文档首页/ 云备份 CBR/ 最佳实践/ 通过CBR+HSS搭建云上备份防勒索系统/ 详细步骤
更新时间:2024-07-31 GMT+08:00
查看PDF
分享

详细步骤

配置CBR备份并开启备份锁定

购买云服务器备份存储库

备份存储库是CBR服务的基本单元,使用CBR服务前必须要先购买备份存储库。如果使用量超过购买的容量后将不能再进行备份,因此购买存储库时建议购买自动扩容存储库,避免因为容量问题导致备份失败。

  1. 登录云备份管理控制台。

    1. 登录管理控制台
    2. 单击管理控制台左上角的,选择区域。
    3. 单击“”,选择“存储 > 云备份 CBR”。选择对应的备份目录。

  2. 在界面右上角单击“购买云服务器备份存储库”
  3. 选择计费模式。

    • 包年包月是预付费模式,按订单的购买周期计费,适用于可预估资源使用周期的场景,价格比按需计费模式更优惠。
    • 按需计费是后付费模式,根据实际使用量进行计费,可以随时购买或删除存储库。费用直接从账户余额中扣除。

      如果选择的是按需计费的存储库,则自动扩容建议选择“立即配置”,避免因为容量问题导致备份失败。

  4. 选择是否启用备份锁定,也可以后续选择开启。

    开启备份锁定后,可以避免备份被误删除或者恶意删除,提升数据安全性。

    开启备份锁定后,该功能无法关闭,存储库和备份副本将不允许手动删除,请详细阅读说明并确认是否开启,建议开启。

  5. 其余选项按需配置,具体操作可参见购买云服务器备份存储库

配置备份策略

存储库购买完成后,可以进行备份策略或复制策略的创建、修改、删除、绑定至存储库等操作。

具体操作请参照策略管理章节。

开启存储库备份锁定

如果在购买存储库时已选择启用备份锁定,可以跳过该步骤。

开启备份锁定为了保护备份的安全,即使在被病毒攻击后、认证信息泄漏的情况下,也能够保证备份数据不被误删。

  1. 登录云备份管理控制台。

    1. 登录管理控制台
    2. 单击管理控制台左上角的,选择区域。
    3. 单击“”,选择“存储 > 云备份 CBR”。选择对应的备份目录。

  2. 在任一备份页面,找到目标存储库,单击存储库所在列的“更多 > 开启备份锁定”。
  3. 在备份锁定弹框中,打开备份锁定开关。

    图1 备份锁定

  4. 单击“确定”。

    返回存储库列表,可以看到目标存储库的“备份锁定列显示为已开启

开启备份锁定后,该功能无法关闭,存储库和备份副本将不允许手动删除,请详细阅读说明并确认是否开启,建议开启。

配置HSS主机安全

本最佳实践方案需要使用到HSS主机安全服务,详情请参考HSS防勒索最佳实践

备份恢复

当遭受勒索病毒攻击后,当前尚无有效工具能够破解勒索病毒,唯一的方案只能通过备份快速恢复数据。通过备份恢复云服务器时,首先判断该备份是否已被勒索病毒感染,如果备份正常,则参考使用云服务器备份恢复数据;如果备份为勒索加密备份,则建议的备份恢复操作如下:

  1. IAM管理员账号登录登录管理控制台
  2. 单击管理控制台左上角的,选择区域。
  3. 在控制台的左侧导航窗格中选择“计算 > 弹性云服务器 ECS”,进入弹性云服务器界面。
  4. 按照通过规格选型引导购买云服务器独立的VPC内购买弹性云服务器。

    此处使用独立VPC,防止勒索病毒在干净区域内感染。

  5. 在IAM控制台的左侧导航窗格中选择“存储 > 云备份 CBR”,进入云备份服务界面。
  6. 在左侧导航栏单击“云服务器备份 > 备份副本”,在备份列表上方,可以通过备份名称、存储库ID、服务器名称、服务器ID等条件搜索,搜索需要恢复的云服务器备份。

    图2 筛选备份

  7. 单击选中的云服务器备份,进入详情页后,单击“磁盘级备份”。

  8. 单击“创建磁盘”,进入到“购买磁盘”界面,按需创建磁盘。

  9. 待磁盘创建成功后,将磁盘挂载到步骤3创建的虚拟机上,登录虚拟机查看磁盘下的数据是否正常。
  10. 步骤9中正常的未加密的数据,可以通过对象存储obsutil工具上传到对象存储桶里。

    在OBS管理控制台左侧导航栏选择“桶列表”,在页面右上角单击“创建桶”,系统弹出如下所示的页面,创建临时桶ransomware_anti_bucket_tmp,用于临时保存数据。具体操作可参见创建桶
    图3 创建桶

  11. 在控制台的左侧导航窗格中选择“管理与监管 > 统一身份认证服务 IAM”,进入统一身份认证服务界面。
  12. 单击“权限管理 > 权限 > 创建自定义策略”,策略名称填写ransomware_anti_access,策略配置方式选择json视图,填写权限如下:

    {
    "Version": "1.1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "obs:object:GetObject",
                "obs:bucket:HeadBucket",
                "obs:object:GetObjectAcl",
                "obs:object:PutObject"
            ],
            "Resource": [
                "OBS:*:*:object:*",
                "OBS:*:*:bucket:ransomware_anti_bucket_tmp"
            ]
        }
    ]
}

    单击“确定”。

  13. 单击“用户组 > 创建用户组”,输入用户组名“ransomware_anti_group”,单击确定后,在该用户组的操作栏里单击“授权”,选择策略“ransomware_anti_access”后,确定。
  14. 单击“创建用户”,输入用户名ransomware_anti_user,访问方式选择“编程访问”,凭证类型选择“访问密钥”,单击“下一步”,选择用户组“ransomware_anti_group”后,“创建用户”创建子用户。

  15. 创建成功后,获取用户的AK/SK信息,参考obsutil上传对象,将文件上传到临时桶里后,下载即可。
  16. 文件传输完成后,删除虚拟机,删除临时用户、权限组和临时桶。

周期性演练(可选)

根据数据安全法,需要对数据容灾备份定期开展数据恢复测试。恢复是指利用备份软件把所备份的数据内容恢复到数据源。由于业务系统日常运行过程中,经常无法直接在所备份的服务器进行真实环境恢复操作。但为了验证备份数据的可用性以及备份方案完整性、可靠性以及应对未来系统突发事件发生,可以通过备份新建资源的方式来对备份介质以及备份方案进行检验,来确保备份的可恢复验证。

通过数据备份可开展定期恢复演练,具体步骤可参见云服务器备份演练

相关文档