什么是不可变备份？最佳解决方案与实践

数据对于组织和企业来说就像血液一样重要。然而，随着数据变得越来越有价值，针对数据的威胁也变得越来越复杂。传统的备份策略已经不再足够。

根据最近的行业报告，近89%的勒索软件攻击现在专门针对备份存储库。网络犯罪分子知道，如果他们能先破坏或加密你的备份，你就失去了谈判筹码，并且更有可能支付赎金。

这就是不可变备份发挥作用的地方。它帮助组织保证其数据在任何攻击下都保持不变且可恢复。

什么是不可变备份？

简而言之，不可变备份是在特定时间段内无法被修改、删除或覆盖的数据副本。与可以更改的传统备份不同，不可变数据是”防篡改的”。因此，即使攻击者获得了管理员访问权限，你的历史记录仍然完好无损。

核心技术：WORM（一次写入，多次读取）

大多数不可变备份解决方案背后的引擎是WORM技术。WORM代表”一次写入，多次读取”。当数据写入具有WORM属性的存储介质时，硬件或软件会阻止对这些特定数据块进行任何进一步的更改。你可以根据需要多次读取数据以进行恢复或审计，但在保留期到期之前，”写入”或”删除”功能在物理或逻辑上被禁用。

逻辑锁与物理锁

通常，你可以通过逻辑方式或物理方式来创建数据备份的不可变性。

• 逻辑锁（云和软件）：这些常见于基于云的不可变备份（如AWS S3对象锁）或加固的软件存储库中。不可变性由API策略和软件代码强制执行。虽然高度灵活和可扩展，但它们依赖于软件安全层的完整性。
• 物理锁（离线和磁带）：这是传统的不可变方法。通过使用将”标签”移动到写保护位置的物理磁带介质，或使用特定支持WORM的光盘，数据在物理上受到保护，免受电子篡改。由于这些数据通常离线存储（与网络断开连接），它们提供了基于软件的攻击无法跨越的物理屏障。

不可变存储如何工作？

从本质上讲，不可变备份解决方案创建了一个”数字保险库”，数据在其中被冻结在时间中。这是通过策略驱动的锁定、严格的访问模式和持续完整性检查的结合来实现的。

时间锁定和保留策略

不可变性的基础是保留策略。当创建备份作业时，会为数据分配一个特定的”锁定期”（例如30、60或90天）。数据写入存储后，系统会应用一个时间戳锁。在此窗口期内，任何”删除”或”编辑”文件的命令都会被存储层自动拒绝。

时钟是绝对的；即使有人试图更改系统时间，高级不可变解决方案也会使用独立的硬件时钟或网络时间协议来确保数据在策略到期的那一秒之前一直受到保护。

合规模式与企业模式

大多数专业的不可变备份解决方案提供两个不同级别的保护，以平衡安全性与操作灵活性：

• 合规模式：这是最严格的级别。在合规模式下，任何人都不能缩短或绕过不可变锁——包括根管理员或服务提供商。此模式旨在满足严格的法律法规（如美国证券交易委员会规则17a-4），确保无论内部或外部压力如何，数据都能被保留。
• 企业模式：这提供了一个”治理”层。虽然它阻止普通用户和黑客删除数据，但它可能允许具有”双钥”或”安全官”授权的特定用户在极端情况下修改策略。它既能防范勒索软件和意外删除，又能为存储管理提供一个安全阀。

数据验证和校验和

为了确保数据备份的安全性，系统需要防止静默数据损坏，也称为”位衰减”。这是通过校验和与哈希来处理的。

当数据首次写入时，系统会为该文件生成一个唯一的加密签名（哈希）。定期地，备份软件会执行”后台清理”，重新计算哈希值并将其与原始哈希值进行比较。

如果哈希值匹配，则数据被验证为100%完整。由于存储是不可变的，如果校验和失败，系统就知道硬件可能出现故障，并可以立即提醒管理员从冗余副本中恢复文件。

为什么不可变备份对现代企业至关重要？

在数据是公司最宝贵资产的时代，不可变备份对于确保业务连续性、法律合规性和运营弹性来说已是必需的。以下是不可变性对你的企业至关重要的主要原因：

1. 终极勒索软件防御

传统备份往往是勒索软件攻击者的首要目标。如果攻击者可以删除或加密你的备份，你的组织将被迫支付赎金或失去一切。

不可变备份在存储层面被锁定；即使攻击者完全控制了你的网络，他们也无法摧毁你恢复的能力。这有效地消除了攻击者的筹码。

2. 满足严格的合规和监管要求

许多行业，特别是金融、医疗保健和政府，都受到严格的数据保留法律的约束。诸如通用数据保护条例、健康保险流通与责任法案、金融业监管局和刑事司法信息系统等法规通常要求组织将不可更改的记录保存数年。

• 金融服务：必须确保交易记录完全按照发生时的原样保留。
• 医疗保健：必须保护患者记录免受任何形式的篡改，以确保患者安全和隐私。使用不可变备份策略提供了一个自动化的审计跟踪，向监管机构证明你的数据一直保持不变且真实可信。

3. 防范内部威胁和人为错误

并非所有的数据丢失都来自外部黑客。心怀不满、拥有高访问权限的员工可能会故意删除备份存储库，从而破坏公司运营。

更常见的是，IT人员在维护期间可能意外删除关键的备份卷。备份不可变性能抵御这些内部风险。一旦数据被锁定，在保留期到期之前，无论访问级别如何，任何人都无法删除它。

4. 确保数据完整性和保存

除了安全性，它还关乎数据完整性。在法律纠纷或历史审计中，企业必须能够证明他们呈现的数据是原始的、未篡改的版本。它保存了企业在特定时间点的状态。

这确保了你执行恢复时，拿回的数据与你当初放入的完全相同，没有”静默损坏”或未经授权的更改。

最佳不可变备份解决方案

选择正确的不可变备份解决方案取决于你组织的基础设施、预算和恢复目标。无论你是在寻找云优先的方法、本地硬件还是专业软件，都有几种行业领先的解决方案旨在保护你的数据免受篡改。

1. 公有云解决方案：可扩展且由API驱动

领先的公有云提供商提供了强大的、基于策略的不可变功能，可无缝集成到现代备份工作流中。

• AWS S3对象锁：这可能是最著名的基于云的不可变功能。它使用WORM技术防止对象被删除或覆盖。你可以设置”治理”或”合规”模式的保留期，以确保数据在云中保持不变。
• Azure不可变存储：微软Azure为Blob存储提供了类似的保护。通过创建”不可变策略”，企业可以确保云中的关键任务数据不能被用户甚至Azure帐户管理员修改或删除。

2. 硬件和NAS解决方案：本地控制

对于希望将数据物理副本保留在本地以实现更快恢复的组织，基于硬件的解决方案是可行之路。

• 不可变备份 Synology：Synology通过其”不可变快照”和”一次写入”文件夹已成为中型企业的首选。通过利用Btrfs文件系统，不可变备份Synology解决方案允许用户创建锁定特定时长的快照。即使勒索软件攻击者获得了NAS的管理员访问权限，他们也无法删除这些受保护的快照，从而提供了可靠的本地恢复点。

3. 使备份不可变的最简单方法 – i2Backup

英方软件提供了一个强大的、不可变的备份解决方案 – i2Backup。它简化了操作。用户可以轻松地集中备份所有关键工作负载和数据，并使备份不可变，以防止恶意更改或删除。

作为企业级备份解决方案，i2Backup具有许多强大的功能来保证数据安全和业务连续性。

• 广泛的兼容性：i2Backup支持备份不同平台上的大多数数据，包括虚拟机（VMware、Hyper-V、OpenStack等）、物理服务器（Windows、Linux、NAS等）、大数据和数据库（MySQL、SQL Server、MongoDB等）
• 基于角色的控制：通过严格的权限管理，只有授权用户才能访问备份数据，防止未经授权的访问和潜在的数据泄露。
• 完整性验证：在备份和恢复过程中，i2Backup执行数据完整性检查，以确保备份数据的一致性和准确性，避免因数据损坏而导致的恢复失败。
• 多副本：i2Backup支持将数据备份到多个位置，如本地存储、远程服务器或云存储。这提高了数据的可用性和安全性，确保即使一个备份点失败，也可以从其他备份点恢复数据。
• 日志记录和审计：所有操作都会被详细记录，便于跟踪和审计。这有助于及时发现和应对潜在的安全威胁。
• 加密：i2Backup支持AES-256加密，防止数据被拦截或篡改。
• 备份到磁带：你可以使用i2Backup将关键数据备份到磁带，以实现物理锁定和长期保存。并且它可以直接从磁带恢复备份。

不可变备份最佳实践

如果你正在考虑构建一个既实用又具有成本效益的稳健备份不可变性策略，可以参考以下最佳实践。要真正保护你的组织，你必须将不可变性整合到更广泛的战略框架中。

1. 遵循3-2-1-1备份规则

经典的3-2-1规则（3份数据副本、2种不同介质、1份异地副本）几十年来一直是行业标准。然而，复杂勒索软件的兴起催生了3-2-1-1规则：

• 3份你的数据副本。
• 2种不同类型的存储介质。
• 1份副本存储在异地。
• 1份严格不可变的副本。通过添加最后那个”1″，你确保即使你的主备份和次备份被破坏，你也有一个锁定的、不可篡改的版本准备恢复。

2. 强制执行多因素认证

虽然备份文件本身是锁定的，但具有管理控制台最高访问权限的攻击者可能会更改未来的策略或禁用新备份的不可变功能。因此，请在整个备份基础设施上强制执行多因素认证。仅凭一个被泄露的密码不足以攻破你的防御系统。

3. 优化你的锁定周期

设置正确的”锁定期”或保留窗口是一种平衡行为。

• 威胁窗口：大多数勒索软件有一个”驻留时间”（它在激活之前停留在你系统中的时间）。你的不可变期应该足够长以覆盖这个周期——通常至少14到30天。
• 存储成本：由于不可变数据不能被删除以释放空间，设置太长的锁定周期（例如，对所有数据7年）可能导致存储成本飙升。最佳实践：对你的数据进行分层管理。对关键任务数据库使用长期不可变性，对不太重要的文件使用较短的窗口。

4. 执行定期恢复演练

只有在危机期间你能实际从中恢复时，不可变备份解决方案才有价值。不可变性有时会给恢复工作流带来复杂性。例如，如果软件需要特定的解密密钥或隔离环境来挂载”锁定”的数据。请进行季度恢复演练，以确保：

• 数据完好无损，没有遭受静默损坏。
• 你的团队知道从不可变存储库恢复的具体步骤。
• 你的恢复时间目标在模拟压力下能够得到满足。

关于备份不可变性的常见问题

以下是关于不可变备份最常见问题的答案：

问1：不可变备份和普通备份有什么区别？

答：主要区别在于数据的”可变性”。

• 普通备份：这是一个可变的副本。它可以被修改、被勒索软件加密、或被管理员删除以释放空间。虽然灵活，但它极易受到网络攻击。
• 不可变备份：它使用WORM技术确保数据在规定时间段内在任何情况下都不能被更改或删除。即使黑客获得了系统的”根”或”管理员”访问权限，数据仍然受到保护且完好无损。

问2：不可变备份和离线备份有什么区别？

答：虽然两者都用于勒索软件防护，但它们针对不同的安全层面：

• 离线备份：指的是连接性。备份在物理上或逻辑上与网络断开连接（如保险柜中的磁带或没有活动路径的云存储库）。如果网络被黑，攻击者无法接触到离线副本。
• 不可变备份：指的是数据的状态。它可以保持在线并通过网络访问，但被”锁定”以防止更改。

最佳实践：最安全的环境两者都用——一个同时也是离线的不可变副本（即3-2-1-1规则中的”1-1″）。

问3：不可变备份会占用更多存储空间吗？

答：从技术上讲，不可变备份文件与普通备份大小相同。然而，随着时间的推移，它可能会增加你的总体存储消耗。由于在锁定期到期之前你不能删除或清理旧备份，你最终可能会比传统的轮转备份计划持有数据更长时间。

问4：如果我确实需要提前删除数据怎么办？

答：答案通常是不行。在备份变得可变之前，你不能直接删除不可变备份。系统的设计使得即使是服务提供商或最高级别的管理员也无法绕过锁定。这正是它成为如此强大的防御机制的原因。

如果你使用i2Backup创建备份并使其不可变。你可以将保留期改为很短的时间，例如一分钟。然后就可以删除备份了。

结论

不可变备份已成为网络安全的必要策略。通过确保你的数据不能被修改或删除，你可以有效地防御勒索软件以及删除或更改重要数据备份的攻击。