Veeam对于新病毒防御的建议

前言

勒索软件GandCrab

上周末，在我们大家晒娃和欢度六一的时候。勒索软件分发平台 GandCrab 宣布将在一个月内关闭其RaaS（勒索软件即服务）业务平台。据悉，该公司靠勒索软件赚取了超过20亿美元的赎金，运营商每周大约赚250万美元。以下来自是他们的信息...

简单来翻译，哥赚钱啦，第周都有稳定收入，很多的呦！我们已经成功的把这些钱洗白白了。告知某些人啊，你们的数据如果还想要的话，后面就只省下几天啦，这是最后的机会，过时不候 ;-P

本文关键章节

前言：勒索软件GandCrab
1.什么是勒索病毒？
2.来自于Veeam的建议
- 2.1 永远的3-2-1 原则
- 2.2 利用Veeam ONE 监控勒索病毒活动，防患于未然
- 2.3 利用与生产存储快照结合进行快速的备份
- 2.4 与去重设备结合进行快速恢复
- 2.5 利用Veeam Secure Restore 定期安全的恢复数据
4.如何配置 Veeam + Data Domain
好书推荐环节

1. 什么是勒索病毒？

勒索软件使所有类型的最终用户的企业面临的威胁，也是网络犯罪分子首选的勒索工具之一。它主要通过对数据的加密，使数据无法使用，之后以解密之名进行敲诈勒索。受影响者的挫败感是显而易见的，其结果包括关键数据丢失，停机时间和声誉受损。

美国FBI的一份报告显示，2016年，勒索软件的非法收入可能达到10亿美元。这一巨大的收入数字，很大一部分都是由企业缴纳的赎金组成。当用户因为勒索软件导致业务中断，企业通常会认为支付赎金是取回数据最划算的办法。但尴尬的是，这些支付出去的赎金，通常会被直接用于下一代勒索软件的开发。所以很多企业正在无奈地用“金钱浇灌着勒索软件的花朵”。正因如此，勒索攻击正以惊人的速度不断发展，勒索软件家族也正在不断的进化。勒索事件之所以如此可怖，是因为它不像一般攻击事件，其发起者只想访问数据或者获取资源，勒索者有时既想要数据，更要钱。这也是为什么在很多勒索事件中，受害者被骗取了钱财，但未拿回自己的数据。

2.来自于Veeam的建议

在此背景下，如何保证您的企业业务永远在线，并且不会受到勒索软件等威胁的干扰。如何激活自己的数据安全能力，在物理，虚拟化和多云基础架构之间安全地移动数据，是当今的企业希望转向新的数据智能管理的原因。我们来看看来自于Veeam的建议：

永远的 3-2-1 备份原则
利用Veeam ONE 监控勒索病毒活动，防患于未然
利用与生产存储快照结合进行快速备份
与去重设备结合进行快速恢复
利用Veeam Secure Restore 定期安全的恢复数据

2.1 永远的3-2-1 备份原则

3-2-1 规则具有极大的普遍性，适用于所有企业与个人以及所有环境类型,包括物理、虚拟和云。利用这个原则可以使企业远离勒索病毒的困扰。如果您将 Veeam 用于 VMware 和 Hyper-V 环境，此规则就变成了“3-2-1-0 备份规则”。0 表示“0 数据丢失”，因为 Veeam 的 SureBackup 可自动检验每一个备份的可恢复性。

Veeam Backup & Replication? 可帮助您满足所有 3-2-1 备份规则要求。

至少拥有数据的三个副本，设置Backup Job (备份作业)来为您的每一个 VMware 或 Hyper-V 虚拟机创建若干备份。
将副本存储在两个不同的介质上：您可将备份存储至下列任何介质：磁带、磁盘、云等等。
保存一份异地备份的副本：设置Backup Copy Job(备份复制工作)来利用内置广域网加速更快速地转移异地备份，或者使用 Veeam Cloud Connect 将异地备份存储至服务提供商基础架构，如下图。

2.2 利用Veeam ONE 监控勒索病毒活动，防患于未然

通常病毒形成威胁的时候，做什么补救的措施都显得很苍白，所以对源头的治理才是最重要的。如何尽早的发现勒索病毒的活动，避免企业承受风险呢？Veeam ONE 中包含了一个值得注意功能，那就是对可能的发生的勒索软件活动进行报警，它会检测VM上是否发生了可疑活动，如下图。这些VMware警报可以提供对数据中心的可视性，以确保您的业务安全性与可用性。

关于警报的参数，是基于CPU总运行时间和磁盘写入状态等条件的，这些参数可以根据您的喜好进行修改：警报可用于提高对可能发生攻击的安全意识，并使系统管理员能够调查，分析和进行和进行判断。我认为你会同意被告知比无视你组织内的持续攻击要好得多。居安思危，未雨绸缪！

2.3 利用与生产存储快照结合进行快速的备份，以Veeam + EMC 存储为例

在防止数据被病毒感染的时候，缩短数据备份的间隔是非常重要的。实现此目标的最佳方法之一就是利用存储系统快照来保持高可用性级别。 Veeam Availability Suite? 提供与EMC Unity 和 VNX / VNXe所有闪存和混合存储阵列的集成。通过利用自动化调用存储快照的强大功能来实现备份、复制和恢复任务。此集成功能为数据中心提供了增强 Always-On Enterprise? 可用性的新方法。 Veeam可用套件附带的存储快照调用功能与 Veeam Explorer? 存储快照利用功能，可以大大缩短数据备份间隔和数据即时利用的能力，从而实现更细粒度的数据保护，目前Veeam支持与多种存储集成，使您能够：

最大限度地减少对生产VM的影响而快速备份
从EMC Unity / VNX / VNXe存储快照直接快速创建备份，速度比竞争对手快20倍
在两分钟或更短的时间内轻松恢复单个数据集
与Cloud Connect 结合形成异地备份与长期数据保留

2.4 利用去重设备做快速恢复与长期保留Veeam + Data Domain

除了与EMC Unity / VNX / VNXe这种生产存储的集成之外，Veeam Availability Suite还提供与去重设备结合，如 Dell EMC Data Domain Boost的集成。 Veeam和Data Domain Boost提供源端数据重复数据删除，以实现更快，更高效的备份，从而实现更低的恢复点目标（RPO）和更低的数据丢失风险。有人这时可以会有点儿疑惑，生产存储与去重存储的作用分别为什么，简单讲，就是利用生产存储快速的得到一致性的数据备份源，而利用去重设备快速的将数据备份。

将Veeam Availability Suite与Data Domain Boost相结合的好处包括：

备份性能提高50％，缩短备份时间
创建和转换合成全备份的速度提高了10倍，缩短备份时间
光纤通道连接，可实现到Data Domain 的 LAN Free备份
带有加密的源端数据复制，可提高数据的安全性和控制力

创建隔离备份环境

从上图我们可以看到，利用EMC的Data Domain的功能，我们是可以创建隔离备份环境的，这样就可以使备份好的数据，再也无法被更改。同时，在9.5U4的Cloud Connect 更新中 Veeam 的BaaS也添加了有间隙备份（Air-Gapped Backup）选项, VCSP 可以使用 "租户到磁带" 功能创建备份服务以实现更长期的保留。

2.4 利用Veeam Secure Restore 定期安全的恢复数据

备份是个周而复始的日常任务，而病毒的出现则是突发性的事件，这就造成了0 Day攻击的现象，以下图为例，备份每天都在运行，而随着备份的进行，新的病毒也一并随着备份数据存储到了备份介质中，随着时间的推移，反病毒厂商会制作新的病毒库，用来抵抗病毒。而在数据还原时，通常我们都不能将数据直接还原到生产环境中，原因很简单，我们担心二次感染的的出现， Veeam Secure Restore 可以彻底解决这个问题，在发现勒索病毒后，我们可以自动化的周期性的，将之前受感染的数据用安全还原方式恢复。

Veeam Backup＆Replication 允许您执行安全还原 - 使用防病毒软件扫描计算机数据，然后将计算机还原到生产环境。

Veeam Secure Restore 工作原理
如下图，首先，我们在已有的备份集中找到需要的还原点，在Datalabs中将需要还原的磁盘挂载，同时启动杀毒软件进行扫描，如果发现病毒，则启动杀毒，并把主机还原至无网络的状态，等待处理。如果没有发现病毒，则直接还原到生产环境。Veeam的Datalabs创造了一个隔离的数据还原环境，与此同时，在隔离的环境中进行杀毒，这样就可以确保数据还原的安全性。

在安全还原期间，Veeam Backup ＆ Replication 会将按照您计划将要还原的VM的磁盘装入装载置服务器。然后触发防病毒软件以扫描已装入磁盘中的文件。如果在扫描期间防病毒检测到恶意软件，Veeam Backup＆Replication 将中止恢复过程，或者根据安全恢复设置恢复计算机的限制。Veeam可以帮助企业激活自己的数据安全能力，在物理，虚拟化和多云基础架构之间安全地恢复数据，安全还原可用于以下还原操作：