2022年7月28日����,在全球閃存峰會上�,IBM公司科技事業(yè)部存儲產(chǎn)品線經(jīng)理龐文崢,介紹了IBM是如何幫助企業(yè)實現(xiàn)數(shù)據(jù)“零”丟失���,如何幫助企業(yè)抵擋安全威脅��,深耕企業(yè)IT領(lǐng)域多年的IBM憑借在閃存存儲以及數(shù)據(jù)保護(hù)方面的技術(shù)和實踐優(yōu)勢���,為企業(yè)的發(fā)數(shù)據(jù)保駕護(hù)航��。
躲也躲不開�����,難纏的數(shù)據(jù)安全問題
某研究機(jī)構(gòu)的調(diào)研報告顯示���,一場全球范圍的大規(guī)模網(wǎng)絡(luò)攻擊造成的經(jīng)濟(jì)損失平均達(dá)到530億美元。還有調(diào)研發(fā)現(xiàn)����,大型企業(yè)的防范意識在不斷增強(qiáng)���,但中小企業(yè)的數(shù)據(jù)泄露風(fēng)險卻在不斷地加大��。
《2021年IBM數(shù)據(jù)泄露成本報告》的數(shù)據(jù)顯示����,2020-2021年間數(shù)據(jù)泄露的平均總成本增加了10%�����,提升到了424萬美元。其中����,業(yè)務(wù)損失占到數(shù)據(jù)泄露總成本的38%,業(yè)務(wù)損失成本包括因系統(tǒng)停機(jī)導(dǎo)致的收入損失�����,以及因聲譽下降而導(dǎo)致的成本增加��。
惡意攻擊是造成數(shù)據(jù)泄露的主要原因����。惡意攻擊所造成的數(shù)據(jù)泄露比例,從2014年的42%�,增加到2020年的52%,惡意攻擊所造成的數(shù)據(jù)泄露比例��,在六年間增加了近四分之一�����。
數(shù)據(jù)泄露的潛伏期和應(yīng)對周期非常長���。有研究數(shù)據(jù)顯示���,從確定網(wǎng)絡(luò)攻擊到恢復(fù)網(wǎng)絡(luò)攻擊影響的平均時間長達(dá)兩百八十天��,需要七個月之久�����,通常在發(fā)現(xiàn)數(shù)據(jù)泄露時�,已經(jīng)為時晚矣���。
龐文崢表示���,從廣泛的實踐來看,用企業(yè)零信任架構(gòu)來應(yīng)對網(wǎng)絡(luò)威脅的做法已經(jīng)是業(yè)內(nèi)共識��,雖然許多廠商都推出了防范網(wǎng)絡(luò)攻擊的解決方案�����,但“道高一尺����,魔高一丈”,被動防御很難防范所有的攻擊�。
龐文崢認(rèn)為應(yīng)該轉(zhuǎn)變思路,思考如何在受到攻擊后快速完成快復(fù)��,這將是企業(yè)生存的關(guān)鍵���。
龐文崢介紹了遭受網(wǎng)絡(luò)攻擊后的處理流程�,以及IBM存儲如何幫助企業(yè)在受到網(wǎng)絡(luò)攻擊后�,快速恢復(fù)數(shù)據(jù)和業(yè)務(wù)的能力。
如上圖所示����,當(dāng)企業(yè)受到網(wǎng)絡(luò)攻擊時,大多數(shù)企業(yè)都不能即時發(fā)現(xiàn)���,經(jīng)常是在攻擊發(fā)生很久后才能被檢測到�,這時����,網(wǎng)絡(luò)攻擊不僅污染了生產(chǎn)數(shù)據(jù),也可能污染了遠(yuǎn)程系統(tǒng)和備份系統(tǒng)��。
當(dāng)企業(yè)發(fā)現(xiàn)了數(shù)據(jù)被破壞�����,首要解決的問題就是如何快速恢復(fù)數(shù)據(jù),當(dāng)網(wǎng)絡(luò)攻擊的潛伏時間越長���,遭到污染的數(shù)據(jù)就越多��,恢復(fù)數(shù)據(jù)所需要的時間也就越長����。
當(dāng)近線設(shè)備數(shù)據(jù)被污染�����,用戶不得不從具有Air Gap(氣隙隔離)的磁帶中恢復(fù)數(shù)據(jù)����。恢復(fù)數(shù)據(jù)面臨兩大考驗�����,對此���,很多企業(yè)用戶表示無法接受�。
首先�,數(shù)據(jù)恢復(fù)過程比較考驗用戶的耐心,因為通常需要幾天甚至半個月�����。另一方面�����,也得看運氣����,因為,只有當(dāng)恢復(fù)完成后才能確認(rèn)這些數(shù)據(jù)是否被污染了����,如果恢復(fù)的數(shù)據(jù)被污染了就做了無用功。
IBM推出的Cyber Vault可以幫助客戶顯著降低數(shù)據(jù)受到攻擊破壞所帶來的影響和損失�。
Cyber Vault可以快速識別最后一份可用的副本,讓存儲管理員使用類似磁盤快照的技術(shù)快速恢復(fù)數(shù)據(jù)���,將原本需要數(shù)周才能恢復(fù)的數(shù)據(jù)���,縮短到幾天甚至幾個小時�����。
IBM FlashSystem+IBM全面的數(shù)據(jù)保護(hù)方案=數(shù)據(jù)“零”丟失
2022年3月�,IBM發(fā)布了支持第三代閃存模塊的FlashSystem新產(chǎn)品����,包括FlashSystme 9500和FlashSystme 7300,與此前的FlashSystem 5200構(gòu)成了完整的FlashSystem產(chǎn)品家庭����,新品從容量到性能,都有成倍的提升�����。
上圖顯示的性能數(shù)據(jù)是在16k數(shù)據(jù)塊��,7:3混合讀寫負(fù)載��,50%緩存命中的情況下的表現(xiàn)��,F(xiàn)lashSystem 5200是入門級的����,F(xiàn)lashSystem 7300的IOPS達(dá)到了60萬�����,最高端的FlashSystem 9500R能達(dá)到120萬IOPS,性能在成倍增長���。
FlashSytem全系列都支持IBM Spectrum Virtualize軟件平臺��,用戶可以使用IBM Spectrum Virtualize的所有功能�,包括不可更改副本技術(shù)��,該技術(shù)可幫助企業(yè)應(yīng)對網(wǎng)絡(luò)攻擊����,也就是說,全系列的FlashSystem都能使用該技術(shù)�����。
如上圖所示��,IBM FlashSystem存儲系統(tǒng)提供了全面的數(shù)據(jù)安全解決方案:
IBM存儲系統(tǒng)不僅支持同步或異步數(shù)據(jù)復(fù)制�,能實現(xiàn)兩站點、三站點甚至四站點的遠(yuǎn)程復(fù)制,還能將數(shù)據(jù)復(fù)制到公有云���,將公有云做成企業(yè)的容災(zāi)中心�。
IBM的容災(zāi)恢復(fù)解決方案��,能讓企業(yè)的數(shù)據(jù)在自然或者人為的局部災(zāi)難中幸存下來���,讓數(shù)據(jù)丟失很少或根本沒有數(shù)據(jù)丟失���,實現(xiàn)零數(shù)據(jù)丟失。
IBM存儲系統(tǒng)還能夠?qū)崿F(xiàn)HyperSwap雙活操作���。不僅能使得用戶的數(shù)據(jù)在局部災(zāi)難中幸存下來�,而且用戶的應(yīng)用可以立即訪問數(shù)據(jù)備用副本���,而且����,過程中不會對業(yè)務(wù)端造成影響���,甚至可能完全感覺不到�����。
IBM還能通過多達(dá)5路的復(fù)制來提供增強(qiáng)的高可用性�����,依靠IBM獨有的Stretch Cluster功能��,這種能力能擴(kuò)展到多達(dá)500多種不同品牌的存儲�����,遠(yuǎn)不只是IBM自己的設(shè)備����。
2021年��,IBM發(fā)布Safeguarded Copy(受保護(hù)的副本)的功能����,可以創(chuàng)建不可更改的數(shù)據(jù)快照。通過提供多達(dá)一萬五千份不可更改副本以及職責(zé)分離的雙重安全認(rèn)證�,可以幫助企業(yè)應(yīng)對各種網(wǎng)絡(luò)攻擊,例如勒索軟件����、 刪庫跑路等���。
如果用戶的數(shù)據(jù)主副本受到感染,Safeguarded Copy副本在邏輯上與主數(shù)據(jù)保持氣隙隔離���,并使該副本不可更改��,用戶可用該副本進(jìn)行快速數(shù)據(jù)恢復(fù)���。IBM存儲系統(tǒng)還支持磁盤硬加密,可以防止窺視或物理的數(shù)據(jù)盜竊���。
其中��,Safeguarded Copy使用普通的快照技術(shù)創(chuàng)建拷貝�����,但它們存儲在特殊的受保護(hù)池里,這些池可以防止卷被更改或連接到服務(wù)器��,當(dāng)創(chuàng)建后���,系統(tǒng)管理員也無法訪問���,因此勒索軟件與黑客也無法訪問它們。
受保護(hù)的副本根據(jù)管理員定義的策略自動創(chuàng)建和刪除����,這些副本不能映射到主機(jī),也無法改變���,無法通過任何應(yīng)用程序修改和訪問�,即使是系統(tǒng)管理員也無法做到����,從而保證了副本的安全���、可靠��。
當(dāng)源數(shù)據(jù)被污染后����,安全管理員可以將這些卷快速地掛載到系統(tǒng)上����,然后掛載在數(shù)據(jù)庫上�����,這些操作只需要幾十秒����,最多在幾分鐘即可完成����。
IBM在閃存系統(tǒng)中獨創(chuàng)了“職責(zé)分離”,分成了系統(tǒng)管理員����、超級用戶與安全管理員三類角色。
系統(tǒng)管理員可以進(jìn)行常規(guī)管理�,可以配置(Safeguarded Copy)受保護(hù)的副本,但無法訪問和刪除這些副本或備份池����。可以訪問和刪除受保護(hù)的副本或備份池的是安全管理員�。
雖然超級用戶可以執(zhí)行任何操作,但實際應(yīng)用中都會禁用此超級用戶�����,如果想要重新開啟超級用戶,只能通過IBM支持或通過對存儲系統(tǒng)進(jìn)行物理訪問來開啟�����。
通過將系統(tǒng)管理員和安全管理員職責(zé)分離��,分別設(shè)置兩個不同的人員管理�����,可以最大限度地避免內(nèi)部風(fēng)險和刪庫跑路的現(xiàn)象發(fā)生�。
數(shù)據(jù)保護(hù)以外的安全防護(hù)手段
當(dāng)用戶發(fā)現(xiàn)或檢測到網(wǎng)絡(luò)威脅時,通常為時已晚�,當(dāng)發(fā)現(xiàn)問題時,用戶迫切需要馬上找出沒被污染����,可用于恢復(fù)的數(shù)據(jù)副本����,而不是盲目嘗試恢復(fù)。
IBM Security QRadar是一個安全信息和事件管理系統(tǒng)�����,它可以檢查用戶數(shù)據(jù)中心里的活動,并識別可疑行為���。
網(wǎng)絡(luò)攻擊者會想辦法掩蓋行蹤�����,而IBM Security QRadar會努力檢測和發(fā)現(xiàn)企業(yè)中受到的威脅����,Qradar通過分析日志事件和網(wǎng)絡(luò)流數(shù)據(jù)�,在大數(shù)據(jù)和人工智能技術(shù)的幫助下,能實時檢測可疑事件����,并將相關(guān)事件聚合為優(yōu)先級警報。
當(dāng)網(wǎng)絡(luò)攻擊者試圖以安全管理員的身份進(jìn)行不良行為���,比如����,在非正常工作時間登錄并試圖刪除Safeguarded Copy副本��,比如同一管理員ID同時從多個位置登錄,QRadar可以捕獲這些事件��,讓Safeguarded Copy來創(chuàng)建一份Safeguarded Copy副本�,在攻擊發(fā)生后,優(yōu)先嘗試用該副本來恢復(fù)數(shù)據(jù)���。
QRadar帶有預(yù)先定義的策略和500多個開箱即用的集成功能��,IBM存儲系統(tǒng)搭配IBM QRadar可以幫助企業(yè)更好地應(yīng)對安全威脅�����。
寫在最后
數(shù)據(jù)安全涉及的范圍很大���,而IBM憑借在企業(yè)級存儲市場的深厚積累,在企業(yè)級數(shù)據(jù)容災(zāi)備份領(lǐng)域深耕多年的經(jīng)驗�,推出新產(chǎn)品以應(yīng)對數(shù)據(jù)安全問題,為企業(yè)在應(yīng)對安全問題時候提供了非常有參考價值的解決之道�。
