Cloud Backup深度解析:从被动防御到主动保护
内容介绍
一、企业数据保护的挑战和应对策略
二、主动数据保护技术详解
本次分享的主题是Cloud Backup深度解析:从被动防御到主动保护 ,由阿里云智能集团高级技术专家张磊分享。
一、企业数据保护的挑战和应对策略
1.企业数据安全威胁
小概率事件并不意味着它绝对不会发生。据统计,2023年勒索病毒攻击的数量激增了67%,赎金更是增长了五倍之多。同时,内部攻击、误删数据后离职、系统故障、硬件宕机以及自然灾害等情况也屡见不鲜。即便是被誉为拥有“台风结界”的上海,也可能在短短一周内接连遭遇两次台风袭击。此外,有30%的业务宕机事件是由运维人员的误操作直接导致的,这不仅影响了业务的正常运行,还给数据安全带来了严重威胁。因此,综合这四个方面的安全威胁来看,数据保护事件显然已不能被视为小概率事件。
然而,小概率事件的概念在公众心中并未得到良好的纠正,这导致许多企业在数据保护方面的投入相对较低,配置不足且技术落后,只能陷入被动防御的困境。例如,当业务人员询问新系统上线后备份管理员是否知晓及如何备份时,由于备份管理员不了解应用管理员的系统上线时间,且系统上线速度迅速,这一问题往往难以得到及时准确的回答。
在行业中,当公司遭受勒索病毒攻击时,备份系统往往也会同时受到波及,使得生产和备份系统都无法完全保证安全。此外,备份数据的安全性也备受关注,如数据是否被勒索病毒感染、恢复后是否会再次感染等问题都需妥善处理。系统即便从备份中恢复,次日也可能再次中招,持续受到病毒威胁。
在机房管理中,客户对备份策略尤为关注,尤其是是否实施了异地备份。一旦发生自然灾害,客户会立即询问数据是否有异地备份以保障在紧急情况下能够迅速恢复数据。对于公司中通常只有一两个人的备份管理员团队而言,这些问题处理起来极为棘手,这一现象相当严重。
2.主动数据保护策略
通过服务上万客户并每日执行数十万次的备份任务,结合用户实际需求与行业发展趋势,我们总结出了四步主动防御策略。第一步是主动发现与精准识别。这一步旨在明确需要备份的资源和数据量,包括但不限于ECS、NAS等。系统应能主动识别资源并自动执行备份任务,而无需等待业务部署方的通知或询问业务部门是否有新系统上线及备份需求。
第二步是在资源发现并备份后,对备份数据进行检测,以确认是否存在病毒或潜在风险。一旦发现风险,系统应立即标记并隔离,确保备份系统的纯净性,防止风险扩散,避免系统遭受持续感染和破坏。
第三步是锁定备份数据,以防止自然灾害、恶意攻击等外部威胁对备份系统造成损害。这一步骤旨在保护备份数据不被勒索软件等恶意软件侵害,同时防范来自内外部的各种风险。
第四步是在前三步防护措施到位的基础上,设立一个全局巡检机制,即“裁判员”角色。该机制负责检查所有资源的备份情况,例如,当云上拥有1000个资源时,我们需要确保这些资源都已得到备份,并且每个资源的备份都是准确无误的。“裁判员”通过主动发现数据、检测风险并给出评分,我们可以根据生成的报告向相关方及上级展示备份的完备性和策略的有效性,从而形成一个完整的闭环,实现主动防御和数据保护的策略。以上就是四步走的方法概念。接下来,我们将详细阐述如何在技术层面实现这一策略。
二、主动数据保护技术详解
1.策略关联
在技术场景中,主动发现的功能可以通过标签机制来实现自动资源发现与策略关联。当在云端部署资源时,应用方在部署流程中为资源分配特定的标签,而备份管理员则根据不同应用的重要等级预先设定好相应的备份策略。例如,对于面向外部的生产业务,我们可以采用金牌策略,该策略涵盖本地备份、每日备份、保留期半年并支持异地复制,如从上海复制到北京等地。此外,还有银牌策略和红牌策略等多种选择。
对于拥有特定标签“Category”的资源,如果其类别被标记为“Critical”,则自动应用金牌策略;或者,如果应用名称与支付相关,则采用银牌策略。这种做法的优势在于,策略可以提前配置好,并使应用管理员成为主动参与者。一旦管理员设定好策略,他们便无需每天询问业务方的具体操作,而是由业务方负责人承担起为资源打标签的责任。如果资源被打上了相应的标签,则会自动进行备份;如果没有打标签,则不进行备份。通过这种方式,数据保护的责任从备份管理员转移到了应用管理员甚至开发层面,这是其最大的益处,确保了主动防御行动能够在最前线发挥作用,避免了被动防守的局面。
这是基于标签的自动策略关联机制。同时,当应用发生调整时,例如从A类别调整到B类别,只需更改标签,即可自动切换为相应的备份策略,极大地提高了操作的便捷性。
2.多种备份引擎
其实现方式如下:每次定制策略时,可以设定为每天或每小时触发一次。当策略被触发时,系统会首先扫描所有资源,检查它们是否关联有特定的备份策略标签。每一次扫描都会为符合条件的资源打上相应的标签。一旦资源被打上了标签,系统在后续的扫描中就会识别出这些资源并进行备份。
当资源的标签发生更改时,新的资源会被自动纳入备份范围,从而形成一个动态变化的资源列表。同时,利用策略备份配置,如合成全备或增量备份配置,系统可以确定是否需要进行核心数据准备、病毒检测、复制到其他地点等操作。
有了这些配置,系统就可以根据资源列表的内容自动申请并执行相应的备份任务,动态地将这些任务调度到后续的备份流程中。这样,就形成了一个闭环,每次都能及时发现并备份资源,确保了备份的实效性和准确性。
3.恶意文件检测
接下来,我们将介绍如何确保备份数据本身不具有破坏性且不包含恶意文件。传统的备份方式通常只是进行简单的复制,而我们则实现了全自动的备份过程,并集成了恶意文件检测功能。为此,我们采取了以下三方面的防护措施:
首先,当文件进入备份系统后,系统会立即进行静态扫描。这一步骤主要针对二进制文件或脚本进行,通过比对特征库来检测是否存在恶意代码。然而,随着病毒的不断演进,许多病毒采用了加密技术来逃避检测。因此,我们的静态扫描还包括了脱壳操作,即去除病毒的加密层,以获得真正的二进制文件进行扫描。
尽管如此,有时静态扫描仍然难以完全识别出所有恶意文件。因此,我们还需要进行动态沙箱模拟。在这一步骤中,我们将二进制文件放入一个封闭的沙箱环境中执行,并为其提供虚假的信息和条件来引诱其触发恶意行为。通过结合静态扫描和动态模拟,我们能够更准确地识别出风险文件。
在备份库存中,我们会根据风险等级对风险文件进行标记,如使用红色、黄色等颜色来表示不同的风险程度。这样,在恢复数据时,我们能够确保有风险的文件被及时识别,并防止它们对环境造成持续感染,从而避免恢复后的系统再次受到攻击,确保数据的安全性。此方案能够有效地降低恢复后数据带有病毒的风险。
4.探测效率
刚才我们详细阐述了文件的探测机制。除此之外,很多人还非常关心探测的效率问题。例如,在一个备份机中存储了上千万个文件,当进行首次备份时,备份库中已经保存了这上千万个文件,并且它们都是安全的,即未被感染。到了第二天进行备份时,可能会有一部分文件被修改或增删,此时我们并不确定这些文件是否已被感染。因此,在第二天,我们会将这些有变化的文件单独隔离出来进行增量扫描,而不是对整个备份库进行整体扫描,以降低成本。因为整体扫描的成本非常高,尽管目前的收费相对较低,但仍然会产生一定的费用。通过对变化的文件进行扫描,并将它们安全地放入备份库,我们可以在恢复时确保,如果发现文件带有病毒,可以追溯到以前不带病毒的版本进行恢复,从而最大限度地保证数据的可恢复性。
这是保障备份数据自身不带有破坏性的方案。接下来,我们需要确保已经存储的干净数据不会被攻破或受到攻击,特别是要防止勒索病毒再次加密这些数据。为此,我们采用了备份加密和锁定机制。具体来说,所有备份数据在IESO阶段就进行加密处理,加密完成后将永不解密,直到需要进行数据恢复时,才会在端点上临时进行解密。加密后的数据被安全地存放在备份库中。同时,我们在备份库中添加了一层额外的安全保护,确保外部黑客、勒索病毒、恶意人员以及内部人员都无法接触到里面的数据。我们通过逻辑隔离和物理隔离的双重手段来保障数据的安全。
此外,我们还提供了备份锁定功能,确保即使是备份管理员使用合法的API也无法删除数据,从而防止因误操作或恶意行为导致的数据丢失。一旦数据被锁定,即使是备份管理员也无法删除它们,从而保证了在外部攻击和内部攻击的情况下都能确保数据的安全。
我们的实现机制如下:在备份客户端,数据被读出后,会在原端进行AES加密操作。文件被切割成小段落后进行加密和压缩,然后通过特殊的API链路进行数据传输。这个特殊的协议不同于常见的协议,如HGDP等,它保证了无法通过常规方法找到攻击入口。我们有两层防护措施:一是必须使用合法签名的客户端才能进行数据传输和备份操作;二是采用特殊的传输协议来确保数据的安全性。存储库则采用了WORM(Write Once Read Many)存储技术,即一次写入多次读取且不可更改或删除。
最后一道防护是阿里云的服务器网络保护物理层。所有业务都在VPC(Virtual Private Cloud)中进行,无法通过物理网络直接攻击服务器,实现了逻辑网络和物理网络的隔离。这是最强的安全保障措施之一。通过协议加密和物理防护的双重手段,我们全方位地保证了数据库的安全。
目前,我们已经介绍了主动发现和主动配置策略、病毒扫描以及备份库的锁定等关键功能。在大方面上我们已经有了不少配置选项,而小的配置则更多。面对如此多的配置选项如何为它们分配对应的策略成为了一个问题。因此我们需要建立一个策略中心来确保一次配置可以重复使用。
为此我们设立了策略中心,它可以预设用户的备份策略,包括备份频率、保留周期等各种参数。例如每天备份并保持七天、周末备份并保持一个月等。这些策略被置于一个引擎中,配置好后可以重复应用于不同的资源上。我们的线上和线下服务每天都需要面对大量的服务器和备份任务,这些任务都是由策略驱动的。
为确保驱动的正确性和任务的成功执行,我们借助了全局时钟来触发备份任务。在每个时间段都可能触发备份操作。我们会检查应该执行的任务列表,找到与策略关联的资源,并列出这些资源和对应的备份任务。然后对所有资源进行备份操作并执行相应的备份任务。
对于成千上万个任务来说,我们可以通过模拟任务的方式来验证任务生成的正确性。我们用另一套算法在CPU上模拟理论上应该执行的任务,并与实际触发的任务进行比对,以检查是否有多生成、少生成或重复生成的情况,从而发现潜在的问题。
任务生成并且匹配无误后就会放到调度和监控层进行处理。后台利用超大规模的容器集群来备份数据,如OTS、NAS等,并严密监控每个任务的进展情况、状态、重试情况以及速度等关键信息。例如当容器资源不足时我们会及时调动更多的资源进行备份操作;当任务较少时我们也会相应地缩减资源以确保每个任务都能得到执行。
同时在执行过程中我们会收集一些关键参数信息包括瞬时资源消耗、错误码以及完成速度等,并将它们进行汇总和分析。一旦发现问题,如备份卡住等,我们的自动系统会立即进行排障操作以确保策略能够正常运行并得到正确的执行结果。通过这个机制我们可以确保任务的数据存储正确性并为用户提供可靠的数据备份服务。
5.数据灾备中心
如图所示,这是我们最近上线的数据灾备中心。同时,近期我们还推出了数据保护中心产品,这是一项能够全面汇总资源并可视化展示数据保护状态的免费服务。该服务会自动扫描所有云上资源,例如ECS、NAS,识别并评估当前资源所关联的备份策略,并为其打分。
具体来说,对于被标记为关键类应用的资源,我们会仔细审查其配置是否达标,比如是否配置了异地复制等关键措施。我们会根据资源的不同标签和分级,为其设定相应的评分标准。通过评估关键应用是否已配置备份策略,以及这些策略是否符合既定的标准,特别是是否包含异地复制功能,这是防范自然灾害的关键,来为其打分。配置的节点数量越多,选用的备份选项,如异地复制、本地备份等,越丰富,得分就会越高。
当然,不同的应用因其重要性和需求的不同,所需的备份策略也会有所差异。因此,我们可以根据不同的标签和应用分级,为其进行个性化的配置评分。
在数据保护中心的中部界面,管理员可以清晰地查看每个资源的保护状态,并在必要时进行修复操作。此外,管理员还可以生成详细的报告,供CEO等高层管理人员审阅,以便他们更好地了解当前的数据保护状况。
6.全方位主动数据保护
接下来,我将介绍如何实现全Region(区域)的视图管理。在阿里云平台上,存在一个中心化的服务,该服务能够自动扫描并评估全区域内所有资源的保护状态,并为其打分。若用户不希望逐个手动配置资源保护策略,他们可以在数据灾备策略中心进行统一配置,如为ECS设置原备份等级备份服务、启用异地备份等,从而实现对全局资源的可视化管理和策略下发。
对于NAS和OSS等存储服务,OSS提供了回收站功能,而NAS则通过特定的机制来保障数据的安全。此外,OSS还提供了多版本策略,确保即使文件被删除,其旧版本仍然能够被保留下来。这些保护策略都可以直接在BDRC(备份与灾难恢复中心)控制台上进行配置和下发。
如果用户希望为特定的策略打上标签,无论是针对OSS、NAS还是ECS,都可以通过统一的界面进行下发。然而,需要注意的是,尽管这些策略可以在全局范围内进行配置和下发,但具体的文件恢复操作仍然需要在相应的操作台上进行。尽管如此,这个“管理员”角色仍然能够为用户提供全局的视图,并允许他们下发全局性的保护策略。
最后,我要强调的是,虽然勒索病毒、内部攻击、运维事故以及自然灾害等小概率事件单独来看可能并不常见,但当它们合并起来考虑时,就可能成为一个大概率的风险。因此,我们必须建立主动防御机制来应对这些潜在威胁。
阿里云提供的云备份SAS服务就是一个很好的例子。它能够主动发现并备份SAS资源,自动关联保护策略以确保备份数据的安全性和完整性,防止备份数据被篡改或破坏。而且,SAS服务无需用户自行部署资源,只需在控制台上进行简单的配置即可立即使用。
当所有数据保护策略都配置完成后,数据灾备中心将对这些策略进行统一的评估打分,并提供全域的资源状态视图。用户可以在此基础上进行全局策略的下发和调整,从而形成一个完善的数据保护体系。通过这种主动防御机制,我们可以以更加轻松和高效的方式来保护用户的数据安全。
