無論你是在何處托管的數據（公有云、私有數據中心還是本地），很多對抗勒索軟件的策略（例如定期備份）都是相同的。

然而，運營數據中心的企業可以部署一些特殊的措施，以降低成為勒索軟件攻擊受害者的風險。當你控制了基礎設施和托管設施的各個方面時，就可以采取一些措施來降低勒索軟件威脅，而這在其他方面是不可能的。

為此，本文介紹了降低數據中心勒索軟件風險的一些可行策略。

基本的勒索軟件緩解策略

在深入研究適用于數據中心的反勒索軟件策略之前，我們先討論一下在任何類型環境中防止勒索軟件的通用技巧。標準最佳實踐包括：

• 備份數據：如果你定期備份數據，就可以在勒索軟件攻擊后從備份中進行恢復，而無需支付贖金。
• 監控威脅：持續的監控可以幫助你檢測出是否存在勒索軟件攻擊者用來加密數據的惡意軟件，從而在某些情況下在信息被勒索之前就能阻止攻擊。
• 教育用戶：對員工、客戶、承包商和其他利益相關者進行有關勒索軟件和相關風險的教育，可以降低有人陷入詐騙事件的幾率。
• 最大限度地減少暴露：關閉不必要的網絡端口、遵循最小特權原則、關閉無關工作負載等做法，會讓威脅行為者更難實施勒索軟件攻擊。

同樣地，你可以在任何地方執行這些操作，而不僅僅是在私有數據中心托管環境中。

阻止數據中心的勒索軟件

但是，當你運營著自己的數據中心（或使用托管設施）以托管工作負載的時候，可以采取其他措施來防范勒索軟件，而這些措施在大多數其他環境中是具有挑戰性或者不可能采取的。

氣隙系統

首先，你可以隔離數據和工作負載。氣隙，意味著完全斷開資源與互聯網的連接，完全防止任何網絡攻擊。這在勒索軟件保護的背景下尤其是有價值的，因為這意味著你幾乎可以保證數據備份不會被攻擊者訪問，攻擊者有時會試圖破壞備份，讓受害者在不支付贖金的情況下無法恢復數據。

在公有云中通常不太可能運用氣隙方法，因為公有云是不能斷開網絡的。你能做的最好的事情，就是將其放置在不直接暴露于互聯網的專用網絡上，但仍可能暴露給已經存在于環境中的攻擊者。如果使用私有數據中心的話，你就可以完全控制基礎設施，并且如果你愿意，就可以從物理上斷開數據與網絡的連接。

異地備份

私有數據中心還可以更輕松地維護異地備份，這意味著備份數據是保存在一個與托管生產工作負載的物理位置相互分開的物理位置上。異地備份提供了針對勒索軟件的另一道防線，確保你即使是在整個數據中心設施在攻擊中受到損害的情況下，也擁有一組可以恢復的安全信息。

雖然可以通過將備份數據下載到你選擇的位置以便從公有云中創建異地備份，但你必須依靠網絡來移動數據，如果有大量數據要移動，這可能需要很長時間。而通過你自己的數據中心，就可以將數據直接復制到存儲介質，然后將介質移動到你選擇的位置上。

數字孿生

在數據中心環境中，數字孿生是IT環境的一種完整復制。數字孿生提供了一個環境，讓組織可以切換到這個環境中來防范勒索軟件風險，以便在主要環境中因為勒索軟件攻擊而受到損害時保持連續性。

如果你愿意的話，可以在公有云中維護數字孿生，但這樣做往往成本更高且更加復雜，因為它實際上會讓你支付的云資源量增加一倍。你還必須實施一項計劃將云環境切換到備份環境，由于涉及許多變量（例如網絡規則和IAM策略），這個計劃可能是很復雜的。

在一個數據中心內，你可以更經濟高效地維護數字孿生，例如，使用舊硬件來托管數字孿生環境。你也無需擔心在勒索軟件攻擊后調整配置（例如IAM規則）以將請求重定向到備份環境。

物理安全

由惡意的內部人員（例如員工）發起的勒索軟件攻擊所帶來的風險越來越大。在這方面，私有數據中心的優勢在于讓組織能夠更好地控制物理安全，幫助他們以精細的方式管理誰可以訪問內部基礎設施和數據。

公有云中的物理安全控制措施也非常出色，但不同的是，如果使用公有云，你就必須把物理安全委托給第三方，而第三方無法保證設施中不存在惡意內部人員。在你自己的數據中心中，你完全有能力管理對設施的訪問權，以及監控各項活動，作為檢測勒索軟件風險和其他威脅的一種手段。

結論

如果你得出數據中心本質上不易遭受勒索軟件攻擊的結論，那么這是錯誤的。與任何環境一樣，數據中心也可能而且經常受到勒索軟件的攻擊。然而，數據中心運營商可以采用那些在其他類型環境中可能并不實用的、針對勒索軟件的預防措施，從而讓使用數據中心托管工作負載的企業在打擊勒索軟件方面取得優勢。