Veeam对于新病毒防护的建议

Veeam对于新病毒防护的建议

前言

勒索软件GandCrab

上周末，在咱们你们晒娃和欢度六一的时候。勒索软件分发平台 GandCrab 宣布将在一个月内关闭其RaaS（勒索软件即服务）业务平台。据悉，该公司靠勒索软件赚取了超过20亿美圆的赎金，运营商每周大约赚250万美圆。如下来自是他们的信息...

简单来翻译，哥赚钱啦，第周都有稳定收入，不少的呦！咱们已经成功的把这些钱洗白白了。告知某些人啊，大家的数据若是还想要的话，后面就只省下几天啦，这是最后的机会 ，过期不候 ;-P

本文关键章节

• 前言：勒索软件GandCrab
• 1.什么是勒索病毒？
• 2.来自于Veeam的建议
  • 2.1 永远的3-2-1 原则
  • 2.2 利用Veeam ONE 监控勒索病毒活动，防患于未然
  • 2.3 利用与生产存储快照结合进行快速的备份
  • 2.4 与去重设备结合进行快速恢复
  • 2.5 利用Veeam Secure Restore 按期安全的恢复数据
• 4.如何配置 Veeam + Data Domain
• 好书推荐环节

1. 什么是勒索病毒？

勒索软件使全部类型的最终用户的企业面临的威胁，也是网络犯罪分子首选的勒索工具之一。它主要经过对数据的加密，使数据没法使用，以后以解密之名进行敲诈勒索。受影响者的挫败感是显而易见的，其结果包括关键数据丢失，停机时间和声誉受损。

美国FBI的一份报告显示，2016年，勒索软件的非法收入可能达到10亿美圆。这一巨大的收入数字，很大一部分都是由企业缴纳的赎金组成。当用户由于勒索软件致使业务中断，企业一般会认为支付赎金是取回数据最划算的办法。但尴尬的是，这些支付出去的赎金，一般会被直接用于下一代勒索软件的开发。因此不少企业正在无奈地用“金钱浇灌着勒索软件的花朵”。正因如此，勒索攻击正以惊人的速度不断发展，勒索软件家族也正在不断的进化。勒索事件之因此如此可怖，是由于它不像通常攻击事件，其发起者只想访问数据或者获取资源，勒索者有时既想要数据，更要钱。这也是为何在不少勒索事件中，受害者被骗取了钱财，但未拿回本身的数据。

2.来自于Veeam的建议

在此背景下，如何保证您的企业业务永远在线，而且不会受到勒索软件等威胁的干扰。如何激活本身的数据安全能力，在物理，虚拟化和多云基础架构之间安全地移动数据，是当今的企业但愿转向新的数据智能管理的缘由。咱们来看看来自于Veeam的建议：

• 永远的 3-2-1 备份原则
• 利用Veeam ONE 监控勒索病毒活动，防患于未然
• 利用与生产存储快照结合进行快速备份
• 与去重设备结合进行快速恢复
• 利用Veeam Secure Restore 按期安全的恢复数据

2.1 永远的3-2-1 备份原则

3-2-1 规则具备极大的广泛性，适用于全部企业与我的以及全部环境类型,包括物理、虚拟和云。利用这个原则可使企业远离勒索病毒的困扰。若是您将 Veeam 用于 VMware 和 Hyper-V 环境，此规则就变成了“3-2-1-0 备份规则”。0 表示“0 数据丢失”，由于 Veeam 的 SureBackup 可自动检验每个备份的可恢复性。

Veeam Backup & Replication™ 可帮助您知足全部 3-2-1 备份规则要求。

• 至少拥有数据的三个副本 ， 设置Backup Job (备份做业)来为您的每个 VMware 或 Hyper-V 虚拟机建立若干备份。
• 将副本存储在两个不一样的介质上：您可将备份存储至下列任何介质：磁带、磁盘、云等等。
• 保存一份异地备份的副本：设置Backup Copy Job(备份复制工做)来利用内置广域网加速更快速地转移异地备份，或者使用 Veeam Cloud Connect 将异地备份存储至服务提供商基础架构，以下图。

2.2 利用Veeam ONE 监控勒索病毒活动，防患于未然

一般病毒造成威胁的时候，作什么补救的措施都显得很苍白，因此对源头的治理才是最重要的。如何尽早的发现勒索病毒的活动，避免企业承受风险呢？Veeam ONE 中包含了一个值得注意功能，那就是对可能的发生的勒索软件活动进行报警，它会检测VM上是否发生了可疑活动，以下图。这些VMware警报能够提供对数据中心的可视性，以确保您的业务安全性与可用性。

关于警报的参数，是基于CPU总运行时间和磁盘写入状态等条件的，这些参数能够根据您的喜爱进行修改：警报可用于提升对可能发生攻击的安全意识，并使系统管理员可以调查，分析和进行和进行判断。我认为你会赞成被告知比无视你组织内的持续攻击要好得多。居安思危，未雨绸缪！

2.3 利用与生产存储快照结合进行快速的备份，以Veeam + EMC 存储为例

在防止数据被病毒感染的时候，缩短数据备份的间隔是很是重要的。实现此目标的最佳方法之一就是利用存储系统快照来保持高可用性级别。 Veeam Availability Suite™ 提供与EMC Unity 和 VNX / VNXe全部闪存和混合存储阵列的集成。 经过利用自动化调用存储快照的强大功能来实现备份、复制和恢复任务。此集成功能为数据中心提供了加强 Always-On Enterprise™ 可用性的新方法。 Veeam可用套件附带的存储快照调用功能 与 Veeam Explorer™ 存储快照利用功能，能够大大缩短数据备份间隔和数据即时利用的能力，从而实现更细粒度的数据保护，目前Veeam支持与多种存储集成，使您可以：

• 最大限度地减小对生产VM的影响而快速备份
• 从EMC Unity / VNX / VNXe存储快照直接快速建立备份，速度比竞争对手快20倍
• 在两分钟或更短的时间内轻松恢复单个数据集
• 与Cloud Connect 结合造成异地备份与长期数据保留

2.4 利用去重设备作快速恢复与长期保留Veeam + Data Domain

除了与EMC Unity / VNX / VNXe这种生产存储的集成以外，Veeam Availability Suite还提供与去重设备结合，如 Dell EMC Data Domain Boost的集成。 Veeam和Data Domain Boost提供源端数据重复数据删除，以实现更快，更高效的备份，从而实现更低的恢复点目标（RPO）和更低的数据丢失风险。有人这时能够会有点儿疑惑，生产存储与去重存储的做用分别为何，简单讲，就是利用生产存储快速的获得一致性的数据备份源，而利用去重设备快速的将数据备份。

将Veeam Availability Suite与Data Domain Boost相结合的好处包括：

• 备份性能提升50％，缩短备份时间
• 建立和转换合成全备份的速度提升了10倍，缩短备份时间
• 光纤通道链接，可实现到Data Domain 的 LAN Free备份
• 带有加密的源端数据复制，可提升数据的安全性和控制力

建立隔离备份环境

从上图咱们能够看到，利用EMC的Data Domain的功能 ，咱们是能够建立隔离备份环境的，这样就可使备份好的数据，再也没法被更改。同时，在9.5U4的Cloud Connect 更新中 Veeam 的BaaS也添加了有间隙备份（Air-Gapped Backup）选项, VCSP 可使用 "租户到磁带" 功能建立备份服务以实现更长期的保留。

2.4 利用Veeam Secure Restore 按期安全的恢复数据

备份是个周而复始的平常任务，而病毒的出现则是突发性的事件，这就形成了0 Day攻击的现象，如下图为例，备份天天都在运行，而随着备份的进行，新的病毒也一并随着备份数据存储到了备份介质中，随着时间的推移，反病毒厂商会制做新的病毒库，用来抵抗病毒。而在数据还原时，一般咱们都不能将数据直接还原到生产环境中，缘由很简单，咱们担忧二次感染的的出现， Veeam Secure Restore 能够完全解决这个问题，在发现勒索病毒后，咱们能够自动化的周期性的，将以前受感染的数据用安全还原方式恢复。

Veeam Backup＆Replication 容许您执行安全还原 - 使用防病毒软件扫描计算机数据，而后将计算机还原到生产环境。

Veeam Secure Restore 工做原理
以下图，首先，咱们在已有的备份集中找到须要的还原点，在Datalabs中将须要还原的磁盘挂载，同时启动杀毒软件进行扫描，若是发现病毒，则启动杀毒，并把主机还原至无网络的状态，等待处理。若是没有发现病毒，则直接还原到生产环境。Veeam的Datalabs创造了一个隔离的数据还原环境，与此同时，在隔离的环境中进行杀毒，这样就能够确保数据还原的安全性。

在安全还原期间，Veeam Backup ＆ Replication 会将按照您计划将要还原的VM的磁盘装入装载置服务器。而后触发防病毒软件以扫描已装入磁盘中的文件。若是在扫描期间防病毒检测到恶意软件，Veeam Backup＆Replication 将停止恢复过程，或者根据安全恢复设置恢复计算机的限制。Veeam能够帮助企业激活本身的数据安全能力，在物理，虚拟化和多云基础架构之间安全地恢复数据，安全还原可用于如下还原操做：

• 即时VM恢复
• 整个VM还原
• 还原到Microsoft Azure
• 恢复到Amazon EC2
• EC2实例磁盘导出

4. 如何配置 Veeam + Data Domain Step by Step

建立EMC DD boost备份存储池，备份虚拟机到EMC DD boost备份存储池, 利用DD boost的去重压缩功能，实现节省存储空间的效果

1. 添加新的存储库
   

2. 选择Deduplicating storage appliance
   
3. 选择EMC Data Domain
   

4. 在这里配置安全认证信息、 是否启用加密和Gateway Server
   

5. 配置并行任务数量和数据写入量
   

6. 启动vPower功能
   

7. Review 配置详情
   

8. 将配置执行
   

下载白皮书：关于勒索软件的对抗与生存的对话

在这里推荐您下载 《关于勒索软件的对抗与生存的对话》 在这里，您能够了解到

• 理解与描述勒索软件的影响与复杂性
• 有效地对抗勒索软件提升企业IT系统弹性和超可用性
• 快速反应，并从勒索软件攻击恢复

参考连接

《使用Veeam ONE充分利用您的VMware警告》