關(guān)于災(zāi)備與恢復(fù) 需要回答好這八個問題

nana
如果已經(jīng)遭遇安全事件,就得回顧并做溯源分析,弄清楚到底哪個時間點上的備份是干凈的。因為如果恢復(fù)一個已感染的備份,只會重新感染整個環(huán)境。

正逢災(zāi)難、DDoS或勒索軟件攻擊的時候,以下問題是您最該問的:我們什么時候能恢復(fù)?我們的備份有多好?這些問題要是回答不好,那感覺就像倒地之后再被踢了幾腳一樣。

 

良好的備份是業(yè)務(wù)連續(xù)性的基礎(chǔ),但如何知道自己的備份是個好備份呢?您怎么知道自己的備份在需要的時候是可用的?我們不妨從找到以下八個問題的答案開始。

 

1.我為什么要備份?

 

出于存檔目的的備份和出于恢復(fù)目的的備份是不一樣的。如果您想要長期的記錄存儲,那您需要的解決方案就不是從攻擊、中斷、崩潰或災(zāi)難迅速恢復(fù)業(yè)務(wù)運營的那種。

 

即使您的備份旨在幫助從整個系統(tǒng)故障中恢復(fù),那也未必意味著每一個IT資產(chǎn)都需要備份到最后一納秒。

 

備份什么,備份到何種程度,最終歸結(jié)于商業(yè)價值和需求、與恢復(fù)時間和恢復(fù)點目標的一致性、數(shù)據(jù)可用性的商業(yè)價值和商業(yè)預(yù)期,以及公司的監(jiān)管義務(wù)和要求。

 

2.您的RPO和RTO是什么?

 

專家建議,在備份資產(chǎn)前,先確定這些資產(chǎn)的“恢復(fù)點目標”(RPO)和“恢復(fù)時間目標”(RTO)。

 

RPO是能承受的最大數(shù)據(jù)損失量:您的業(yè)務(wù)能否在過去一周的數(shù)據(jù)全都損失的情況下完好無損?或者,僅僅損失了過去一小時的數(shù)據(jù),業(yè)務(wù)就完全崩潰?RTO是可承受的最長恢復(fù)時間?;蛟S,一整天不能訪問您的數(shù)據(jù)或應(yīng)用,您就將遭受處罰;又或許,該應(yīng)用只要宕機十分鐘,就會發(fā)生重大災(zāi)難。

 

以股交所交易數(shù)據(jù)為例。這些數(shù)據(jù)很重要,但瞬息萬變,分分鐘就無效。此類數(shù)據(jù)的RPO和RTO要求一旦遭遇中斷,要能立即恢復(fù),不損失任何交易。確定了這些參數(shù),就可以尋找能滿足要求的解決方案了。

 

3.我用的解決方案合適嗎?

 

對企業(yè)而言,每周定時全盤備份,加上捕獲前一天所有變更的每天增量備份,可能就很好了。但若不能承受一時疏忽,那就很有必要設(shè)置持續(xù)或?qū)崟r備份解決方案了。

 

舉個例子,如果在假日購物季高峰期無法收款就經(jīng)營不長久的在線零售商。對該零售商而言,持續(xù)的云端備份解決方案是比較合適的,這種方案有時也稱為災(zāi)難恢復(fù)即服務(wù)(DRaaS)解決方案,可以恢復(fù)應(yīng)用、文件和數(shù)據(jù)庫。

 

如果想精準恢復(fù)單個文件和單個功能,那文件級恢復(fù)比全盤恢復(fù)更高效。但這種方法耗時更長,消耗的處理能力更多,理論上也需要更多存儲空間,所以會增加存儲成本。磁盤卷級假定要做的是整個數(shù)據(jù)庫恢復(fù),而文件級可能只是恢復(fù)個用戶環(huán)境。

 

4.我能恢復(fù)到已知良好狀態(tài)嗎?

 

有些備份解決方案會復(fù)制當前數(shù)據(jù)鏡像,但不會存儲用戶環(huán)境早前的版本。這種方案的缺點在于,面對勒索軟件等惡意軟件的彈性不足。

 

建議考慮可恢復(fù)多個版本的備份解決方案,這樣用戶就能從無惡意軟件的“已知良好”版本恢復(fù),而不是從可能完全一樣的鏡像恢復(fù)。

 

5.我的備份離得夠遠嗎?

 

標準3-2-1規(guī)則依然有效(三個副本,在兩種介質(zhì)上,其中一個副本異地存放)。災(zāi)難恢復(fù)場景中,你會想要一組備份存儲在主數(shù)據(jù)集存儲位置以外的地方。確保自身和備份供應(yīng)商不在同一個疏散區(qū)。

 

6.我的備份安全嗎?

 

備份自身當然也有可能成為盜竊或網(wǎng)絡(luò)攻擊的目標——罪犯試圖抽取數(shù)據(jù)或勒索軟件攻擊者迫使受害者支付贖金。于是,您能保證自己的備份都安全嗎?

 

在實體安全的地方存儲備份磁帶或硬盤。運用備份供應(yīng)商提供的任何安全服務(wù)。比如說,Arcserve最近就與Sophos合作在Arcserve備份設(shè)備上提供安全防護。

 

只要加密了數(shù)據(jù),那數(shù)據(jù)被放哪兒都沒關(guān)系。先加密再妥善保管密鑰,就可以用更省錢的存儲方式。

 

必須警惕密鑰和數(shù)據(jù)同存一地的行為。(如果備份位置遭入侵,您不想要連同密鑰也一并被盜的話。)所以,盡管某些備份供應(yīng)商會為您管理密鑰,最好還是自己代管密鑰副本。而且,要保證密鑰存放在自己在緊急情況時能拿到的地方。

 

有些備份供應(yīng)商會為客戶管理密鑰,有些會讓客戶自己管理,如果客戶自己遺失了密鑰,那就真是十分糟糕了。

 

因為對手可通過清除密鑰中斷整個公司運營,所以給密鑰找個本地代管很有必要。

 

7.我能在需要的時候找回備份嗎?

 

很多人都會忘記的一件事是,如何保證備份存儲期間的完整性?比如說,如果備份存在磁帶上,如果磁帶損壞或不再可讀怎么辦?

 

一個常見的重大失誤就是,不做恢復(fù)測試。測試備份,卻不在真的需要恢復(fù)之前做恢復(fù)測試。這很不穩(wěn)妥。最好時不時恢復(fù)些東西,以確保您可以在需要的時候恢復(fù)。

 

8.我需要備份!備份會讓事情變得更糟嗎?

 

如果已經(jīng)遭遇安全事件,就得回顧并做溯源分析,弄清楚到底哪個時間點上的備份是干凈的。因為如果恢復(fù)一個已感染的備份,只會重新感染整個環(huán)境。

 

最好恢復(fù)到隔離環(huán)境中,然后先檢測惡意行為。

 

希望永遠不需要在遭遇災(zāi)難性惡意軟件感染后用到備份。但如果真的需要用到備份,請小心謹慎。

THEEND

最新評論(評論僅代表用戶觀點)

更多
暫無評論