攻克云端的安全性挑战
云原生功能貌似可以保护企业数据和系统,但实际上还不足够强大,无法完全抵御当下威胁。因此,IT 团队,尤其是使用云技术的 IT 团队,应意识到 仅靠标配的云原生安全工具不可能真正实现业务和运营韧性。但是,他们可以考虑采用支持云技术的多层网络安全策略,全面保护数据,维持业务韧性 和团队掌控力。云端数据安全最佳实践可保证业务正常运行时间高达 99.999%。Veritas 建议您的云团队立即实施以下 10 大最佳实践:
云端数据安全最佳实践
了解责任共担模式,知晓您在云端的责任 不同服务提供商会制定不同的责任共担安全模式,且使用的 IaaS 或 PaaS 也有所区别。明确在该模式下您需承担哪些责任,可确保系统的安全 防御范围没有差错,而模棱两可的责任划分只会让云系统的某些区域陷入无人看管的境地,在外部威胁面前暴露无遗。
在整个 IT 生态系统内实现基础架构和数据的完全可见性 为保证数据安全、合规、保护到位且具有韧性,洞察一切的完全可见性必不可少。您不应允许暗数据的存在。当然,环境中难免存在安全监管不到位的 角落,这就给网络犯罪分子留下了可乘之机。他们不遗余力地寻找环境中最薄弱的位置,因为他们知道,IT 团队要准确掌握全部应用程序和数据并非 易事。因此照亮环境中的所有暗数据,洞察所有数据和数据源的位置,可确保一切尽在掌控中。
评估内置和云原生数据安全工具 企业应向公有云提供商详细了解有关数据安全策略和流程的各个方面,并对具体的实施步骤进行仔细审查。毫无疑问,市场上领先的供应商都制定 有相应的安全措施,但它们采用的方法和流程大相径庭。您了解数据的访问和存储方式吗?您了解提供商的灾难恢复计划吗?他们有应对安全事件的 协议吗?一旦出现数据泄露,他们可提供何种级别的技术援助?企业内部谁有权访问云端数据,服务器又分布在何处?如果上述问题的回答不清晰或 不令人满意,您最好选择更为可靠的提供商。
保持零信任姿态 事实证明,在全公司范围内采用零信任原则有助于降低遭受毁灭性攻击的风险。就算发生安全事件,多层安全防御措施也可最大限度地降低影响, 减少攻击面(通常称为“爆炸半径”)。例如,网络犯罪分子入侵您的系统后,通常会在系统内游走,搜索关键业务数据、机密信息和系统备份。这该 怎么办呢?您可以对用户、工具和机器执行多重身份验证,并依角色授予访问权限,以增强身份和访问管理 (IAM),限制他人对敏感数据和备份的 访问。另外,应仅允许有权限的用户访问数据,并加强密码保护。总之,您可借助构建在零信任原则基础上的强大身份验证和访问管理、权限控制, 系统强化和硬件安全等措施,阻止犯罪分子对受保护区域的访问。
5、存储中和传输中的数据加密 站在加密角度理解并管理您所承担的那部分数据保护责任,是所有云端安全战略必不可少的组成部分。您要确保云存储提供商对传输中数据进行了 加密设置;而 Veritas 是市场上领先的存储提供商,可通过对存储中的数据加密,优化数据保护。如果网络犯罪分子截获了您的数据,加密技术也可 确保数据无法被破解。
6. 防篡改存储与通过气隙隔离实现网络隔离 保护数据抵御勒索软件攻击的最佳方式之一是:采用内置合规性时钟的防篡改、不可擦除存储,并搭建一个隔离恢复环境 (IRE)。防篡改、不可擦除的 存储可确保数据在指定时段内无法被更改、加密或删除,以防止数据遭篡改和未经授权的访问。隔离恢复环境和气隙隔离解决方案可从逻辑或 物理层面阻隔数据传输,有助于将数据与环境中的其他区域分隔开来。
7. 采用异常活动检测和恶意软件扫描 使用工具来检测和监控异常行为,可避免针对数据和用户的恶意活动。本质上最重要的是要实现自动化,在生态系统内发生异常情况时及时自动 发出警报。如果有可疑的文件写入活动,这可能表示某种入侵;也可能表示检测到已知的勒索软件文件扩展名、文件访问模式、传输路径,甚至是 与常规模式不同的异常跳转。这时,检测工具可自动立即发出警报,以便企业快速采取措施,缓解风险。不仅如此,这些工具还可定期主动搜寻网络 威胁。
8. 通过恢复和定期演练优化环境 最佳防御措施之一是确保始终有可用的恢复选项,既可在几分钟内完成灵活、快速、混合的恢复,也可以实现大规模恢复。因此,可用选项越丰富, 恢复功能就越强大。例如,针对辅助数据中心的备用站点恢复选项,和按需在云端恢复全新的数据中心。您也别忘记尽早及经常进行恢复演练, 毕竟实践出真知。
9. 了解重复数据的情况,准确掌握数据足迹 企业应采取措施尽量减少委托给云服务提供商的数据。首先,企业需要重新定义业务活动,仅收集所需的数据。其次是了解数据是否重复,以及 重复数据的存在位置。最后,通过优化环境,实现可持续发展目标。云端存储数据需要消耗能源,对某些云提供商来说,这些能源主要来自于燃烧 矿物燃料。一些业界领先提供商(例如 Google Cloud 等)利用太阳能和其他可再生能源为云数据中心馈送能源。无论如何,存储冗余、过时或琐碎 (ROT) 的数据是一种对环境不负责任的做法,不仅成本高昂,而且会限制性能。企业应选择能够提供可见性的解决方案,利用数据去重引擎优化数据 存储和云端资源消耗。
10. 员工培训和赋能 安全生产包括员工安全培训和员工赋能,推动他们在企业安全实践中发挥积极作用。在如今危机四伏的网络环境中,务必要确保您的软件和工具始终 处于最新状态,确保员工使用的工具能够定期更新和升级。当然,还要通过持续的培训将最新安全知识普及给团队员工,向其介绍最佳安全做法和 安全协议,以及网络攻击通常会选择的入侵途径。现在的网络钓鱼和社会工程学诈骗越来越高明,甚至能够骗过经验丰富的安全专家。企业应重视 员工培训,指导他们识别各种形式的攻击,设置复杂密码,安全地浏览网页,使用双重身份验证和安全的 VPN,不使用公共 WiFi 访问企业内网。此外,还应确保所有员工知晓误入陷阱时应如何处置以及向谁汇报。
我们通过以下方式帮助您掌控云端环境,在责任共担模式下守护您的安全:
• 降低风险:保护所有数据,无论数据位于边缘、核心还是云端。增添了多种安全防御措施,如系统强化和防篡改功能,大力保护数据, 减少攻击面。Veritas 还为您提供智能、自动化、可编排、零中断和经济高效的恢复演练功能,赋予您自由灵活的多种恢复选择。合规是一切的 前提。
• 消除不确定性:借助全面可见性、智能异常检测和恶意软件扫描,消除不确定性。您可从容掌握所有数据的位置,同时降低运行复杂性,优化 成本管理。
• 维持掌控:Veritas 可让您轻松掌控多云环境,保证应用程序高性能、高可用性和数据跨云轻松移动。
降低风险
云带来了无以伦比的便捷性、高可用性和高性能,但并非毫无风险。降低风险的第一步是确保您最重要的资产——数据和 IT 基础架构,得到全面保护, 可以抵御未知的风险来源。
保护 Veritas---从以下六大方面保护所有来源的数据,确保数据完整性:
身份和访问管理
• 基于角色的访问:您可根据不同角色身份,定制粒度级访问控制权限,指定可访问数据的人员以及他们可以执行的操作。
• 单一登录:支持 Active Directory、LDAP 以及 SAML 2.0。企业可通过身份验证提供商执行双重身份验证。
• 可定制的身份验证:NetBackup Flex Appliance 一体机可对身份验证强度进行配置。
数据加密
传输中数据加密:数据将发送至经验证的环境,并在传输中加以保护。该解决方案利用 Veritas 或客户提供的 TLS 1.2 证书,采用 2048 位 密钥确保数据以加密状态进行传输。
存储中数据加密:如果存储中数据被黑客获取,实施加密可保护其免于被利用。您可选择 Veritas 提供的 AES 256 位、FIPS 140-2 加密 技术,也可通过密钥管理可互操作性协议 (KMIP) 采用自己偏好的密钥管理方式。
防篡改/不可擦除的存储
支持多种灵活存储选项,除了防篡改/不可擦除存储,还有 BYO、一体机、云和软件即服务 (SaaS),增添多重安全保护。不可篡改性可确保 数据安全且合规,而无论数据位于何处。
• OpenStorage Technology (OST) API 支持您通过 Veritas 或第三方解决方案管理不可篡改的备份映像。
• 支持主站点和辅助站点复制(删除重复数据)以及跨域复制(借助 AIR),您可在任意备份存储层上自由进行配置。
• 采用支持 Amazon Web Services (AWS) S3 Object Lock 的防篡改云存储,确保云端数据安全,不会遭到感染。如要了解 NetBackup 云端 防篡改存储的更多信息。
• NetBackup Flex Appliance 支持部署防篡改/不可擦除存储。
• 映像存储在一次写入、多次读取 (WORM) 存储系统中 ν 包含 WORM 存储服务器在内的 NetBackup Flex Appliance 一体机是一款安全、基于容器且支持多播源发现协议 (MSDP) 的解决方案。NetBackup Flex Appliance 一体机提供“企业”和“合规”两种锁定模式,方便您选择正确的防篡改强度。
SaaS Data Protection
NetBackup SaaS Protection 提供统一的数据管理和保护解决方案,借助统一 直观的界面为 SaaS 工作负载(包含 365)交付完全托管且经济高效的平台。SaaS 供应商采取“责任共担模式”,这意味着保护云中数据安全是企业自身的 责任。我们的解决方案可支持主流云原生产品,并以完全托管的 SaaS 部署形式 在 Microsoft Azure 数据中心运行。NetBackup SaaS Protection 是面向 企业的存储平台,集保护、分析、归档、搜索、分层存储、恢复功能于一体,能够 管理任意规模、所有类型的 SaaS 应用程序数据。
主要优势包括:
• 高性能和可扩展性 • 企业级安全 • 最终用户自助服务 • 全球数据主权 • 电子发现搜索
隔离恢复环境 (IRE)
为增强勒索软件应对韧性,企业应确保从干净的备份数据恢复。例如,企业可搭建一个专用环境,即隔离恢复环境。隔离恢复环境可以是灾难恢复 环境、沙盒或测试环境,这意味着您可以直接使用现有的基础架构。无论在何种环境下,您都应采取适当方法对生产数据进行恢复测试;扫描恶意 软件,确保发现的感染数据不会扩散;在某些情况下,还需执行数据取证。管理员可按需恢复干净文件,消减勒索软件攻击造成的影响。此类环境还 可以借助数据隔离技术(如气隙隔离),将物理和逻辑连接切断,除非通过 NetBackup IRE 解决方案获得特别允许,否则无法从外部访问数据。实施零信任架构、防篡改/不可擦除存储以及在隔离恢复环境中实施恶意软件扫描,可进一步保护数据远离恶意软件攻击。
恶意软件检测
Veritas 可帮助您检测多种类型恶意软件攻击,如加密威胁和数据泄漏,还可以提供自动扫描和按需扫描。自动化功能有助于省却人工操作,借助 人工智能/机器学习技术扫描恶意软件,并在出现高异常分值时触发警报。扫描范围包括非结构化数据、Windows、Linux 和 VMware,该范围 很关键,因为其涵盖了恶意软件经常入侵环境的位置,例如存放大量非结构化数据的位置、主目录等。
存储即服务灾难恢复
NetBackup Recovery Vault 是基于云的存储即服务产品, 交付无缝全托管式辅助存储选项。它可与 NetBackup 无缝集成,具有简便易用的用户界面,可简化云存储资源 和保留策略的部署、管理和监控。大部分 NetBackup Recovery Vault 客户使用 NetBackup 中的映像共享功能, 该功能会封装少量元数据集和全部的备份数据,使其具备 自我描述特性。这样一来,备份数据可从主位置恢复到 备用域或云环境中的 NetBackup 主服务器,借此满足数据 合规和治理需求。
韧性
无论是网络中断让关键业务应用程序停摆,还是恶意代码植入导致用户无法访问存储,企业都要 不惜一切代价维护业务韧性,否则可能会失去客户的信任。Veritas 可保证实现服务级别协议 (SLA) 中规定的运行时间目标,不论是区域间和云间的 SLA,还是云与本地间的 SLA。下图显示 Veritas 韧性解决方案如何编排故障转移,将应用程序、基础架构和数据从 AWS 中运行的 IaaS 基础架构 转移到 Azure。
云端企业级可用性和韧性
Veritas 全面的云解决方案为 AWS、Azure 和 GCP 以及传统数据中心提供韧性、保护和管理支持。下图显示 Veritas 如何编排故障转移,将应用 程序、基础架构和数据从 AWS 中运行的 IaaS 基础架构转移到 Azure。
跨云运行的 Veritas 统一数据管理和保护解决方案
Veritas 帮助您:
• 降低风险:保护所有数据,无论数据位于边缘、核心还是云端。Veritas 增添多种安全防御措施,如系统强化和防篡改功能,大力保护数据,减少 攻击面。Veritas 还为您提供智能、自动化、可编排、零中断和经济高效的恢复演练功能,赋予您自由灵活的多种恢复选择。合规是一切的前提。
• 消除不确定性:借助全面可见性、智能异常检测和恶意软件扫描,驱散不确定性。您可从容掌握所有数据的位置,同时降低运行复杂性,优化 成本管理。
• 维持掌控:Veritas 可让您轻松掌控多云环境,保证应用程序高性能、高可用性和数据跨云轻松移动。跳出云原生实用程序和单点产品思维,以网络安全和数据保护为重点,构建统一的数据管理战略。
摘自Veritas NBU:https://www.veritas.com/