了解更多數(shù)字化轉(zhuǎn)型方案查看此鏈接：

https://www.dellemc-solution.com/home/index.html

“至暗時刻”

是每個企業(yè)都難以避免的

比如最近著名的“刪庫”事件

讓某企業(yè)付出沉重的代價

今天，數(shù)字資產(chǎn)已成為企業(yè)核心競爭力

如何讓它更安全

讓企業(yè)不再輕易“失去”？

今天，我們來聊聊關(guān)于

如何守住企業(yè)資產(chǎn)的最后一道防線

各位讀者，一次又一次的IT事故無不說明了建立現(xiàn)代化數(shù)據(jù)防護體系的緊迫和必要性，而要搭建這樣的體系不僅需要好的安全策略和及時的主動偵測手段，更要可靠的數(shù)據(jù)備份以及經(jīng)常驗證的恢復(fù)手段，因為它們是你的最后一道防線。

下面就和大家討論一下，萬一你的系統(tǒng)遭遇安全事件后，如何快速的恢復(fù)和還原你的數(shù)據(jù)，讓業(yè)務(wù)快速上線，把損失減少到至低。

[[318220]]

 

三分靠技術(shù)，七分靠管理

現(xiàn)代數(shù)據(jù)保護要“防”更要“管”

一個現(xiàn)代化數(shù)據(jù)中心，應(yīng)該建立一個安全可靠的現(xiàn)代化數(shù)據(jù)保護體系，它是多種全新數(shù)據(jù)保護技術(shù)和管理方式的融合，不同技術(shù)能滿足不同業(yè)務(wù)的RTO/RPO要求：

☛ 有的核心業(yè)務(wù)RTO/RPO要求秒級；

☛ 有的RTO/RPO是小時級的；

☛ 還有的需要長期保存，需要對數(shù)據(jù)進行歸檔。

同時，一份生產(chǎn)數(shù)據(jù)最好有多份保護數(shù)據(jù)，多個備份還原點去防止單點故障，并且多份備份數(shù)據(jù)要保存在不同介質(zhì)，不同系統(tǒng)，并復(fù)制到不同的數(shù)據(jù)中心。如果條件允許，最好建一個備份數(shù)據(jù)“避風(fēng)港”，讓備份數(shù)據(jù)和生產(chǎn)環(huán)境完全隔離。最后，備份軟件本身和存儲備份數(shù)據(jù)的介質(zhì)一定要可靠，現(xiàn)在有一些攻擊行為專門針對備份軟件，像有的備份軟件的服務(wù)器本身只支持Windows，其本身很容易中病毒，就是一個巨大的安全隱患。

[[318221]]

所謂“三分靠技術(shù)，七分靠管理”，現(xiàn)代化數(shù)據(jù)保護體系除了采用先進可靠的技術(shù)外，還需要加強員工安全意識培訓(xùn)，這一點非常重要，卻常常被忽略。同時，建立完備的日常備份制度和災(zāi)難恢復(fù)措施，并由管理人員切實執(zhí)行數(shù)據(jù)保護制度，備份的數(shù)據(jù)一定要定期驗證，確保備份數(shù)據(jù)的完整可用，否則數(shù)據(jù)保護將僅僅是紙上談兵。

[[318222]]

 

防止安全事件的終極解決方案

 Cyber Recovery  “避風(fēng)港”

為應(yīng)對愈演愈烈的惡意攻擊和勒索病毒等行為，戴爾易安信推出了全新的“避風(fēng)港”計劃——Cyber Recovery。

[[318223]]

Cyber Recovery解決方案由一對PowerProtect DD系統(tǒng)和Cyber Recovery管理主機組成，運行在管理主機上的Cyber Recovery軟件通過啟用或禁用CR存儲區(qū)中Data Domain系統(tǒng)上的復(fù)制以太網(wǎng)接口，來控制從生產(chǎn)環(huán)境流向存儲區(qū)環(huán)境的數(shù)據(jù)流。

Cyber Recovery是一個邏輯上的的Air-Gap解決方案，它提供了對任何網(wǎng)絡(luò)攻擊的保護，是戴爾易安信對病毒防護、惡意刪除等安全事件的終極解決方案。

備份數(shù)據(jù)存儲在生產(chǎn)端DD上后，生產(chǎn)端DD和CR存儲區(qū)的DD建立復(fù)制鏈接，使用DD的專用接口將備份數(shù)據(jù)從生產(chǎn)中心DD通過內(nèi)部網(wǎng)絡(luò)復(fù)制到CR存儲區(qū)的DD上。

[[318224]]

Cyber Recovery使用DD Retention Lock特性（后文會詳細(xì)介紹），在Cyber Recovery存儲區(qū)創(chuàng)建生產(chǎn)端DD復(fù)制數(shù)據(jù)的不可變副本，在CR存儲區(qū)中通過CR Management創(chuàng)建調(diào)度來啟用復(fù)制接口鏈接，復(fù)制完后將禁用Cyber Recovery Vault區(qū)DD上的復(fù)制接口，以建立備份數(shù)據(jù)完全網(wǎng)絡(luò)隔離方案。我們還可以在CR 存儲區(qū)創(chuàng)建RW沙箱，用于分析數(shù)據(jù)并恢復(fù)驗證數(shù)據(jù)。

Cyber Recovery解決方案的專用咨詢服務(wù)提供：環(huán)境調(diào)研，方案設(shè)計，實施部署，驗證等服務(wù)，方案設(shè)計里面包括的物理安全性設(shè)計，可以防止內(nèi)部破壞分子可能利用物理安全薄弱環(huán)節(jié)?？梢詫R存儲區(qū)設(shè)備安裝在專門的房間或籠子里，并實施物理訪問控制措施，如房間或籠子上鎖，使用鑰匙須登記，或者兩人同時插入鑰匙才能開鎖，以及籠門、房門、設(shè)備上安裝視頻監(jiān)控等。

除了“避風(fēng)港”解決方案，戴爾易安信DPS依據(jù)下列“黃金三角”模型為用戶提供全方位、多層次的數(shù)據(jù)保護解決方案，不僅能夠有效地防止物理損壞、防止邏輯損壞，還能夠在出現(xiàn)災(zāi)難或者數(shù)據(jù)丟失時能最快恢復(fù)數(shù)據(jù)，讓業(yè)務(wù)快速上線。

數(shù)據(jù)保護“黃金三角”模型

1. 遭遇“刪庫”、誤操作后

如何快速恢復(fù)數(shù)據(jù)？

每一個系統(tǒng)管理員心中都有一個理想：“數(shù)據(jù)不丟，業(yè)務(wù)不停”  , 可理想是美好的，現(xiàn)實是骨感的。

“百密終有一疏”，安全事件防不勝防，現(xiàn)如今很多企業(yè)的數(shù)據(jù)保護還是依靠單一的傳統(tǒng)備份軟件+帶庫或者備份一體機的簡單方式，而且備份策略還是傳統(tǒng)的“每天增量+每周一個全備”。

[[318225]]

然而，即使每天每隔4小時備份一次歸檔日志，數(shù)據(jù)丟失量（RPO）至小也是4小時，這種備份方式如果恢復(fù)數(shù)據(jù)，需要先恢復(fù)最近的全備，再恢復(fù)增量，最后再回滾日志，系統(tǒng)的目標(biāo)恢復(fù)時間 （RTO）可能是8小時以上，這對很多核心業(yè)務(wù)來說是不可接受的。

因此，戴爾易安信RecoverPoint系列連續(xù)數(shù)據(jù)保護（CDP）解決方案能幫助系統(tǒng)管理員實現(xiàn)任意時間點的恢復(fù)，它不是單純地保護你的數(shù)據(jù)，而是更深入地保護整個系統(tǒng)，為更嚴(yán)苛的RTO/RPO業(yè)務(wù)提供保障。

RecoverPoint分為硬件版（簡稱RP）和純軟件版（簡稱RP4VM）。它通過捕捉每一個I/O的變化，并記錄這些變化，將業(yè)務(wù)系統(tǒng)的RPO趨近于0，幾乎沒有數(shù)據(jù)丟失， RTO可由數(shù)小時或者數(shù)天減少到數(shù)分鐘，同時利用書簽跟蹤應(yīng)用程序相一致的任何恢復(fù)點，這使用戶能夠及時恢復(fù)任意時間點數(shù)據(jù)，而無需擔(dān)心任何一個時間點的數(shù)據(jù)一致性。

RecoverPoint指定時間點的數(shù)據(jù)還可以按需即時訪問，具有完全讀和寫的能力，可做備份數(shù)據(jù)的驗證、實時應(yīng)用程序的測試、數(shù)據(jù)遷移等許多其他有價值的數(shù)據(jù)處理，不像傳統(tǒng)備份數(shù)據(jù)，要恢復(fù)才知道可不可用。因此，對很多核心業(yè)務(wù)來說，RecoverPoint連續(xù)數(shù)據(jù)保護技術(shù)就是一臺“備份時光機”。

 

2. 如何建立一個可靠的

數(shù)據(jù)保護環(huán)境？

“打鐵還需自身硬”，數(shù)據(jù)保護系統(tǒng)自身是否安全？比如一些備份軟件廠商的備份服務(wù)器只支持Windows，容易受到攻擊，還有一些用戶選用一些傳統(tǒng)磁盤陣列存放備份數(shù)據(jù)，簡單的依靠存儲的RAID來保障備份數(shù)據(jù)，這些都是現(xiàn)代化數(shù)據(jù)保護方案應(yīng)該避免的。

戴爾易安信PowerProtect DD（前身為Data Domain）作為專用的數(shù)據(jù)保護存儲，打破了傳統(tǒng)存儲的設(shè)計理念，以數(shù)據(jù)完整性和可恢復(fù)性為重要目的。

DD的操作系統(tǒng)DDOS是專門為確保數(shù)據(jù)無損來設(shè)計和構(gòu)建的。它采用“端到端的驗證”、“故障避免和控制”、“不斷執(zhí)行故障檢測和修復(fù)”、“文件系統(tǒng)可恢復(fù)性”等一些列的技術(shù)保證存在上面的數(shù)據(jù)一定可恢復(fù)，其行業(yè)占比10年來遙遙領(lǐng)先。

 

3. 備份數(shù)據(jù)管理的“保險箱”

DD Retention Lock

DD Retention Lock是DD和IDPA備份一體機上一個可以輕松啟用的功能，它可以防范多種攻擊，一旦在備份時啟用Retention Lock，任何人都不能在備份數(shù)據(jù)的保留期間更改備份數(shù)據(jù)。

Retention Lock因此提供了一個非常強大的能力——防止勒索病毒攻擊，通過阻止病毒對數(shù)據(jù)的加密，并且屏蔽病毒的刪除能力，可以輕松對付黑客攻擊。

[[318226]]

例如，如果您通常將備份數(shù)據(jù)保留30天，那么Retention Lock將在你設(shè)置30天的保留期同時提供額外的一層保護，同時期間的備份工作正常進行。

 

4. 備份數(shù)據(jù)的“加密鎖”

DD Encryption

備份數(shù)據(jù)除了避免被刪除和篡改等必要手段，如果再能配合備份數(shù)據(jù)加密，則可以達到“拿不走，改不了，認(rèn)不到”的多重數(shù)據(jù)防護體系，真正做到固若金湯。

通過DD和IDPA備份一體機上的Encryption軟件選項對存入DD和IDPA備份一體機的備份數(shù)據(jù)進行實時加密，這樣，如果不事先進行身份驗證和解密，便無法在現(xiàn)有系統(tǒng)或任何其他環(huán)境訪問這些數(shù)據(jù)，其采用標(biāo)準(zhǔn)的AES 128和256位密鑰，加密發(fā)生在文件系統(tǒng)下面，這樣可以保護用戶備份到DD和IDPA備份一體機里的數(shù)據(jù)，避免在DD和IDPA備份一體機系統(tǒng)被盜或者存儲介質(zhì)在傳輸期間丟失時數(shù)據(jù)丟失風(fēng)險。

[[318227]]

此外，DD Encryption不需要其他硬件，并且對DD和IDPA備份一體機性能影響較小，通過利用DD和IDPA備份一體機的SISL擴展體系結(jié)構(gòu)，重復(fù)數(shù)據(jù)不需要加密處理，此優(yōu)化會大幅減少加密過程所消耗的資源，從而減少對總體性能的影響。同時，DD Encryption對外部服務(wù)器和應(yīng)用程序透明，不需要其他服務(wù)器和應(yīng)用裝置參與。

 

5. 在傳統(tǒng)備份基礎(chǔ)之上

用Direct Backup多建立一個還原點

災(zāi)難發(fā)生時，快速恢復(fù)是第一反應(yīng)，但是否能在正確時間讓備份管理員找到正確時間點的數(shù)據(jù)，來恢復(fù)DBA和應(yīng)用管理員需求的數(shù)據(jù)，這需要很好的管理機制來配合。所以很多用戶的DBA或者應(yīng)用管理員都會在已有集中備份的基礎(chǔ)上，直接用自己熟悉的應(yīng)用管理工具備份。

現(xiàn)在各種基于敏捷方式開發(fā)的新業(yè)務(wù)如云原生應(yīng)用，它們基于DevOps思想進行運維，需要應(yīng)用管理員、DBA、虛機管理員以及存儲管理員直接參與數(shù)據(jù)保護，減少數(shù)據(jù)丟失的同時要求有狀態(tài)數(shù)據(jù)也能快速恢復(fù)，構(gòu)建立體的數(shù)據(jù)保護體系。這也是現(xiàn)代化數(shù)據(jù)保護體系的一個新理念：Direct Backup。

DBA或者應(yīng)用管理員可控制其應(yīng)用的備份和恢復(fù)，不再需要專門的備份管理員參與，從而提高了恢復(fù)效率，當(dāng)然備份管理員也有能力通過集中的管理平臺對其數(shù)據(jù)進行備份和恢復(fù)管理的監(jiān)控。

DD和IDPA備份一體機通過DD BOOST和應(yīng)用程序直接集成，實現(xiàn)源端重復(fù)數(shù)據(jù)刪除的備份，從而加快50%備份速度，并有助于降低帶寬需求，這種直接備份也可以和存儲集成實現(xiàn)備份，它可以從戴爾易安信VMAX/All Flash或XtremIO上直接把快照備份到DD和IDPA備份一體機。

[[318228]]

這種備份方式比傳統(tǒng)備份快20倍，比傳統(tǒng)恢復(fù)快10倍，而且對生產(chǎn)應(yīng)用不會造成任何影響，并能識別應(yīng)用，保證數(shù)據(jù)庫一致性，還使得備份數(shù)據(jù)在不用恢復(fù)的情況下直接被拉起來驗證和利用，這種解決方案滿足一些客戶非常嚴(yán)格的RTO業(yè)務(wù)要求。

而對于VMware環(huán)境的數(shù)據(jù)保護，則可以基于VMware CBT實現(xiàn)image的快速備份和恢復(fù)，并可以在不恢復(fù)VM的情況下，直接在備份存儲DD和IDPA備份一體機上立即拉起虛機映像，并可以借助后端備份存儲DD和IDPA備份一體機的的Fastcopy優(yōu)化VM的備份和恢復(fù)，這是傳統(tǒng)備份軟件廠商沒法實現(xiàn)的。

 

云環(huán)境的數(shù)據(jù)保護

基于IaaS/Pass的云環(huán)境應(yīng)用，在現(xiàn)代化數(shù)據(jù)數(shù)據(jù)中心也是一個主流。等保2.0明確要求企業(yè)云上的數(shù)據(jù)一定要在線下也有一份，此時，Avamar Virtual Edition（AVE） 和Data Domain Virtual Edition （DDVE） 這兩款純軟件，可以在云上的實現(xiàn)數(shù)據(jù)保護，將數(shù)據(jù)從云上復(fù)制回本地數(shù)據(jù)中心，也可以復(fù)制數(shù)據(jù)到云。

而本地數(shù)據(jù)數(shù)據(jù)中心的DD和IDPA備份一體機，可采用Cloud Tier技術(shù)將經(jīng)過重復(fù)數(shù)據(jù)消除的數(shù)據(jù)直接從DD和IDPA備份一體機無縫分層到公有云、私有云或混合云，以實現(xiàn)長期保留的目的。

 

數(shù)據(jù)保護43210法則

最后，對于建立一個完善可靠的現(xiàn)代化數(shù)據(jù)保護體系，戴爾易安信一直在宣傳一條簡單好記的法則，即“數(shù)據(jù)保護43210法則”：

❖ 所謂4，就是除生產(chǎn)數(shù)據(jù)本身，優(yōu)秀實踐是有四份以上的來自不同介質(zhì)，不同系統(tǒng)、不同數(shù)據(jù)中心的數(shù)據(jù)對其進行保護。4份數(shù)據(jù)中可以是生產(chǎn)陣列的一份快照，近線存儲上的一份連續(xù)數(shù)據(jù)保護數(shù)據(jù)，離線備份存儲上的一份備份數(shù)據(jù)，還可以是一份異地復(fù)制數(shù)據(jù)。如果系統(tǒng)要求高，還可以對數(shù)據(jù)進行隔離，建立一份脫離數(shù)據(jù)中心的一份數(shù)據(jù)。

❖ 3，是指三個以上的還原點。備份的目的是為了恢復(fù)，采用不同技術(shù)（如本地CDP、同城備份、異地復(fù)制等）保證數(shù)據(jù)一致的前提下，讓同一數(shù)據(jù)有不同恢復(fù)點。

❖ 2，是指對一個數(shù)據(jù)最好有兩種以上的方式對其保護。如用備份軟件備了，最好通過數(shù)據(jù)庫自帶的備份工具（如Oracle、RMAN等）再備份一次，或者通過CDP備份一次。

❖ 1，是指對重要數(shù)據(jù)一定要有一份異地復(fù)制數(shù)據(jù)。防止本地出現(xiàn)大的災(zāi)難時，你的數(shù)據(jù)還能找的回來，等保2級以上就要求備份數(shù)據(jù)異地存放，只是不同級別要求采用的同異步方式不同。

❖ 0，在以上技術(shù)基礎(chǔ)上，輔之以完善的日常備份制度和災(zāi)難恢復(fù)的演練措施，一定能做到數(shù)據(jù)零丟失。

當(dāng)然“43210法則”是一個理想的完備模型，可以結(jié)合自己行業(yè)業(yè)務(wù)應(yīng)用特點靈活選擇。

尊敬的讀者

疫情當(dāng)前

各行各業(yè)都受到了巨大影響

而金融行業(yè)因其特殊性

使得它面臨的IT挑戰(zhàn)更加復(fù)雜和多變

那么銀行、證券、保險等金融機構(gòu)

該如何面對特殊事情的挑戰(zhàn)呢？

今天上午

9：30-12：00

戴爾科技將邀請戴爾專家

業(yè)界分析師以及金融行業(yè)專家等

舉辦金融行業(yè)網(wǎng)絡(luò)研討會

就金融行業(yè)的遠(yuǎn)程辦公

開放銀行的趨勢及挑戰(zhàn)

等話題進行分享和介紹

歡迎觀看下圖了解會議詳情并掃碼參會

相關(guān)內(nèi)容推薦：戴爾科技CTO預(yù)測2020年破壞性創(chuàng)新技術(shù)發(fā)展趨勢

相關(guān)產(chǎn)品：PowerEdge R740 機架式服務(wù)器