Bài viết này sẽ là phần kết của kiến trúc sao lưu khôi phục dữ liệu chông ransomware mà Vina Aspire muốn mang đến cho bạn.
Giải pháp sao lưu dữ liệu truyền thống
Áp dụng nguyên tắc bảo vệ dữ liệu 3-2-1-1, hệ thống sao lưu dữ liệu được thực hiện như sau:
- Dữ liệu chính được sao lưu đầu tiên ở mức snapshot trên storage, phương thức snapshot áp dụng cho các bản sao lưu ngắn hạn, trong ngày.
- Sử dụng các phần mềm backup thông thường (Commvault, Veeam, …) có thể tích hợp để lấy các bản snapshot lưu vào phương tiện lưu trữ đĩa cứng, việc backup được định thời theo dạng: hàng ngày thực hiện incremental backup và cuối tuần/tháng thực hiện Full backup. Do phương tiện đĩa cứng thường có dung lượng hạn chế nên các bản sao lưu được lưu trong khoảng thời gian ngắn trung hạn thường là trong năm.
- Đồng thời thực hiện thêm bản backup vào tape để lưu trữ dài hạn (tape có thể cất giữ đến 20 năm) và đảm bảo các tape định thời (hàng tuần, hàng tháng, …) được gỡ ra khỏi Tape library và cất giữ ở nơi riêng biệt.
- Song song với việc sao lưu tại site chính (DC site), dữ liệu sao lưu cũng cần được đồng bộ qua site khác (DR site) sử dụng một trong các cơ chế riêng của bộ lưu trữ, của phần mềm sao lưu hoặc của backup appliance hoặc kết hợp các cơ chế, để đảm bảo dữ liệu sao lưu đồng nhất ở DR site.
Quá trình khôi phục các máy ảo diễn ra theo nguyên tắc: dùng bản sao lưu ngắn hạn và nội bộ trước, nếu không được sẽ sử dụng các bản trung hạn local và remote, nếu không được sẽ sử dụng bản lưu trữ dài hạn từ tape:
- Phục hồi đầu tiên cần xem xét phục hồi từ bản snapshot, đối với hệ thống sử dụng SAN Storage do cơ chế snapshot được xử lý bằng phần cứng cho tốc độ hồi phục nhanh nhất trong các phương tiện sao lưu.
- Nếu không thể phục hồi từ bản snapshot, xem xét đến các bản backup từ disk. Một số phần mềm như Veeam có khả năng khả năng lập tức mount các tệp máy ảo đã được sao lưu để khôi phục VM ngay lập tức và cho phép giảm RTO. VM khôi phục theo cách này được mount theo chế độ chỉ đọc mặc định, cho phép phát hiện có bất kỳ phần mềm độc hại nào còn lại trong dữ liệu sao lưu.
- Nếu không thể phục hồi bằng bản sao lưu từ disk, xem xét tiếp theo hồi phục từ DR site, thiết kế hoàn chỉnh phải có luôn cả backup appliance thứ hai ở DR site, để đảm bảo nguyên tắc 3-21-1.
- Bước hồi phục cuối cùng xét đến khi tất cả các bước trên không thể thực hiện được là hồi phục từ Tape backup.
1. Công nghệ lưu trữ tạo các bản snapshot
2. Nhân bản snapshot sang site khác
3. Phần mềm quản lý sao lưu tạo bản sao lưu từ remote/local snapshot
4. Backup software ghi các bản sao lưu vào tape
5. Backup software ghi nhận và lưu lại các điểm restor
Phương thức sao lưu truyền thống như trên có thể đáp ứng nhu cầu cơ bản của các ứng dụng, tuy nhiên có một số hạn chế:
- Phương thức sao lưu thực hiện định kỳ: trong thời gian giữa các kỳ sao lưu được tính bằng giờ, ngày dẫn đến thời gian mất mát dữ liệu lớn nhất là đối với loại dữ liệu giao dịch online.
- Cơ chế hoạt động dựa trên công nghệ snapshot, hoặc agent-based nên có thể tốn nhiều tài nguyên xử lý, sử dụng băng thông và dung lượng lưu trữ lớn.
- Thời gian hồi phục dài do phải restore hoàn toàn dữ liệu ra môi trường mới có thể sử dụng.
Trên thị trường hiện tại, công nghệ bảo vệ dữ liệu liên tục có thể khắc phục các nhược điểm trên. Dưới đây là bản so sánh 2 công nghệ sao lưu dữ liệu (backup) và bảo vệ dữ liệu liên tục (CDPContinuous Data Protection):
| Loại | Sao lưu dữ liệu | Bảo vệ liên tục CDP |
| Thời điểm hồi phục (RPO) | Vài giờ – ngày
Các điểm hồi phục cách nhau vài giờ, ngày |
Vài giây
Khả năng tạo các điểm hồi phục cách nhau vài giây |
| Thời gian hồi phục (RTO) | Chậm hơn (vài phút – vài giờ) | Nhanh hơn (vài giây – phút) |
| Cơ chế hoạt động | Dựa trên công nghệ Snapshot
Hoặc OS-Agent |
Dựa trên công nghệ nhật ký (Journal based) |
| Thời hạn lưu trữ | Dài ngày (định thời hàng ngày, hàng tháng, hàng năm) | Ngắn ngày dựa trên nhật ký (vài ngày)
Dài ngày (định thời hàng ngày, hàng tháng, hàng năm) |
| Thời điểm bảo vệ | Dựa trên lịch thông thường sao lưu hàng ngày các phần khác biệt, sao lưu đầy đủ cuối tuần/tháng/năm | Bảo vệ liên tục dựa trên cơ chế ánh xạ mirror các luồng dữ liệu vào ra. |
| Trường hợp sử dụng | Tốt nhất dùng cho các ứng dụng và môi trường on-premise (khả năng mở rộng cloud nhưng hạn chế)
Khả năng tương thích cao cho môi trường ảo hoá, bare-metal Dùng với NAS, backup appliance, tape, Catalyst |
Cho ứng dụng, dữ liệu quan trọng, trong môi trường multi-site, multicloud, container
Chỉ dùng được trên nền hypervisor hoặc container. Dùng với NAS, S3, Backup Appliance, Catalyst |
Với những yêu cầu về mới về dữ liệu như hỗ trợ các điểm phục hồi mịn cách nhau vài giây để đảm bảo tối thiểu mất dữ liệu nhất là trong trường hợp tấn công có chủ đích ransomware/virus, đảm bảo phục hồi dữ liệu nhanh, có cơ chế kiểm tra restore các bản sao lưu, hỗ trợ đa nền tảng hệ điều hành, đa nền tảng ảo hoá cũng như khả năng di chuyển và chuyển đổi dữ liệu lên các nền tảng khi có nhu cầu, công nghệ bảo vệ dữ liệu liên tục hoàn toàn phù hợp để đưa vào sử dụng song song kết hợp với phương thức backup truyền thống.
Công nghệ bảo vệ dữ liệu liên tục
Sử dụng phần mềm với công nghệ CDP để bảo vệ chống lại một cuộc tấn công ransomware cung cấp khả năng phục hồi dữ liệu với RPO rất nhỏ và RTO rất nhanh. Công nghệ CDP cho phép tạo ra các điểm khôi phục cực nhỏ nhỏ trong vài giây và đảm bảo khôi phục sau tấn công ransomware trong các trường hợp:
- Lây nhiễm tập tin: Nếu nhiễm ransomware được giới hạn ở các tệp và thư mục trên máy ảo, cần được khôi phục trở lại vị trí nguồn cách khoảng thời gian 5-10 giây trước khi nhiễm trùng xảy ra.
- Nhiễm VM: Tương tự như nhiễm tệp, nếu một hoặc nhiều máy ảo bị ảnh hưởng bởi ransomware, phần mềm phải khôi phục các máy ảo đó trở lại mà không cần bước trung gian (ví dụ: VMware vSphere® Storage vMotion®). Quan trọng là nhóm các máy ảo liên quan trên mỗi ứng dụng trong các nhóm phải được cùng bảo vệ tại một thời điểm. Nếu một ứng dụng trong nhiều VM bị nhiễm tại các thời điểm khác nhau, phải khôi phục các máy ảo riêng lẻ đến các thời điểm khác nhau.
- Toàn bộ môi trường bị nhiễm: Nếu toàn bộ môi trường sản xuất đã bị nhiễm, việc chuyển đổi dự phòng trực tiếp đến trang site khác (DR site) có thể đưa các hoạt động trở lại và chạy trong vài phút. Việc phục hồi ưu tiên theo thứ tự ưu tiên: từ nhật ký local → từ bản snapshot → từ nhật ký ở DR site → từ bản lưu trữ dài hạn → từ bản lưu clean-room (tape, darksite).
Do bản chất của cơ chế CDP có những tính năng tương tự replication, nên có thể sử dụng trong chính môi trường DC-DR. Phần mềm cung cấp chức năng CDP có thể sử dụng như một giải pháp dự phòng DR tiêu chuẩn (cung cấp cơ chế fail-over sang DR site trong trường hợp thảm họa như mất điện hoặc lỗi trung tâm dữ liệu) bên cạnh việc cung cấp bảo vệ khỏi cuộc tấn công ransomware.
- Bảo vệ local site: bảo vệ các máy ảo hóa VM tại local site theo cơ chế CDP, khuyến nghị sử dụng chính các datastore trong môi trường production để lưu các bản nhật ký để đảm bảo thời gian RPO nhỏ nhất (trong vài giây). Các phần mềm CDP thường chỉ cho phép journal trong vài ngày, do lượng dữ liệu sinh ra liên tục sẽ ảnh hưởng đáng kể đến dung lượng sử dụng. Cơ chế CDP hoạt động hoàn toàn bằng phần mềm độc lập với hạ tầng phần cứng nên hầu như tương thích với mọi loại lưu trữ. Tuy nhiên, đối với môi trường có SAN Storage sẽ có thể kết hợp thêm cơ chế storage snapshot để tạo thêm bản sao lưu immutable cho chính các journal.
- Bảo vệ remote site: đồng thời nhóm máy ảo được bảo vệ sang DR site cũng theo cơ chế tương tự, do đường truyền giữ 2 site sẽ hạn chế so với local nên các điểm hồi phục sẽ xa hơn so với bảo vệ local site.
- Lữu trữ dài hạn ra phương tiện lưu trữ bên ngoài: phần mềm CDP có thể lấy điểm hồi phục (checkpoint) để lưu ra NAS, Catalyst store, S3 storage; có thể sử dụng chính backup appliance như trong phương thức backup truyền thống để tạo ra vùng lưu trữ immutable rồi lưu trữ dữ liệu dài hạn, phương thức này cũng theo dạng định thời. Lưu trữ lâu dài sử dụng để phục hồi thời điểm lâu hơn khoảng thời gian mà journal được cấu hình.
- Phục hồi đầu tiên cần xem xét phục hồi từ local journal, kết hợp cơ chế phát hiện các bất thường trong các điểm hồi phục checkpoint, có thể xác định thời điểm hồi phục phù hợp.
- Nếu không thể phục hồi bằng cách sử dụng local journal thì xem xét hồi phục local journal từ journal snapshot (nếu môi trường có SAN Storage).
- Tiếp theo có thể xem xét journal ở DR site, nếu dữ liệu sạch có thể hồi phục lại chính tại site B và dùng làm môi trường chạy tạm thời, trong khi đó xem xét môi trường DC site, dùng chính cơ chế CDP để fail-back các VM về lại DC.
- Nếu không thể khôi phục bằng cách sử dụng DR journal, thì xem xét các bản snapshot giống bước 2 (nếu môi trường có SAN Storage) và sau cùng xét đến bản sao lưu trong phương tiện lưu trữ bên ngoài.
Hết.
Vina Aspire là Công ty tư vấn, cung cấp các giải pháp, dịch vụ CNTT, An ninh mạng, bảo mật & an toàn thông tin tại Việt Nam. Đội ngũ của Vina Aspire gồm những chuyên gia, cộng tác viên giỏi, có trình độ, kinh nghiệm và uy tín cùng các nhà đầu tư, đối tác lớn trong và ngoài nước chung tay xây dựng.
Các Doanh nghiệp, tổ chức có nhu cầu liên hệ Công ty Vina Aspire theo thông tin sau:
Email: info@vina-aspire.com | Website: www.vina-aspire.com
Tel: +84 944 004 666 | Fax: +84 28 3535 0668
Vina Aspire – Vững bảo mật, trọn niềm tin
