在疫情时代的影响下，很多企业日常的活动由线下转为线上进行。虽然这推动了现代化办公的发展和企业数字化转型，但也使勒索软件运营商从中发现了更多的机会。数据安全是任何企业现代化战略中不可或缺的一部分，如今，零信任框架对数据安全至关重要，对于数据备份尤其如此。

在网络攻击的过程中，攻击者通常会将敏感数据泄露和数据加密勒索作为主要盈利目的。零信任框架被定义为一套不断发展的安全范式，将安全防御系统从静态的、基于网络的边界的安全模式，转移到专注于用户行为、数据资产和企业资源的安全模式，从而使企业可以有效进行安全防御。本文我们将阐述如何利用 Veeam 解决方案实现零信任数据管理模型。

本文内容索引

• 1.勒索软件行为与趋势分析
• 2. Veeam 零信任数据管理模型
• 2.1 Veeam 3-2-1-1-0 数据管理黄金法则
• 2.2 RBAC 基于角色的数据访问控制及监控
• 2.3 勒索软件行为的可视化
• 2.4 加固的备份存储库，确保备份数据安全不可篡改
• 2.5 Veeam Secure Restore 定期安全的恢复数据
• 2.6 自动化验证 Veeam VDRO
• 3. 总结：零信任，从现在开始！
• 4. 欢迎下载与试用

1. 勒索软件行为与趋势分析

勒索软件现在是企业的主要威胁，过去的几年被认为是勒索软件运营商的“黄金时代”。Veeam 的专家认为，这种犯罪在未来将达到新的高度。《Veeam 2022 勒索软件趋势报告》显示，在勒索软件攻击中，有 94% 尝试感染组织的备份存储库，而不法分子成功加密了平均 47% 的生产数据，同时我们发现，有 32% 受害企业即使支付了赎金也无法恢复他们的数据。这是为什么的呢？究其原因，大部分的企业在落地安全框架时，没有将安全架构的最佳实践一并落地。

如上图所示，许多受害企业在回顾自己被勒索病毒侵害的过程中发现，他们都启用了数据备份机制，但没有妥善地进行安全加固及日常的恢复演练。更重要的是，由于备份与监控的分离使企业在被勒索软件攻击的过程中饱受其害。一方面是团队架构的原因，另一方面，从工具选择上，如果使用 Veeam 的监控与数据保护一体化模型，就可以真正解决这个问题。让我们一起来看看来自于Veeam 专家的建议吧。

2. Veeam 零信任数据管理模型

如何激活企业自身的数据安全能力，在多云基础架构之间安全地移动与使用数据，是当今的企业希望转向新的数据智能管理框架的原因。Veeam 零信任数据管理模型，可以保证企业业务永远在线，并且不会受到有可能发生的安全威胁。对应零信任框架，包含五个维度，分别为识别、保护、检测、响应以及恢复，我们选择重要部分进行讲解，详细内容请浏览 Veeam 网站 。

• Veeam 3-2-1-1-0 数据管理黄金法则
• RBAC 基于角色的数据访问控制及监控
• Veeam ONE 勒索软件行为的可视化
• 加固的备份存储库，确保备份数据安全不可篡改
• Secure Restore 安全的数据恢复
• VDRO 自动化数据安全验证

2.1 Veeam 3-2-1-1-0 数据管理黄金法则

3-2-1-1-0 数据管理法则具有极大的普适价值，适用于所有企业与个人以及所有环境类型，利用这个原则可以使企业远离安全威胁和勒索病毒的困扰。使用Veeam 解决方案，可帮助您满足 3-2-1-1-0 备份规则要求，从而达成合规。

• 至少拥有数据的三个副本 ， 设置备份任务和备份复制任务来为您的每一份需要保护的数据创建若干备份。
• 将副本存储在两个不同的介质上：您可将备份存储至下列任何介质：磁带、磁盘、云等等。
• 保存一份异地备份的副本：设置 Backup Copy Job (备份复制作业) 来利用内置广域网加速更快速地- 转移异地备份，或者使用横向扩展的备份存储库自动的实现备份数据的分层和多副本存放。
• 保存一份防篡改的备份副本：即一份物理隔离、离线或不可变的备份副本
• 受保护数据的0恢复错误：结合Veeam SureBackup 和 VDRO 全自动的备份验证，确保备份数据的可恢复和可运行。

2.2 RBAC 基于角色的数据访问控制及监控

1. 做好角色分权机制

企业对于人员数据访问控制权限应做到责任分明，相互监督。Veeam 对数据的操作人员的权限有着非常严格的要求，您可以按需要为使用数据管理平台的用户或用户组分配以下角色之一：

• Restore 操作员
• 备份操作查看人员
• 备份操作员
• 备份管理员
• 磁带操作员

除了分配给用户的角色，您还可以定义了用户的活动范围，角色安全性的设置还可以细化到，开始和停止备份作业，或是执行还原操作。不同角色的用户可以执行不同的操作集：

2. 监控内部人员的数据访问行为，形成审计流程

在企业落地数据安全框架时，来自于内部员工的报复是最难防御的。员工在接触数据时有无不正当的操作，这些操作有无进行记录与审计，都是企业面临的现实问题。如何尽早的发现不正当的数据操作，及时的制止呢？Veeam ONE 中包含了对基础架构变更与数据操作监测与审计的功能，它会监测数据管理人员对备份数据或是基础架构操作的异常访问行为，这些警报可以提供数据管理人员数据访问行为的可视性，以确保您的业务安全性与可用性。

如下图，这个审计报告说明的是基础架构变更的活动

如下图，这个审计报告说明的是数据还原操作人员的活动

2.3 勒索软件行为的可视化

通常病毒形成威胁的时候，做什么补救的措施都显得很苍白，如何尽早地发现勒索病毒的活动，避免企业承受风险呢？Veeam ONE 中包含了一个值得注意功能，那就是对可能的发生的勒索软件活动进行报警，它会检测 VM 上是否发生了可疑活动，如下图。这些 VM 警报可以提供对数据中心的可视性，以确保您的业务安全性与可用性。

关于警报的参数，是基于CPU总运行时间和磁盘写入状态等条件的，这些参数可以根据您的喜好进行修改：警报可用于提高对可能发生攻击的安全意识，并使系统管理员能够调查，分析和进行和进行判断。我认为你会同意被告知比无视你组织内的持续攻击要好得多。

2.4 加固的备份存储库，确保备份数据安全不可篡改

数据存储环境安全 + 数据可恢复是抵御勒索病毒侵害的最后一道防线。由于勒索病毒威胁不断加剧，Veeam 强调其中 “一个” 数据副本必须具有超强的安全性，即：物理隔离、离线或数据不可改变。Veeam 软件基于零信任安全框架设计，利用可靠的备份有助于防范停机和数据丢失并避免支付高昂赎金。Veeam 软件可以使用具有不可变特性的备份存储介质防止勒索病毒和恶意攻击者执行对备份数据的加密与删除，确保备份数据安全无忧。Veeam 为确保存储在备份存储介质中数据的安全性，可以采用以下多种机制：

• 基于 Linux 的加固备份存储介质库（防篡改，Veeam专利技术）
• 云对象存储 （WORM - Immutable）存储快照
• 物理或虚拟磁带库（离线保存备份数据）
• 移动存储介质（脱机保存备份数据）
• 硬件重复数据删除设备 （不可变性存储）

2.5 Veeam Secure Restore 定期安全的恢复数据

备份是个周而复始的日常任务，而病毒的出现则是突发性的事件，这就造成了0 Day 攻击的现象，以下图为例，备份每天都在运行，而随着备份的进行，新的病毒也一并随着备份数据存储到了备份介质中，随着时间的推移，反病毒厂商会制作新的病毒库，用来抵抗病毒。而在数据还原时，通常我们都不能将数据直接还原到生产环境中，原因很简单，我们担心二次感染的的出现。

Veeam Secure Restore 可以彻底解决这个问题，在发现勒索病毒后，我们可以自动化的周期性的，将之前受感染的数据用安全还原方式恢复。工作原理如下图，首先，我们在已有的备份集中找到需要的还原点，在 Datalabs 中将需要还原的磁盘挂载，同时启动杀毒软件进行扫描，如果发现病毒，则启动杀毒，并把主机还原至无网络的状态，等待处理。如果没有发现病毒，则直接还原到生产环境。Veeam 的 Datalabs 创造了一个隔离的数据还原环境，与此同时，在隔离的环境中进行杀毒，这样就可以确保数据还原的安全性。

2.6 自动化验证 Veeam VDRO

零信任数据安全管理框架中 “Respond - 响应” 是一个流程化且迭代的过程。数据保护与验证的流程要实现自动化才能满足零信任数据安全管理框架的需要。这包括，自动化验证、SLA量表，与DRP文档的自动生成与管理等。

Veeam Disaster Recovery Orchestrator（VDRO）是一个灾备流程编排 + 自动化执行的软件平台，能够自动化地完成灾备切换与数据安全验证的过程，通过数据实验室，确保灾备与数据安全的可靠性，包括：

• 自动执行灾难恢复测试
• 动态生成文档
• RPO 和 RTO 达标量表
• 提供一键恢复弹性

对于 Restore Plan 和 Replica Plan，还支持 Datalabs 测试。

3. 总结：零信任，从现在开始！

在企业数字化转型的时代，因为有新的技术框架加持，数据的即时呈现、即时利用为企业带来的好处比比皆是。与此同时，攻击面的扩大也为不法分子提供了更多形成有效攻击的可能。利用 Veeam 零信任数据管理框架，既可保证数据的有效利用，又能够为企业带来更多的商业机会，又可以有效地避免数据安全的威胁。赶快下载 V11a 来体验零信任数据安全带来的安心与喜悦吧。