通过CBR+HSS搭建云上备份防勒索系统
应用场景
勒索病毒,也称为勒索软件,是一种特殊的恶意软件,与其他病毒最大的不同在于攻击手段伴随着有组织的网络威胁攻击和加密数据后勒索赎金。
勒索病毒已成为全球主要网络威胁,严重影响着数字经济的发展,而面对勒索病毒的侵害,大多数企业并没有全面和有效的方法予以应对。不得不通过支付高额的赎金来请求黑客对加密的数据进行解锁。而在企业遭受到攻击的同时,会造成企业的重要数据丢失、企业停工停产、合同违约、商誉减值、企业管理者离职以及众多不可预计的后果。
华为云备份防勒索解决方案与主机安全服务HSS结合,为客户提供有效云上防勒索解决方案,满足客户对数据安全保护的需求。
介绍视频
方案架构
云备份所提供的防勒索解决方案服务,从业务实际出发,以客户数据安全要求为导向,帮助客户搭建一个安全可靠的备份防勒索系统,满足客户对于勒索病毒防护的需求,保护数据资产,尽可能减小损失。通过存储库天然具备的访问隔离属性、WORM等特性,实现当云服务器发生勒索攻击时,能提供至少一份干净可用、不被篡改的数据用于安全恢复,提升数据安全的韧性能力,满足客户对于勒索病毒防护的需求。
方案优势
- HSS主机安全服务与CBR云备份服务联动,当HSS检测到病毒入侵后立即触发CBR备份,有效减小数据损失;
- CBR备份存储库天然具备隔离属性,结合WORM能力,实现本地备份的防篡改防误删;
- 将CBR备份复制到其他区域,结合WORM能力,实现异地备份的防篡改防误删。
配置CBR备份并开启备份锁定
购买云服务器备份存储库
备份存储库是CBR服务的基本单元,使用CBR服务前必须要先购买备份存储库。如果使用量超过购买的容量后将不能再进行备份,因此购买存储库时建议购买自动扩容存储库,避免因为容量问题导致备份失败。
- 登录云备份管理控制台。
- 登录管理控制台。
- 单击管理控制台左上角的
,选择区域。 - 单击“
”,选择“存储 > 云备份 CBR”。选择对应的备份目录。
- 在界面右上角单击“购买云服务器备份存储库”。
- 选择计费模式。
- 包年包月是预付费模式,按订单的购买周期计费,适用于可预估资源使用周期的场景,价格比按需计费模式更优惠。
- 按需计费是后付费模式,根据实际使用量进行计费,可以随时购买或删除存储库。费用直接从账户余额中扣除。
如果选择的是按需计费的存储库,则自动扩容建议选择“立即配置”,避免因为容量问题导致备份失败。
- 选择是否启用备份锁定,也可以后续选择开启。
开启备份锁定后,可以避免备份被误删除或者恶意删除,提升数据安全性。
- 开启备份锁定后,该功能无法关闭,策略生成的备份只支持过期自动删除,存在存量副本的存储库不允许删除。手动创建的备份不受备份锁定的约束,支持手动删除。
- 请详细阅读说明并确认是否开启,建议开启。
- 在购买存储库时若没有选择启用备份锁定,可以在任一备份页面,找到目标存储库,单击存储库所在列的“更多 > 开启备份锁定”,在备份锁定弹框中,打开备份锁定开关。更多详细内容请参见开启备份锁定。
- 其余选项按需配置,具体操作可参见购买云服务器备份存储库。
存储库购买完成后,可以进行备份策略或复制策略的创建、修改、删除、绑定至存储库等操作。具体操作请参照策略管理章节。
配置HSS主机安全
本最佳实践方案需要使用到HSS主机安全服务,详情请参考HSS防勒索最佳实践。
备份恢复
当遭受勒索病毒攻击后,当前尚无有效工具能够破解勒索病毒,唯一的方案只能通过备份快速恢复数据。通过备份恢复云服务器时,首先判断该备份是否已被勒索病毒感染,如果备份正常,则参考使用云服务器备份恢复数据;如果备份为勒索加密备份,则建议的备份恢复操作如下:
- 用IAM管理员账号登录登录管理控制台。
- 单击管理控制台左上角的
,选择区域。 - 在控制台的左侧导航窗格中选择“计算 > 弹性云服务器 ECS”,进入弹性云服务器界面。
- 按照通过规格选型引导购买云服务器在独立的VPC内购买弹性云服务器。
此处使用独立VPC,防止勒索病毒在干净区域内感染。
- 在IAM控制台的左侧导航窗格中选择“存储 > 云备份 CBR”,进入云备份服务界面。
- 在左侧导航栏单击“云服务器备份 > 备份副本”,在备份列表上方,可以通过备份名称、存储库ID、服务器名称、服务器ID等条件搜索,搜索需要恢复的云服务器备份。
图3 筛选备份
- 单击选中的云服务器备份,进入详情页后,单击“磁盘级备份”。
- 单击“创建磁盘”,进入到“购买磁盘”界面,按需创建磁盘。
- 待磁盘创建成功后,将磁盘挂载到步骤3创建的虚拟机上,登录虚拟机查看磁盘下的数据是否正常。
- 步骤9中正常的未加密的数据,可以通过对象存储obsutil工具上传到对象存储桶里。
- 在控制台的左侧导航窗格中选择“管理与监管 > 统一身份认证服务 IAM”,进入统一身份认证服务界面。
- 单击“权限管理 > 权限 > 创建自定义策略”,策略名称填写ransomware_anti_access,策略配置方式选择json视图,填写权限如下:
{ "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "obs:object:GetObject", "obs:bucket:HeadBucket", "obs:object:GetObjectAcl", "obs:object:PutObject" ], "Resource": [ "OBS:*:*:object:*", "OBS:*:*:bucket:ransomware_anti_bucket_tmp" ] } ] }单击“确定”。
- 单击“用户组 > 创建用户组”,输入用户组名“ransomware_anti_group”,单击确定后,在该用户组的操作栏里单击“授权”,选择策略“ransomware_anti_access”后,确定。
- 单击“创建用户”,输入用户名ransomware_anti_user,访问方式选择“编程访问”,凭证类型选择“访问密钥”,单击“下一步”,选择用户组“ransomware_anti_group”后,“创建用户”创建子用户。
- 创建成功后,获取用户的AK/SK信息,参考obsutil上传对象,将文件上传到临时桶里后,下载即可。
- 文件传输完成后,删除虚拟机,删除临时用户、权限组和临时桶。
周期性演练(可选)
根据数据安全法,需要对数据容灾备份定期开展数据恢复测试。恢复是指利用备份软件把所备份的数据内容恢复到数据源。由于业务系统日常运行过程中,经常无法直接在所备份的服务器进行真实环境恢复操作。但为了验证备份数据的可用性以及备份方案完整性、可靠性以及应对未来系统突发事件发生,可以通过备份新建资源的方式来对备份介质以及备份方案进行检验,来确保备份的可恢复验证。
通过数据备份可开展定期恢复演练,具体步骤可参见云服务器备份演练。
