數(shù)據(jù)隔離和空氣間隙技術(shù)，完善數(shù)據(jù)保護防衛(wèi)機制

IDC的數(shù)據(jù)表明，在過去一年中，世界范圍內(nèi)超過三分之一的企業(yè)機構(gòu)都曾遭遇勒索軟件攻擊。不僅如此，其中不少受害企業(yè)很有可能會多次經(jīng)歷勒索軟件騷擾。時至今日，勒索軟件正不斷演變進化，企業(yè)需要采取多層次的保護措施才能有效降低風(fēng)險、控制損失。為了應(yīng)對勒索軟件帶來的新挑戰(zhàn)，Commvault Complete  Backup & Recovery 服務(wù)采用多重措施、多樣工具保護數(shù)據(jù)免受勒索，這其中就包括數(shù)據(jù)隔離（Data Isolation）和空氣間隙技術(shù)（Air Gap），大量實踐經(jīng)驗證明這兩項技術(shù)可以有效減少備份數(shù)據(jù)的攻擊面。

Commvault數(shù)據(jù)隔離可以幫助客戶生成備用的備份數(shù)據(jù)，也即第二或第三備份。Commvault利用VLAN技術(shù)、新一代防火墻、零信任技術(shù)等工具，實現(xiàn)數(shù)據(jù)隔離以保證他人無法通過公共網(wǎng)絡(luò)威脅新備用數(shù)據(jù)的安全。當(dāng)數(shù)據(jù)遭到勒索軟件入侵或惡意攻擊時，數(shù)據(jù)隔離會大大減少網(wǎng)絡(luò)威脅的攻擊面。即便病毒已侵入公共數(shù)據(jù)環(huán)境，經(jīng)過隔離的數(shù)據(jù)仍能保持安全，因為病毒無法以這一途徑影響到它們。當(dāng)然，如果想要高效的數(shù)據(jù)保護，隔離環(huán)境必須同時隔絕互聯(lián)網(wǎng)及公共網(wǎng)絡(luò)連接。

在處理數(shù)據(jù)備份及保護時，空氣間隙技術(shù)可以說是數(shù)據(jù)隔離的“最佳拍檔”。傳統(tǒng)的空氣間隙網(wǎng)絡(luò)會完全隔絕其與公共網(wǎng)絡(luò)的連接。例如磁帶，由于磁帶可以從數(shù)據(jù)庫中取出并單獨存儲，在過去，磁帶是典型的空氣間隙備份媒介。與之類似，Commvault既可以創(chuàng)建數(shù)據(jù)備份，也能將備份存儲在由空氣間隙技術(shù)賦能的安全隔離環(huán)境中。隔離環(huán)境會完全禁止域外訪問，并嚴格限制域內(nèi)與外部環(huán)境的主動連接。這些舉措可以極大程度上降低網(wǎng)絡(luò)威脅。

在絕大多數(shù)情況下，對數(shù)據(jù)中心進行隔離處理，再輔以Commvault的安全控制技術(shù)已足夠應(yīng)對可能出現(xiàn)的安全威脅。如果再運用空氣間隙技術(shù)，勒索攻擊影響備份數(shù)據(jù)的風(fēng)險則會進一步降低。Commvault數(shù)據(jù)備份及恢復(fù)服務(wù)采用了數(shù)據(jù)隔離及空氣間隙技術(shù)，可以大幅提高企業(yè)機構(gòu)的數(shù)據(jù)備份及恢復(fù)能力，降低勒索軟件和其他惡意攻擊帶來的風(fēng)險。Commvault數(shù)據(jù)備份及恢復(fù)服務(wù)的主要優(yōu)勢和價值有以下幾點：

通信由隔離網(wǎng)站內(nèi)部主動發(fā)起

所有針對隔離數(shù)據(jù)的外部連接都會被禁止，為了正常進行數(shù)據(jù)備份，只容許產(chǎn)生少數(shù)隔離數(shù)據(jù)與源數(shù)據(jù)間進行連接。這是一種拉配置（Pull Configuration），與推配置（Push Configuration）相對。通信從安全的隔離端發(fā)起，Commvault只負責(zé)管理數(shù)據(jù)保護和保留。

空氣間隙就緒

使用Commvault數(shù)據(jù)備份及恢復(fù)服務(wù)，僅需切除由隔離數(shù)據(jù)端發(fā)起的加密通道，便可完成空氣間隙處理。并且，Commvault的自動化框架也帶給客戶自主配置功能的選擇。

業(yè)內(nèi)領(lǐng)先的安全控制

Commvault采用AAA安全框架（身份驗證、授權(quán)、記賬）提供了一系列控制選項以加強平臺安全性。此外，Commvault也使用端到端加密和證書身份驗證來防止惡意數(shù)據(jù)訪問、中間人攻擊和欺騙。

不可變備份

Commvault利用分層安全控制、一次寫入多次讀?。╓ORM）能以及針對備份數(shù)據(jù)的內(nèi)置勒索軟件保護，防止未經(jīng)授權(quán)的隨機更改。這也有助于防止有意或無意的備份數(shù)據(jù)修改與刪除，保持備份數(shù)據(jù)完整性。

數(shù)據(jù)驗證

Commvault會在數(shù)據(jù)備份期間、靜止存儲時以及進行復(fù)制操作期間多次驗證數(shù)據(jù)完整、真實性。首次備份數(shù)據(jù)時，服務(wù)會為源客戶端上的每個數(shù)據(jù)塊進行CRC校驗。這些信息會用于驗證初始備份數(shù)據(jù)并與備份一起存儲。

網(wǎng)絡(luò)、勒索軟件攻擊保護

備份數(shù)據(jù)鎖定，只能由Commvault進程修改。任何試圖從數(shù)據(jù)移動器（介質(zhì)代理）中刪除、修改備份數(shù)據(jù)的勒索軟件、應(yīng)用程序或用戶都將在I/O堆棧中被駁回。并且，Commvault使用機器學(xué)習(xí)算法來檢測基于文件的異常行為，這些異常行為可能是對Commvault資源勒索軟件攻擊的特征。

硬件無關(guān)性

Commvault支持各種磁盤、云和對象存儲供應(yīng)商。將Commvault用于空氣間隙解決方案時，可以使用任何受支持的存儲供應(yīng)商，這就包括Commvault HyperScale Appliance。Commvault還支持WORM和與第三方存儲設(shè)備一起使用的不可變鎖。

Commvault備份和恢復(fù)軟件集成

數(shù)據(jù)隔離和空氣間隙解決方案包含索引、分析和重復(fù)數(shù)據(jù)刪除等多項Commvault功能。

采取數(shù)據(jù)隔離和空氣間隙技術(shù)保護備份數(shù)據(jù)的安全，可以提供針對勒索軟件威脅的最佳保護方案。以保險箱為例，保險箱放在外面很容易被小偷看到，如果藏在安全的家里，安全系數(shù)會大大提升。從邏輯上講，最安全的選擇就是把錢包放在保險箱內(nèi)，然后將保險箱存放在一個遠程的安全機構(gòu)（比如銀行）。錢包被空氣間隙隔離、且無法接觸，完全消除了暴露在偷盜者視線內(nèi)的可能性。

綜合采用數(shù)據(jù)隔離和空氣間隙技術(shù)，就會大大降低風(fēng)險，形成一道堅固的數(shù)據(jù)防線。Commvault的現(xiàn)代空氣間隙技術(shù)不僅使用簡便，而且提供了數(shù)據(jù)保護所需的最高安全級別，防止橫向移動威脅，支持客戶做好數(shù)據(jù)恢復(fù)準(zhǔn)備。