数据一定要在线下也有一份,此时,avamar virtual edition(ave) 和data domain virtual edition (ddve) 这两款纯软件,可以在云上的实现数据保护,将数据从云上复制回本地数据中心,也可以复制数据到云。
而本地数据数据中心的dd和idpa备份一体机,可采用cloud tier技术将经过重复数据消除的数据直接从dd和idpa备份一体机无缝分层到公有云、私有云或混合云,以实现长期保留的目的。
数据保护43210法则
最后,对于建立一个完善可靠的现代化数据保护体系,戴尔易安信一直在宣传一条简单好记的法则,即“数据保护43210法则”:
所谓4,就是除生产数据本身,优秀实践是有四份以上的来自不同介质,不同系统、不同数据中心的数据对其进行保护。4份数据中可以是生产阵列的一份快照,近线存储上的一份连续数据保护数据,离线备份存储上的一份备份数据,还可以是一份异地复制数据。如果系统要求高,还可以对数据进行隔离,建立一份脱离数据中心的一份数据。
3,是指三个以上的还原点。备份的目的是为了恢复,采用不同技术(如本地cdp、同城备份、异地复制等)保证数据一致的前提下,让同一数据有不同恢复点。
2,是指对一个数据最好有两种以上的方式对其保护。如用备份软件备了,最好通过数据库自带的备份工具(如oracle、rman等)再备份一次,或者通过cdp备份一次。
1,是指对重要数据一定要有一份异地复制数据。防止本地出现大的灾难时,你的数据还能找的回来,等保2级以上就要求备份数据异地存放,只是不同级别要求采用的同异步方式不同。
0,在以上技术基础上,辅之以完善的日常备份制度和灾难恢复的演练措施,一定能做到数据零丢失。
当然“43210法则”是一个理想的完备模型,可以结合自己行业业务应用特点灵活选择。
尊敬的读者
疫情当前
各行各业都受到了巨大影响
而金融行业因其特殊性
使得它面临的it挑战更加复杂和多变
那么银行、证券、保险等金融机构
该如何面对特殊事情的挑战呢
今天上午
9:30-12:00
戴尔科技将邀请戴尔专家
业界分析师以及金融行业专家等
举办金融行业网络研讨会
就金融行业的远程办公
开放银行的趋势及挑战
等话题进行分享和介绍
欢迎观看下图了解会议详情

---