想勒索，没门儿！

　　面对IT基础架构的演变，个别数据保护厂商只是一味地在现有软件基础上增加若干功能模块，导致数据保护软件本身变得越来越“重”，试问一个负重前行的老人，如何扛得住突如其来的大规模袭击？

　　给钱，不然我可撕票了！

　　多少钱？

　　一百万！

　　太贵了，少点？

　　一分不少！

　　那你看着办吧...

　　好小子，世上可没有后悔药，你就哭去吧！

　　

　　?

　　“rm -f”

　　“哼，想威胁我，没门儿！幸亏我早有准备！”老李扶正眼镜，临危不乱地打开自己的备份，一秒钟后，他傻眼了：

　　数据呢！我磁带上的数据呢！

　　

　　老李翻遍所有目录

　　惊恐地发现数PB的备份数据，没了！

　　哎，老李啊，有数据保护思维是对的，但病毒都更新迭代几万次了，你的保护手段还停留在原始社会，不是明摆着给勒索病毒放水吗？

　　数据保护非常重要，可手段要跟上时代啊！

　　跟上脚步

　　老办法不管用啦

　　如今，大部分用户的业务系统都紧密依赖信息化系统。随着业务系统的不断拓展，人工智能、云计算、大数据、物联网、区块链等应用越来越广泛，IT基础架构也越来越复杂。但渐渐地我们发现，IT基础架构和数据保护体系出现了一些脱节：

　　IT基础架构不断推陈出新，数据保护的体系结构却没有跟上脚步。

　　面对IT基础架构的演变，个别数据保护厂商只是一味地在现有软件基础上增加若干功能模块，导致数据保护软件本身变得越来越“重”，试问一个负重前行的老人，如何扛得住突如其来的大规模袭击？

　　

　　实际上，不断变化的IT环境下，从数据保护的技术选择到运维管理，各个环节都在发生变化。

　　? 数据保护不再以备份软件为核心，而是更关心备份数据本身的可恢复性、重用性以及容灾。备份数据放在专用的备份存储之中，数据保护正逐步朝着以备份存储为核心的方向转变。

　　? 数据保护既不局限于单一平台的集中保护，也不再是备份管理员的专属，而是按需动态的实际数据保护。

　　? 数据保护必须满足业务的敏捷性要求，遇到误操作与逻辑错误时能实现数据的快速还原，减少业务系统的RTO和RPO。

　　? 备份数据类型的越来越复杂，导致没有条件完全验证备份数据，进一步使得数据恢复面临风险。因为要求备份数据在不恢复的情况下能及时拉起，满足验证或备份数据重用的要求。

　　? 备份数据量增加。虽然有重复数据删除等技术对数据进行有效缩减，但是基于法规要求需要保留很长时间，管理比较困难，在数据重删基础上，合理利用对象存储或公有云来存储长期归档数据是一种理想选择。

　　查不足，补短板

　　你的数据保护方案完整吗？

　　诚然，构建一个安全的IT基础架构是一个很宽泛的课题，在此我们不对防攻击、防泄漏等主动防御技术进行讨论，好的安全策略和及时的侦测手段一定是必不可少，但作为遭受攻击后的最后一道防线，数据备份及可靠的恢复手段也同等重要。

　　

　　——如何避免老李的悲剧重演？

　　——如何在遭遇病毒攻击后，快速恢复和还原数据，把损失减少到最低？

　　来抄戴尔易安信的作业吧！

　　根据戴尔易安信DPS数据保护解决方案，系统遭遇勒索病毒攻击导致数据被加密后，数据恢复是有效的数据拯救手段。这方面，戴尔易安信提供了全面的分级保护机制。

　　

　　1.初级保护手段

　　（可恢复受影响数据）

　　一个数据好有两种以上的保护方式，除了生产数据本身，每天最好有不同介质、不同系统、不同数据中心的多份数据。

　　数据复制可以增加备份数据的可靠性。

　　2.进阶数据保护手段

　　（RPO/RTO接近为0，可以快速恢复业务系统）

　　系统需要有CDP连续数据保护手段防止数据破坏影响业务。

　　使用数据防篡改机制及双重身份认证操作机制。

　　数据的及时访问，保证数据的验证和重用。

　　数据动态及静态加密。

　　3.终极数据保护方案（杜绝所有数据安全威胁）

　　隔离恢复解决方案。

　　戴尔易安信数据保护

　　IT人的月光宝盒

　　回到过去改变历史，是很多人都曾幻想过的事，《大话西游》中，至尊宝为了拯救自杀的白晶晶，通过一个叫月光宝盒的神器多次回到过去，而现实生活中，如果企业遭遇病毒袭击导致丢失数据，又要哪里去找这样的月光宝盒呢？

　　戴尔易安信DPS数据保护工具集，就是IT人梦寐以求的“月光宝盒”！

　　病毒来了不用怕，戴尔易安信月光宝盒助您回到过去，拯救数据，多款好物在线等撩，可根据业务防护等级按需选择！

　　新一代备份数据管理平台PowerProtect

　　PowerProtect——新一代数据管理平台，搭载英特尔?至强?处理器，可以快速、安全、高效地保护和管理用户数据，并为多云工作负载实现简化和高效运营。

　　

　　PowerProtect完美结合了PowerProtect软件和数据保护存储PowerProtectX400，集备份、恢复、复制、重复数据删除、上云等一系列功能于一身，操作简便，易于扩展，支持企业多云环境下的数据分层管理，可对用户在本地和云中的工作负载进行保护。

　　

　　与传统数据保护手段不同，PowerProtect不再需要专门的备份管理员参与，它允许应用程序所有者对其备份、恢复进行控制和查看，从而提高恢复效率。当然，备份管理员也可以通过集中的管理平台对数据进行备份和恢复管理。这种备份能够结合DD BOOST实现源端重复数据删除，从而加快备份速度、降低带宽需求。

　　PowerProtect还可与存储集成备份，直接将戴尔易安信VMAX/All Flash或XtremIO上的快照备份到DD上，在备份速度和恢复速度方面，这种方式分别比传统备份方式快20倍和10倍，且不会对生产应用造成任何影响，可满足一些用户非常严格的RTO/RPO业务要求。

　　

　　此外，PowerProtect简化了VMware环境的数据保护，虚机可基于VMware CBT实现image的快速备份和恢复，在不恢复VM的情况下，直接在备份存储DD上立即拉起虚机映像，并借助后端备份存储的的Fastcopy优化VM的备份和恢复，这是传统备份软件厂商无法实现的。

　　

　　PowerProtect对单个虚机提供连续数据保护，可以让虚机恢复到任意时间点。如果虚机中运行有SQL数据库，无需安装任何代理程序，PowerProtect即可在保证SQL数据库一致的前提下对虚机进行备份。

　　PowerProtect将传统的数据保护转换为全面的数据管理，向用户交付受保护的可信数据，以此获得持续价值，无疑是用户在IT转型期的好选择。

　　

　　数据备份“时光机”，CDP连续数据保护

　　传统的数据保护一般是基于某个时间点开展的，在出现灾难时往往要容忍一定的数据丢失量，但很多用户的业务要求是"业务不停，数据不丢"，因此传统使用备份软件拷贝恢复数据的方式很难满足需要。目前企业多采用磁盘阵列内部卷快照克隆方式或连续数据保护技术（CDP）。

　　然而磁盘阵列卷快照方式仍然有较长时间间隔，而且对数据空间提出较多要求，相比而言，连续数据保护技术更理想，它好比一台"备份时光机"，可以让业务数据快速恢复到被病毒攻击前1秒甚至前一个I/O，进行任意时间点上的数据恢复。

　　与着眼于“数据备份”的传统备份方法不同，CDP将数据保护推进到以“快速恢复、最少数据丢失”为关注点的新阶段，其架构主要针对核心业务系统的本地快速恢复要求，无论数据发生什么变化，都能将其有效地保护起来。

　　平台备份数据“保险箱”，DD Retention Lock

　　作为系统遭受攻击后的最后一根“救命稻草”，备份数据的安全性关乎业务能否正常开展，现在还有很多专门针对备份数据的攻击，因此对备份数据进行保护，避免其遭遇删除、篡改是必要的。

　　DD Retention Lock，是DD专用备份存储上一个可以轻松启用的功能，相当于备份数据的“保险箱”。它可以阻止病毒对进行数据加密、屏蔽病毒的删除能力，轻松防范多种攻击。

　　一旦启用Retention Lock，任何人都不能在备份数据的保留期间对数据进行更改。比如，如果您通常将备份数据保留30天，那么Retention Lock将在您设置的30天保留期内提供一层额外的保护，当然这并不影响此期间的正常备份。

　　备份数据“密码柜”，DD Encryption

　　对于备份数据，除了避免被删除和篡改等必要手段，如果能配合备份数据加密，将实现“拿不走，改不了，认不到”的多重数据防护体系，真正做到固若金汤。

　　DD Encryption软件选项可以对存入DD的备份数据进行实时加密，如果不事先进行身份验证和解密，便无法在现有系统及任何其他环境中访问这些数据。它采用标准的AES128和256位密钥，加密发生在文件系统下面，由此可以保护用户备份到DD里的数据，即便DD系统被盗或者传输期间存储介质丢失，也可以避免数据丢失的风险。

　　DD Encryption对外部服务器和应用程序透明，不需要其他服务器和应用装置参与，并且对DD性能的影响较小。在DD的SISL扩展体系结构支持下，重复数据无需加密处理，此优化将大幅减少加密过程所消耗的资源，进而降低对总体性能的影响。

　　如果源和目标DD都启用了DD Encryption在线加密特性，那么在通过网络进行复制之前，已经使用DD加密的数据将被DD Replicator进行有效的二次加密。

　　备份数据“避风港”，DD Cyber Recovery

　　Cyber Recovery是一个逻辑上的Air Gap解决方案，可应对任何网络攻击，是戴尔易安信在病毒防护方面的终极解决方案。

　　Cyber Recovery发挥效用的流程如下：

　　创建备份数据

　　建立复制链接复制数据

　　完成数据加密复制中断复制链接

　　完全网络隔离方案（ Air Gapped ）保证Cyber Recovery环境隔离

　　通过Cyber Recovery环境验证系统验证数据完整性

　　

　　具体来讲，备份数据存储在生产端的DD上后，在生产端DD和Cyber Recovery Vault区DD建立复制链接，通过内部网络和DD专用接口，将备份数据从生产中心DD复制到Cyber Recovery Vault区DD上。

　　Cyber Recovery使用DD RetentionLock特性，在Cyber Recovery存储区创建生产端DD复制数据的不可变副本，通过CR Management创建调度以启用复制接口链接，复制完成后将禁用Cyber Recovery Vault区DD的复制接口，建立备份数据完全网络隔离方案。

　　另外，我们还可以在Cyber Recovery Vault区创建RW沙箱，分析并恢复数据。

　　到这儿，戴尔易安信DPS“月光宝盒”的工具都介绍完了。@老李，应对勒索病毒的正确姿势，你get了吗？

　　没有戴尔易安信的“月光宝盒”，下次可千万别在勒索病毒面前逞能啊！