隨著勒索軟件和特定數(shù)據(jù)攻擊等威脅不斷增加，促使很多企業(yè)部署新的數(shù)據(jù)備份和恢復模型，其中包括基于云的存儲。

大多數(shù)成熟的企業(yè)具有多層備份和復制數(shù)據(jù)，用于業(yè)務連續(xù)性和災難恢復(BCDR)目的。而勒索軟件的威脅正在促使某些企業(yè)考慮隔離備份。這些備份無法從核心企業(yè)環(huán)境接觸或訪問，而不需要進行基礎結構更改和/或需要進行大量管理身份驗證/授權調(diào)整。

云備份勒索軟件保護的常用策略包括：

在企業(yè)環(huán)境內(nèi)為這些備份構建新的網(wǎng)段，并使用“全部拒絕”防火墻來保護該網(wǎng)段。僅在需要數(shù)據(jù)或進行復制時才放寬這些規(guī)則。

使用內(nèi)部部署和基于云的網(wǎng)絡限制創(chuàng)建新的隔離的基于云的備份，類似于上面提到的備份?；蛘撸烁綦x備份可以位于輔助或備份數(shù)據(jù)中心。

要求多名管理員同時輸入登錄憑證和多因素身份驗證信息。

開始：制定策略

為了制定云備份勒索軟件保護策略，在規(guī)劃階段需要企業(yè)不同部門參與：

IT運營。IT運營團隊應該確定需要備份的數(shù)據(jù)類型以及數(shù)據(jù)存儲的時長。

BCDR規(guī)劃。對于BCDR規(guī)劃團隊，數(shù)據(jù)應符合標準指標，例如平均恢復時間、恢復時間目標、恢復點目標等。

信息安全部門。存儲和復制的數(shù)據(jù)的敏感性至關重要。因此，安全團隊不僅應關注備份的數(shù)據(jù)類型，還應關注云端可用的任何和所有安全控件以幫助保護這些數(shù)據(jù)。

法律/合規(guī)。任何早期的法律和法規(guī)要求都應盡早滿足，以確保所有存儲和檔案要求均符合行業(yè)和最佳實踐要求。

企業(yè)應詢問其云存儲提供商一系列問題，關于其數(shù)據(jù)中心的物理安全以及在這些環(huán)境中操作系統(tǒng)和應用程序等人員。這些問題包括：

物理訪問數(shù)據(jù)中心是否受到限制?對于訪問，需要哪些安全方法-例如生物特征視網(wǎng)膜掃描儀?企業(yè)應確保提供商在這些設施提供強大的物理訪問控制。

數(shù)據(jù)中心是否全天候都有人員監(jiān)控?如果是這樣，如何處理班次變更?

數(shù)據(jù)中心是否有視頻監(jiān)控和審核日志，以跟蹤訪客及其出入時間?如何監(jiān)控視頻監(jiān)控?

對于對基礎設施具有物理或管理級訪問權限的員工，是否進行背景調(diào)查?進行那種類型的檢查，檢查頻率如何?

是否有入侵警報，是否有書面的響應計劃，以應對數(shù)據(jù)中心發(fā)生物理安全被破壞的情況?

存儲架構和網(wǎng)絡安全

企業(yè)必須了解云提供商環(huán)境部署的常規(guī)安全設計注意事項。這些控制被認為是任何成熟項目都應支持的基本安全程序元素。請考慮以下條件：

當訪問存儲組件和區(qū)域時，用戶需要通過哪些身份驗證方法?特別是，提供商的存儲管理員應具有嚴格的身份驗證要求。

是否有安全配置要求更改默認密碼，作為安裝流程的一部分?安全配置應拒絕任何和所有設備、特性和功能，除非用戶特意激活它們，為所有配置控制提供默認拒絕立場。

正在使用哪種類型的安全事件監(jiān)控和日志記錄?任何平臺和應用程序都必須可檢測安全事件并相應記錄它們。用戶應該可發(fā)送安全警報到管理控制臺、組件經(jīng)理、傳呼機、電子郵件和其他來源。在很多情況下，這些數(shù)據(jù)僅可提供給云提供商團隊，但用戶應了解部署了哪些技術和流程。

多租戶如何部署，以及使用哪些技術來分割和隔離不同租戶的數(shù)據(jù)?虛擬防火墻、虛擬機管理程序和存儲區(qū)域網(wǎng)絡(SAN)隔離工具和技術以及網(wǎng)絡分段都是可行的選擇。云提供商應愿意披露其用于保護共享平臺數(shù)據(jù)所采取的措施。

是否會審查網(wǎng)絡設備用戶權限及密碼，以及頻率如何?

系統(tǒng)是否會為邏輯上和物理上都與其他網(wǎng)絡區(qū)域隔離的每個客戶提供服務?應該有獨立的防火墻區(qū)域，用戶互聯(lián)網(wǎng)訪問、生產(chǎn)數(shù)據(jù)庫、開發(fā)和臨時區(qū)域，以及內(nèi)部應用程序和組件。

存儲訪問和管理安全

對于云提供商管理員和企業(yè)用戶而言，對訪問存儲環(huán)境，管理訪問控制和會話安全應該是頭等大事。為了抵御勒索軟件等常見的安全威脅，應根據(jù)以下標準評估云存儲：

管理工具和其他管理應用程序是否以加密格式存儲用戶密碼?如果是這樣，何種類型，并且是否定期測試此加密?另外，存儲管理應用程序是否執(zhí)行密碼長度、類型和持續(xù)時間的配置?

允許哪些類型的安全連接到云存儲基礎設施?是否支持更安全的通信協(xié)議，例如SSL、TLS或SSH?

活躍用戶會話會超時嗎?

管理工具是否支持多個管理員配置文件以提供精細的安全級別?用于訪問和配置云存儲的管理應用程序應具有配置選項，這些配置選項可根據(jù)時間、日期、功能和其他屬性來限制管理員訪問。應該記錄所有管理員操作以進行審核和警報，并且日志應可供企業(yè)安全團隊使用。

云存儲管理應用程序可以定義精細的角色和特權嗎?為了維持適當?shù)穆氊煼蛛x并執(zhí)行最小特權原則，應將此功能視為強制性。

安全流程

對云存儲提供商內(nèi)部安全性流程的關注應放在在軟件測試和開發(fā)安全性，以及補丁和漏洞管理。

應該提出以下問題：

云存儲提供商是否以完全安全和修復的配置測試硬件和軟件，以評估服務器、網(wǎng)絡和應用程序中的漏洞?

供應商是否有流程來跟蹤和報告云存儲產(chǎn)品中發(fā)現(xiàn)的安全漏洞?云服務提供商還應明確一般公告與為特定客戶提供聯(lián)系方式(作為其事件響應流程的一部分)的區(qū)別。

如果發(fā)生數(shù)據(jù)泄露事故或其他潛在的嚴重安全事件，應遵循哪些通知和升級程序?

是否有已存檔的流程用于內(nèi)部分發(fā)關鍵軟件補丁程序和非關鍵安全更新?

在開發(fā)和質(zhì)量保證周期中，是否存在用于測試安全性的既定流程?這應該包括掃描源代碼中的主要問題-其中包括Open Web Application Security Project的前10名、緩沖區(qū)溢出、不良的身份驗證和會話處理。

基于云的存儲將補充成熟企業(yè)已經(jīng)部署的數(shù)據(jù)備份策略。這些策略包括使用磁帶或磁盤的本地標準備份，或通過SAN /網(wǎng)絡連接的存儲集成對虛擬數(shù)據(jù)內(nèi)容的大規(guī)模復制，以及磁帶或磁盤的輔助備份–發(fā)送到外部備份提供商。最后，對于較新的情況，例如勒索軟件問題，可以考慮針對最終用戶內(nèi)容和/或核心數(shù)據(jù)中心關鍵資產(chǎn)的短期隔離備份。

原文標題：如何制定云備份勒索軟件保護策略

文章出處：【微信公眾號：存儲D1net】歡迎添加關注！文章轉(zhuǎn)載請注明出處。

責任編輯：haq