對于安全的數(shù)據(jù)備份 如何正確執(zhí)行3-2-1規(guī)則
隨著企業(yè)存儲數(shù)據(jù)的地方越來越多,數(shù)據(jù)備份3-2-1規(guī)則的基本概念常常被人遺忘。而3-2-1規(guī)則已經(jīng)成為設(shè)計數(shù)據(jù)保護的最基本概念之一,重要的一點是人們要理解為什么要創(chuàng)建這個規(guī)則,以及在當今日益繁瑣的存儲世界中如何解釋這個規(guī)則。
數(shù)據(jù)備份的3-2-1規(guī)則是什么?
數(shù)據(jù)備份的3-2-1規(guī)則規(guī)定,應(yīng)在兩個不同的存儲介質(zhì)上至少存儲三個數(shù)據(jù)副本或版本,其中一個不在現(xiàn)場設(shè)施中存儲。以下了解這三個要素中的每個要素及其要解決的問題:
- 3個數(shù)據(jù)副本或版本:在不同時間段內(nèi)擁有至少三個不同版本的數(shù)據(jù),可確保企業(yè)可以從影響多個版本的災(zāi)難事故中恢復(fù)。任何完善的備份系統(tǒng)都將具有三個以上的副本或版本。
- 兩種不同的存儲介質(zhì):企業(yè)不應(yīng)在同一存儲介質(zhì)上存儲兩個數(shù)據(jù)副本。例如,使用蘋果公司的Time Machine。企業(yè)可以使用硬盤應(yīng)用程序?qū)⒂脖P分為兩個虛擬卷,然后使用Time Machine將第一個虛擬卷備份到第二個虛擬卷。但是如果發(fā)生故障,則這兩個虛擬卷的數(shù)據(jù)備份也會失效。這就是備份數(shù)據(jù)需要在不同的存儲介質(zhì)上進行存儲的原因。
- 1個異地備份:某位會議發(fā)言人在一次演講中表示不想采用磁帶存儲,因為其IT部門的一名員工將磁帶放置在服務(wù)器頂部,當服務(wù)器產(chǎn)生故障著火導(dǎo)致磁帶融化。其實這個問題的本身不是磁帶存儲,而是沒有將備份磁帶放置在安全的地方。因此,至少一份備份副本應(yīng)與需要備份的內(nèi)容存儲在不同的物理位置。
采用空隙方法
空隙是一種保護數(shù)據(jù)副本的方法,它將數(shù)據(jù)副本存儲在其他服務(wù)器上,而這個數(shù)據(jù)副本在物理上與其主數(shù)據(jù)副本是分開的。從字面上講,這意味著主服務(wù)器和備用服務(wù)器之間存在空隙。這種空隙不僅可以完成簡單的災(zāi)難恢復(fù),還能完成更多工作,這對于防止黑客攻擊非常有用。
如果所有數(shù)據(jù)副本都能通過受到網(wǎng)絡(luò)攻擊的同一臺服務(wù)器訪問,則黑客可能會使用感染的服務(wù)器來攻擊企業(yè)的備份服務(wù)器。企業(yè)可以通過空隙將輔助數(shù)據(jù)副本與主數(shù)據(jù)副本進行物理分離,黑客很難做到這一點,并不是不可能,只是更難。
很多企業(yè)都希望采用空隙這種方法。現(xiàn)在討論的是如何在不使用磁帶存儲的情況下采用空隙。在磁帶備份數(shù)據(jù)的時代,采用空隙方法很容易。在企業(yè)產(chǎn)生了數(shù)據(jù)副本之后,可以將這些磁帶運送到另一個設(shè)施。這樣,企業(yè)的主數(shù)據(jù)副本和輔助數(shù)據(jù)副本之間就出現(xiàn)了空隙,黑客幾乎不可能同時攻擊企業(yè)的主數(shù)據(jù)副本和輔助數(shù)據(jù)副本。
但并不是說黑客進行這樣的攻擊是不可能的,只是變得更加困難。為了能夠攻擊企業(yè)的數(shù)據(jù)副本,黑客需要通過社交工程手段進行物理攻擊。人們可能會認為,存儲在異地存儲設(shè)施中的磁帶不會受到通過社交工程進行物理攻擊的侵害,但事實并非如此。專家表示曾參與對異地存儲設(shè)施的白帽攻擊,并成功地侵入了存儲設(shè)施。大多數(shù)黑客不會采用物理攻擊,因為風(fēng)險太大,因此空隙備份方法顯著降低了備份數(shù)據(jù)受到危害的風(fēng)險。
3-2-1規(guī)則的錯誤實現(xiàn)
現(xiàn)在對于備份系統(tǒng)而言,很多甚至都沒有通過3-2-1規(guī)則的寬松解釋。一個完美的例子就是各種基于云計算的服務(wù),這些服務(wù)將備份存儲在它們所保護的同一服務(wù)器和同一存儲設(shè)施上,而忽略了這一重要規(guī)則中的“2”和“1”。
例如,公共云供應(yīng)商的客戶通過創(chuàng)建他們正在使用的資源的快照/映像來備份其系統(tǒng),這非常普遍。映像通常存儲在運行主系統(tǒng)的同一帳戶中的對象存儲中。如果黑客獲得特權(quán)訪問,他們可以輕松刪除數(shù)據(jù)的主數(shù)據(jù)副本和輔助數(shù)據(jù)副本。3-2-1規(guī)則仍適用于云計算,將輔助數(shù)據(jù)副本保存在其他位置,例如在其他帳戶中或者不同的可用性區(qū)域。
使用數(shù)百個SaaS服務(wù)的許多企業(yè)也忽略了3-2-1規(guī)則。例如,考慮Kubernetes的出現(xiàn)以及許多企業(yè)將其Kubernetes配置存儲在GitHub中這一現(xiàn)實,很多企業(yè)的主數(shù)據(jù)副本存儲在可能沒有備份的系統(tǒng)中。考慮其他服務(wù),例如電子郵件提供商或文件共享服務(wù),其中甚至數(shù)據(jù)的主數(shù)據(jù)副本也只存儲在第三方供應(yīng)商的平臺中。這些服務(wù)中的許多備份只是位于同一位置的輔助數(shù)據(jù)副本。企業(yè)需要詢問其供應(yīng)商,如果其帳戶遭到第三方攻擊,供應(yīng)商將如何幫助他們進行恢復(fù)。
如何擁有空隙?
理想主義者會說,擁有真正空隙的唯一方法是將數(shù)據(jù)副本存儲在可移動介質(zhì)(例如磁帶)上,然后從物理方面與主存儲介質(zhì)分離。其他人承認,許多公司已經(jīng)將磁帶作為一種保護機制,并且如果完全使用磁帶,則只能將其用于長期存儲。問題是如何確保黑客無法訪問主數(shù)據(jù)副本和輔助數(shù)據(jù)副本。
當前最好的答案是以盡可能多的方式將這兩種數(shù)據(jù)副本分開。企業(yè)需要盡可能地執(zhí)行以下操作:
- 不同的存儲–使用與主存儲不同的存儲類型。專為某個目標設(shè)計的網(wǎng)絡(luò)攻擊可能不會對另一目標起作用。
- 不同的環(huán)境-使用無法通過局域網(wǎng)直接訪問的備份系統(tǒng)。這是防止內(nèi)部部署服務(wù)器上的漏洞攻擊備份系統(tǒng)的另一種方法。
- 不同的操作系統(tǒng)–使用在Windows以外的其他操作系統(tǒng)上運行的備份服務(wù)器或服務(wù)可能會有很大的幫助。大多數(shù)勒索軟件攻擊都是針對Windows操作系統(tǒng)的。
- 不同的帳戶–盡可能在備份和災(zāi)難恢復(fù)系統(tǒng)中使用完全不同的憑據(jù)。這樣一來,即使帳戶遭到入侵,則憑據(jù)也無法用于攻擊企業(yè)的備份。
- 不可變的存儲–一些云計算供應(yīng)商提供不可變的存儲,在此處指定的時間之前,無法更改或刪除在那里發(fā)送的備份數(shù)據(jù),即使是企業(yè)自己也無法刪除它們。
3-2-1規(guī)則是一個很好的規(guī)則,長期以來一直很好地服務(wù)于數(shù)據(jù)保護領(lǐng)域。企業(yè)需要了解其遵守規(guī)則的程度,這可能會節(jié)省其大量的時間和成本。
