Программы-вымогатели представляют реальную угрозу не только для персональных компьютеров (ПК). Некоторым заказчикам и партнерам Veeam приходилось сталкиваться с программами-вымогателями в различных ситуациях, в том числе и в дата-центре. Одним из важнейших факторов противостояния программам-вымогателям является возможность гарантированного восстановления данных из резервных копий. Именно эта возможность позволяет обеспечить доступность данных в незапланированных ситуациях, включая атаки программ-вымогателей. Я подготовил несколько советов, которые вы сможете использовать при проектировании систем с использованием решений Veeam. Вы еще не используете решения Veeam? Ничего страшного, мои советы все равно будут для вас полезны.
Важно отметить, что не существует универсальной стратегии для защиты различных инфраструктур резервного копирования от программ-вымогателей. Моя цель — рассказать о нескольких возможностях, которые вы сможете использовать по своему усмотрению.
1. Используйте выделенные учетные записи для доступа к хранилищам резервных копий
Эта практика хорошо работает во многих случаях, а с появлением программ-шантажистов она становится еще более важной. Имя учетной записи для доступа к хранилищам резервных копий должно использоваться исключительно для этой цели и быть известным только узкой группе лиц. Никакие другие учетные записи не должны иметь доступа к хранилищу резервных копий, кроме учетных записей, которые используются непосредственно для резервного копирования. Что бы вы ни делали, не используйте учетную запись DOMAIN\Administrator для всех операций!
В некоторых небольших средах инфраструктура Veeam не введена в домен, а в более крупных средах — организована в выделенном домене, который создан для специальных операций, например, резервного копирования. Вывод — на стадии проектирования следует рассмотреть вопрос аутентификации, а также предусмотреть максимальную изоляцию инфраструктуры резервного копирования от производственной среды.
2. Включите хранение данных на автономных носителях в стратегию обеспечения доступности данных
Одна из лучших стратегий защиты от атак программ-вымогателей на хранилища резервных копий — хранение данных на автономных носителях. Решения Veeam предоставляют несколько возможностей хранения данных на автономных и частично автономных носителях:
| Носитель | Характеристика |
| Магнитная лента | Полностью вне доступа, когда не используется для записи или чтения. |
| Реплики ВМ | Выключены и в большинстве случаев используют другую схему аутентификации (например, хосты vSphere и Hyper-V находятся в другом домене). |
| Аппаратные снимки основной СХД | Могут использоваться для восстановления данных и обычно используют другую схему аутентификации. |
| Хранилище резервных копий Cloud Connect | Не имеет прямого подключения к инфраструктуре резервного копирования и использует другую схему аутентификации. |
| Сменные жесткие диски (сменные носители) | Вне физического доступа, когда не используются для чтения или записи. |
3. Используйте другую файловую систему для хранения резервных копий
Использование различных протоколов — еще один способ предотвращения атак программ-вымогателей. Я уже давно советую заказчикам Veeam хранить резервные копии в хранилищах с другой схемой аутентификации. Лучшим примером являются резервные копии критичных компонентов, например, контроллера домена. В случае необходимости полностью восстановить контроллер домена, возникнет проблема, если хранилище, в котором находится резервная копия, использует аутентификацию с помощью Active Directory.
В качестве решения вы можете разместить хранилище резервных копий на системе под управлением ОС Linux. Тогда аутентификация для выполнения операций по резервному копированию и восстановлению Veeam может выполняться средствами Linux, а использование другой файловой системы (ext3, ext4, и др.) поможет снизить риск атак программ-вымогателей. Уточню, что программы-вымогатели существуют и для других операционных систем. Однако, такой шаг поможет защитить хранилища на базе разных ОС от атак одного и того же трояна.
Вот несколько примеров хранилищ, использующих разные файловые системы (и разные схемы аутентификации).
- Дедуплицирующие СХД EMC Data Domain, использующие DDBoost или сетевую папку NFS, если использование DDBoost невозможно (однако использование DDBoost рекомендуется).
- Дедуплицирующие СХД Hewlett Packard Enterprise (HPE) StoreOnce, использующие Catalyst.
- Дедуплицирующие СХД ExaGrid, использующие агент Veeam.
- Сетевые шары NFS, монтированные к серверу Linux и используемые для хранения резервных копий.
Для доступа процессов Veeam к этим системам используется различный контекст безопасности, как показано на скриншоте пользовательского интерфейса:
4. Создавайте аппаратные снимки хранилищ резервных копий, если есть такая возможность
Выше я уже упоминал аппаратные снимки как «частично автономный» ресурс для хранения данных. Если СХД, на которой хранятся резервные копии, позволяет создавать аппаратные снимки, эта возможность поможет защитить данные от программ-вымогателей.
5. Начните использовать правило «3-2-1-1»
Veeam настойчиво рекомендует использовать правило «3-2-1». Очень настойчиво! Правило «3-2-1» гласит: необходимо хранить три экземпляра данных на двух типах носителей, один из которых должен быть расположен на удаленной площадке. Это отличное правило, поскольку оно позволяет защитить данные практически при любом сбое и не требует использования специальных технологий. Ввиду появления программ-вымогателей хорошей идеей будет добавить к этому правилу еще одну цифру «1» — для автономного носителя. Выше я перечислял варианты автономных и частично автономных носителей, которые можно использовать для хранения данных.
Чтобы использовать такой носитель, вам необязательно переконфигурировать инфраструктуру резервного копирования. Однако стоит рассмотреть эти варианты в качестве дополнительного улучшения существующих конфигураций.
6. Контролируйте подозрительное поведение
Одной из самых больших опасностей программ-вымогателей является распространение на другие системы. Очень важно контролировать возможную активность программ-вымогателей. В Veeam ONE 9.5 реализовано новое встроенное оповещение, которое называется «Possible ransomware activity» («Потенциальная активность программы-вымогателя»). Это оповещение срабатывает при большом количестве операций записи на диск и высоком уровне загрузки ЦП.
7. Позвольте заданиям архивирования резервных копий сделать всю работу
Задания архивирования резервных копий — эффективный механизм для сохранения точек восстановления в дополнительном резервном хранилище данных с другими политиками хранения. При внедрении перечисленных выше улучшений задания архивирования резервных копий могут защитить от программ-вымогателей, так как они оперируют с другими точками восстановления.
Задания архивирования могут считывать резервные копии, находящиеся в основном репозитории, и создавать точки восстановления в новом хранилище другого типа. Таким образом, если вы внедрили одно из перечисленных улучшений и добавили дополнительное устройство хранения (например, сервер Linux), добавьте это устройство в консоль Veeam Backup & Replication, сконфигурируйте репозиторий на его файловой системе, а затем создайте задание архивирования резервных копий.
Проектируйте отказоустойчивую инфраструктуру и не забывайте о бдительности
Есть много способов предотвратить шифрование резервных копий программами-вымогателями. Надеюсь, что один или несколько советов, приведенных выше, получится воплотить в вашей среде. Может быть, у вас тоже есть советы о том, как обеспечить отказоустойчивость инфраструктуры резервного копирования? Поделитесь с нами!
Другие материалы по теме:
- Вебинар «Руководство по защите от программ-вымогателей и обеспечению доступности данных « (на английском)
- Как предотвратить атаки программ-вымогателей с помощью технологий Microsoft, Veeam и других компаний
- Восстановление с помощью Veeam помогает компании Advania быстро возобновить работу заказчиков, со стопроцентным уровнем восстановления
- Форумы Veeam: Новые программы-вымогатели, угрожающие резервным копиям. Страшны ли они нам?
- Краткий обзор: Защита данных от программ-вымогателей с Veeam и HPE
