广东
前情提要
之前我们分析过新《网络安全等级保护基本要求》规定中对“多层次备份与恢复场景”的技术管理要求,以及,本文继续详解Scalar磁带库防勒索功能的具体实现,前端备份应用以Veeam环境为例。
Veeam与昆腾Scalar Ransom Block的集成
昆腾提供的一系列磁带数据保护技术本身就非常出色,但磁带库并不是孤立运作的系统,它需要与备份应用程序协同工作。此次演示中我们引入了备份与恢复领域的长期领导者Veeam。Veeam与昆腾有着深入的合作关系,双方的集成可谓水到渠成。
Veeam与昆腾Scalar的无缝集成,展示了如何轻松地防御各类破坏性攻击,尤其是勒索软件攻击。勒索软件已成为攻击者获取赎金的常见手段,一旦无法及时支付赎金,企业可能面临灾难性数据损失。
此次演示中,我们在Scalar磁带库中创建了两个分区:一个用于备份,另一个用于Active Vault。首先查看磁带库当前的配置情况。磁带库的图形化用户界面显示了已安装的磁带及其分配情况,系统导航直观易用。
通过下拉菜单,可以查看每个磁带槽的分配情况。在此示例中,Veeam被分配到紫色槽位,Active Vault则为橄榄绿色槽位。进一步观察可以看到Veeam分区中已安装六个磁带,这些磁带通过黑色条形图标表示。而Active Vault分区当前未安装任何磁带。
本次演示的备份流程非常典型:先在本地备份库中创建备份分区,随后将磁带备份迁移至昆腾Active Vault分区。系统层面来看,一旦磁带被导出至Active Vault分区,Veeam应用将无法再访问该磁带。
从Veeam的视角看,备份库中有六个磁带可用。首先要做的是创建磁带备份作业来保护数据。整个配置过程可在主界面完成,大部分选项使用默认设置。
设置完成后,用户可以选择在作业完成后弹出磁带(Eject)或导出磁带(Export),本次选择了导出操作。
接下来是调度备份作业。Veeam的调度流程非常简洁,点击“应用”即可完成。
然后创建备份作业,演示中选择了一个虚拟机,并指定使用的备份库。
备份作业启动后,Veeam会按计划执行备份。
在作业完成后自动创建一个次级备份,并将该磁带导出,如下图所示。
此时显示磁带已被导出,并被标记为“安全”。
在磁带库中,Active Vault分区现在被分配了一盘磁带,而这盘磁带正是从原Veeam备份分区迁移而来。
启用“逻辑磁带阻断(Logical Tape Blocking)”后,磁带无法离开 Active Vault 分区。此时管理员可通过磁带库的 GUI 操作,将磁带仓推出至“阻隔器(stop)”位置,从而激活“Ransom Block”。
这一操作实现了对备份磁带的物理隔离,使其与外界断开,确保数据的安全。假设Veeam环境遭遇勒索攻击,攻击者将试图加密备份数据并索取赎金。但由于我们拥有一份安全隔离的副本,便可无惧数据丢失。
上图显示了Scalar系统前端的磁带仓已推出至“阻隔器”位置。
为了模拟数据丢失,演示中对 F: 盘进行了格式化操作。现在需要恢复该驱动器以恢复业务运营。此时只需通知数据中心的管理员,将磁带手动插回库中。此操作将自动取消逻辑磁带阻断和Ransom Block。随后通过GUI将磁带移动回Veeam分区。
如图所示,磁带已从Active Vault返回至Veeam库。此时可通过Veeam指定磁带备份文件进行恢复。
恢复过程非常简便,只需选择要恢复的备份文件即可。恢复完成后,磁带再次导出至Active Vault,确保备份持续安全。
从本次演示中可归纳出以下关键点:
√ Ransom Block可在无需物理移除磁带的前提下,实现对已归档磁带的安全隔离。
√ 通过 Active Vault + Logical Tape Blocking + Ransom Block 的组合,磁带无远程攻击路径。
√ Active Vault对Veeam完全透明,无需额外配置。
√ 恢复过程只需几步,管理员即可轻松取回安全备份。
总结思考
对于企业而言,构建全面的勒索防护策略至关重要。良好的数据管理流程虽然基础重要,但从趋势来看,几乎所有组织迟早都会遭遇勒索攻击,且攻击日趋复杂。因此,除了构建多层安全防线,企业还必须具备在遭遇攻击后快速恢复的能力。在此背景下,昆腾Scalar的Ransom Block无疑是值得信赖的本地最后防线。
我们对硬件与软件的集成机制做了充分测试。Ransom Block利用原有磁带机器人推出磁带仓的动作,结合“阻隔器”装置,创造了一个物理气隙隔离(Air Gap)机制。这种看似简单的设计,实际上非常高效可靠。事实证明,越是复杂的安全挑战,越需要简洁有效的解决方案。
Ransom Block当前已作为单独许可模块提供,建议搭配Active Vault许可一同启用,以获得最大安全收益。硬件部分也支持在大多数Scalar磁带库上加装,便于新老用户升级。可以说,磁带技术不仅依然“活着”,而且正在数据安全的最前沿焕发新生。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
