世界風云變幻，一切供給和消費都在“即服務”化(as a Service)，甚至勒索軟件也不例外。事實證明，“勒索軟件即服務”(Ransomware as a Service, RaaS)正在成為另一種意義上的 “病毒”，它迫使企業徹底改變其安全應對態勢。

　　企業的云計算之旅本就進度各異，而不良行為者和威脅載體又帶來更大挑戰。有市場分析師指出，云計算中的錯誤配置是不良行為者會最先利用的關鍵漏洞之一，這為企業帶來又一值得擔憂的難題。

　　Commvault備份副本為企業提供“保險單”

　　Commvault在數據保護和管理領域有25年的領先經驗，并始終堅持與時俱進，通過多層次的安全保護方法幫助客戶恢復數據，在網絡和災難恢復危機中反擊，證明了網絡就緒(cyber-ready)和恢復就緒(recovery-ready)備份副本的重要性。

　　當前有關網絡恢復能力的最新標準是，能否將所有為減少攻擊表面積而孤立的工作負載納入統一框架(且這一框架應易于適應客戶當前既有企業內部又有SaaS的混合生態系統)，并能確保在每一層互動中都持續提供最高級別的保護和恢復。Commvault將遵守業務服務級別協議(SLAs)視為最優先的參數，在其智能數據服務平臺上，客戶擁有支持工作負載和實現部署靈活性的多樣選擇。

　　Commvault先進的數據保護和管理產品與服務讓跨越企業內部、云端和SaaS平臺保護和管理數據的無縫體驗得以實現：Commvault HyperScale X：基于Commvault分布式存儲的Commvault超融合基礎設施(HCI)產品。幫助客戶從統一且高標準的安全保護、分段和簡易部署中獲益，并提供無縫云整合選項。

　　安全和備份數據不可更改性的最佳實踐

　　而隨著備份副本成為企業恢復的“保險單”，數據的不可更改性也變得至關重要。

　　不可更改性(Immutability)即任何數據在特定的一段持續時間內保持不可變狀態的能力。Commvault軟件支持客戶內置一系列功能，補充異常檢測和通知機制，使其成為安全且網絡就緒的數據保護解決方案。正如美國國家標準與技術研究院(NIST)的網絡安全框架所描述的那樣，企業正迅速向“縱深防御”戰略看齊。當這一戰略擴展到數據保護和管理環境時，同樣的框架能幫助企業在無需犧牲恢復、性能和成本的情況下達到理想的數據不可更改性和安全水平。

　　具體而言，安全和備份數據不可更改性可通過多種方法相互配合來實現，以下是Commvault推薦的關鍵最佳實踐：

　　嚴控基于角色的訪問控制(RBAC)：確保只有組織內資源有權訪問備份庫，并配合多因素認證(MFA)和多人認證以阻止流氓管理員或被泄露的管理員憑證的訪問。回答“誰可以訪問什么”“為什么這么安排”等基本問題有助于實施RBAC原則，這與最小特權訪問(Least Privilege Access)準則具有一致性。

　　啟用Commvault Retention Lock(舊稱WORM Copy)：防止流氓管理員或被泄露的管理員憑證對Commvault環境造成破壞。這種軟件級別的鎖定配置一旦在策略上啟用，有助于防止任何人(包括管理員)意外或故意的刪除行為或對策略保留、已刪除工作和未裝載/刪除的庫的更改。

　　使用Commvault默認加密設置：保證服務端和傳輸中數據均被加密，并保證即使備份數據泄露，壞人也無法在沒有解密密鑰的情況下利用它們。又由于Commvault寫入的數據是重復數據塊，因此在發生雙重勒索贖金軟件威脅時，這些數據塊對勒索者來說毫無用處。

　　Commvault整合并支持第三方密鑰管理服務器，提供額外安全保障層。

　　使用Commvault Ransomware Lock：保護企業內部任何相關的數據移動設備掛載路徑，確保數據只能由Commvault和Commvault批準的進程寫入目標磁盤存儲，使掛載路徑不能被任何非Commvault進程讀取、寫入和更新，從而滿足不可更改性要求。

　　部署Commvault HyperScale X：用嚴格的操作系統級數據保護防止用戶和/或勒索軟件攻擊繞過其他安全層。在系統內部，HyperScale X采用SELinux，能夠通過限制文件修改或磁盤級活動(如重新格式化驅動器)的訪問策略增強不可更改性。最重要的是，由Commvault的一體化橫向擴展文件系統支持的HyperScale X在存儲層提供了額外的不可更改性，這項默認啟用的功能確保了備份庫中的數據不能在文件系統層面被修改或加密。

　　先驗證再觸發：在備份工作觸發前驗證云存儲服務訪問權限，這基于“零信任”架構對所有通信渠道都要經過“挑戰”然后再“驗證”的規定，否定了持久性概念。

　　使用基于時間的保留鎖(WORM不可變鎖)：使用于云對象存儲和支持它的企業內部對象存儲，確保任何程序或人員(包括IaaS供應商)在不滿足保留條件時不能刪除或更新云存儲中的副本。

　　采用“拉式”(Pull)而非“推式”(Push)的網絡拓撲結構：“推式”架構依賴連接持久性，惡意軟件有可能通過這種永遠在線的連接進行滲透;而在“拉式”架構中，與客戶的連接是周期性的，需要訪問請求、訪問認證才能導致數據和事件的“拉動”，符合零信任架構原則。

　　實現不可更改性應考慮的關鍵架構因素

　　一個經常被問到的問題是，我們如何為一個具有上述所有功能的特定環境設計出合適的架構?或者說，在設計一個平衡安全、成本和性能參數的混合環境時，有哪些關鍵的架構考慮?

　　Commvault認為，一個能實現數據不可更改性的架構應包括以下要素：

　　將副本存儲與勒索軟件隔離的訪問鎖

　　通過能減少風險、平衡消費影響的生命周期鎖實現的不可更改性

　　空氣間隙隔離網絡與控制

　　防止故意或意外改動的配置管理

　　在充分考慮速度和成本的情況下減少延遲的恢復并發性能

　　用于保持對數據保護基礎設施的現有、簡化管理與維護的自動修補

　　3-2-1異地存儲副本