勒索软件攻击的破坏性堪比停电和自然灾害,需要予以同等关注。快速恢复是一项必须满足的要求。最近,我注意到数据保护行业的许多厂商都在大力宣传不可变性和勒索软件检测特性。这两项特性绝对应该成为公司勒索软件防护策略的一部分,但利用旋转磁盘或磁带存储不可变副本可能会给企业造成过长的停机时间。如果攻击者索要 10 万美元的赎金,而一天的停机成本高达 50 万美元,那么首席执行官或首席财务官将很容易做出决定。在这种情况下,唯一的问题就变成了该如何创建 Coinbase 帐户来转移比特币?
此外,公司很可能已经有勒索软件检测和预防工具了。事实上,如果您的备份软件是从几天甚至几周前的备份中检测到勒索软件的,那么即使恢复,数据丢失的代价也可能非常高。这并不是说不可变性和检测功能不好。Veeam 很重视这些功能,但对企业来说,最优先考虑的应该是在发生勒索软件灾难时快速恢复的能力。
言归正传,以下 Veeam 恢复功能可以帮助企业快速实现 RTO,从而真正地避免支付赎金。
备份复制副本— 从备份中复制虚拟机,避免生产负载过重
从存储快照恢复— 从存储快照中快速还原文件或虚拟机
从性能良好的存储库恢复— 备份到高性能介质
故障切换/故障恢复功能— 在相同的 UI 和许可中使用传统的灾难恢复功能
备份复制副本
备份复制副本是 Veeam 最被低估的功能之一。备份复制副本的优势在于,它在备份存储库之外的灾难恢复站点中创建了一个虚拟机,用于在发生灾难时进行故障切换。也就是说,该功能在创建复制副本时不会给生产虚拟机带来任何负载。备份源的 RPO 很可能是 24 小时左右,但这会大大延长您的 RTO,因为灾难恢复站点中的虚拟机在大部分情况下只需要打开即可!顺便提一下,您也可以在备份复制作业之外执行此操作!
要深入了解这方面的“操作”,只需在为复制作业选择虚拟机时选择“源”即可。如下所示,您可以选择从备份而不是生产存储进行复制。
最后,您可以看到这种方法如何在虚拟机已经构建并准备就绪的情况下实现出色的 RTO。您只需要在发生灾难时进行故障切换,然后虚拟机就会启动。
从存储阵列快照恢复
另一个被低估的 Veeam 功能是从存储阵列(Pure、NetApp、EMC、HPE 等)快照中恢复,无论 Veeam 是否编排了这些快照。对于并非自身截取的快照,Veeam 也可以充当其目录,并提供 Array(阵列) > LUN > Snapshot(快照) > VM(虚拟机)的树状视图(如下所示)。当我向客户展示这一功能时,他们不禁啧啧称赞。
在虚拟机即时恢复的情况下,您可以看到它如何克隆快照并将其挂载到 ESXi 主机,以便立即使用。
最后,有人可能怀疑这些是模型;为打消疑虑,下面展示了在 vSphere 中还原且可供登录的虚拟机。
从性能良好的备份存储库中恢复
Veeam 最大的优势之一在于我们只提供软件,因此不存在厂商限制,也没有必须使用的硬件平台。公司一般不会将所有工作负载备份到基于闪存的存储库中,但很多公司都会使用可通过 Instant VM Recovery®(即时虚拟机恢复)实现出色 RTO 的存储库,保护环境中的 0 级或 1 级工作负载 (5-10%)。根据我的经验,Veeam 用户常常使用这种策略,并备份到 EMC Unity、Pure Flash Array C、HPE Nimble 和许多其他类似产品。顺便提一下,您还可以将物理机器即时还原到 VMware,这为裸机恢复提供了一个很好的替代方案。
使用基于快照的复制或 CDP 进行故障切换和故障恢复
Veeam 更广为人知的功能是基于快照的传统复制或连续数据保护 (CDP)(适用于需要第二类 RPO 的 SLA)。关于这个主题,您可以查阅很多很棒的内容,我就不赘述了。这里的目标是强调,对于要求 RTO 和 RPO 俱佳的工作负载,CDP 和基于快照的复制可在同一 UI 和许可中为其提供保护。没有额外的成本或管理开销。
总之,帮助公司制定有效的勒索软件恢复计划非常重要,这点常常被忽视。其重要性不亚于应对数据中心停电或自然灾害,我们需要明白这点。在那些赚大钱的人眼里,与其冒着停机风险从磁带或旋转磁盘中还原数据,不如直接支付赎金。有时,更有效的勒索软件防护策略意味着为复制提供更高的算力,以及为备份提供更高性能的存储,以避免支付赎金或处理攻击后的品牌/声誉问题。