知名分析机构KuppingerCole对当今混合IT服务中数据备份、恢复和灾难恢复到云的解决方案进行了全面评估,特别关注勒索软件防护。
KuppingerCole指出,这是一个相对成熟的市场,有很多备份和灾难恢复解决方案通过将数据备份到物理介质来支持本地交付的IT服务中的数据保护。
然而,随着组织日益转向混合交付模式,IT服务的交付方式正在发生变化。这一转变客观上催生了保护SaaS和IaaS中数据的解决方案,以及使用云服务来保护备份数据等新兴场景。提供企业级BaaS和DRaaS的市场也在不断增长。
勒索软件是对业务连续性造成挑战的重要原因之一。如今,组织非常依赖IT服务及其包含的数据。由于缺乏对非托管最终用户设备的数据保护,远程访问会带来更多潜在的勒索攻击风险。此外,网络黑客往往会通过攻击备份过程以及备份数据本身,让勒索软件防护变得更加困难。
大多数供应商正在调整其解决方案以适应此新兴混合服务交付模式,但仍有很长的路要走,特别是在SaaS平台方面。对于SaaS,大多数供应商现都提供备份Microsoft Office 365数据的方案,有些供应商提供的方案还涵盖Google Workspace和Salesforce等。
KuppingerCole建议,企业应该寻找能够提供符合其服务连续性业务要求的功能的解决方案。组织必须识别其关键业务系统和数据,并使用它来定义所需的业务连续性保护。根本上,企业需因地制宜,设定备份和灾难恢复流程和恢复目标,通过合适的工具集提供支持。
通常情况下,如果组织已经在使用现有解决方案进行本地保护,则优先于添加其他解决方案,前提是该解决方案能够满足其不断变化的业务需求。添加新的解决方案不仅会增加成本,还会增加使用和维护的复杂性。
△ 备份和灾难恢复工具在信息保护生命周期中的作用
KuppingerCole认为,大多数组织现在都拥有混合IT环境,IT服务以多种方式交付,其中一些保留在本地,另一些则作为云服务提供。这增加了备份、恢复和恢复过程的复杂性。
云还为备份数据提供了替代位置,组织可以使用云来存储具有高度弹性的备份数据,这也减少了之前将介质物理传输到安全位置过程中可能存在的延迟和潜在风险。
人们很容易认为,使用云服务让客户无需考虑其数据的弹性。云服务中保存的数据的责任由租户和服务提供商共同承担,在许多情况下,租户对其数据的弹性负责。此外,在使用多个数据保护解决方案的情况下,管理负担也会增加。为了避免这种情况,组织应该寻求实施涵盖各类不同用例的单一解决方案。
云还提供以SaaS形式简化备份和灾难恢复交付的能力,IT无需花费大量时间精力管理和保护备份服务、软件和设备等。容器化和无服务器等现代架构还可有效提升解决方案的可扩展性和灵活性。
相关流程和工具可能很复杂,因此,解决方案应该为组织提供选择适合其需求的托管服务选项,范围涵盖面面俱到的“管家式”托管服务,以及仅提供所需工具的自助式服务,如DRaaS。
云备份和灾难恢复的部署模型包括:
♚ 物理设备——可以部署在本地或数据中心。
♚ 虚拟设备——可部署在本地或云服务中。
♚ 来自多租户公共云服务的即服务,其中更新和补丁由服务提供商以完全自动化的方式在所有租户中部署。由于易于采用以及公共云提供的可扩展性,这是一个不断增长的市场。
♚ 单租户服务,可以在各种部署模型中运行,即在私有云或公共云中,甚至在本地,以完整的即服务模型运行,即更新、补丁等的服务。由服务提供商以完全自动化的方式在所有租户中部署。
△ 备份和灾难恢复的演变
KuppingerCole领导指南分析了勒索软件防护解决方案的云备份的主要属性和功能。这些能力应包括:
♚ 基本功能——包括备份、数据复制、数据恢复、系统恢复和CDP等。受解决方案保护的存储系统和数据类型,用户组织可以在其中保存受保护数据的云服务。方案如何支持现实的RPO和RTO目标,如何保护备份数据免遭损坏,最大限度地减少备份数据大小的方式,例如通过去重删除受保护数据中的多个副本等。
♚ 扩展功能——包括支持接近零的RTO 和零RPO的连续复制。支持在不同环境之间自动迁移数据和应用程序,以方便故障转移和故障恢复。支持无损测试数据恢复和服务恢复以及数据归档/长期保留功能。
♚ 部署——解决方案的部署速度、容易程度和可重复性如何。方案提供的部署选项有哪些,是否需要在受保护的系统上安装代理等。
♚ 管理——管理解决方案的容易程度。例如,GUI/向导提供了易用性,CLI/API 提供了自动化。能够将管理安全地委托给业务线经理和应用程序所有者。
♚ 数据安全——保护备份数据免遭盗窃、未经授权的访问和损坏的能力。方案如何保护传输中的数据(例如,支持最新版本的 TLS 1.3),如何保护静态数据——支持的加密类型以及如何保护加密密钥,客户如何管理加密密钥等。
♚ 网络安全——如何确保解决方案自身安全。对管理访问的控制,包括多因素身份验证和精细授权方法,例如基于角色和基于策略的访问控制等。是否支持安全管理委派,如何保护API和CLI访问与未经授权的访问安全等。
♚ 勒索软件保护——应对勒索软件威胁并从中恢复的附加功能。例如,对异常管理活动的检测和控制、对备份数据的额外保护(气隙隔离、对象锁定、一次写入)。防范恶意软件、勒索软件和其他形式的网络攻击,包括主动扫描备份。扫描备份数据以查找并删除恶意软件等。
♚ DR——解决方案如何支持数据恢复和服务恢复,例如:运行手册、工作流程和流程自动化。全栈恢复能力——(即多个服务组件的协调恢复)。DRaaS功能和有保证的RPO/RTO SLA。
♚ 本地保护——针对存储和数据类型的开箱即用保护。卷、数据库、文件系统、文件共享、操作系统镜像、虚拟机管理程序镜像、电子邮件服务器和其他应用程序等。保护DBMS开箱即用功能,包括MS SQL、MySQL、Oracle、SAP HANA等。发现环境和应用程序并为其创建快照的自动化功能。
♚ IaaS 服务保护——开箱即用的IaaS服务覆盖。如AWS、Google、IBM Cloud、Microsoft Azure等主要服务。保护云DBMS的功能,包括MS SQL、MySQL、Oracle和SAP HANA。能够保护IaaS服务中的存储类型(如文件、文件系统、对象存储等)中保存的数据。能够快照和恢复本机云服务虚拟机,支持将应用程序复制到其他区域以提高灾难恢复准备能力等。
♚ SaaS保护——开箱即用的SaaS服务,包括 Microsoft Office 365、Google Workspace、Salesforce等主要服务,并涵盖这些服务中的数据类型。
♚ 法规遵从性——解决方案为客户提供的以符合全球法律和法规的方式使用的功能。包括客户对保存受保护数据的地理管辖范围以及对加密和加密密钥的控制。能够识别和分类受保护数据中的敏感数据,并为此数据添加额外的保护。提供审计能力以及独立认证,以确保遵守世界各地的法律和法规。最新认证/证明与相关云托管和安全标准(如CSA Star、ISO 27001、SOC 2 Type 2等)。遵守适用的出口管制法规。
KuppingerCole领导力指南中,Veritas位居领导者位置,并且是“唯二”在各技术细分项中评分均接近或超过8分(满分10分)的供应商,是跨云数据保护领域典型的“六边形战士”。
关于Veritas的优势特性,KuppingerCole给出了以下评价:
新一代NetBackup架构基于Veritas Cloud Scale技术构建,可充分利用云的可扩展性和灵活性,同时提供一致性和单一界面来保护整个IT基础设施。NetBackup支持一系列服务器、存储、虚拟机管理程序、数据库、应用程序和云平台,覆盖多种用例(备份到云、存档到云、云灾难恢复、云中灾难恢复)以及新虚拟化技术(Kubernetes、Docker、红帽虚拟化、OpenStack和完全无代理的VMware等)。基于集成SaaS的选项 ——Veritas Alta SaaS Protection,可完整保护多种SaaS应用程序,包括Microsoft Office 365、Salesforce和Google Workspace。
NetBackup支持AWS、Microsoft Azure和Google Cloud Platform(GCP)等云供应商。它在数据传输和存储到云之前对数据进行重复数据删除,并支持云分层,以便通过Azure、Google Cloud Platform Archive和AWS Glacier进行长期保留。为了防御勒索软件,NetBackup 10.1利用Amazon S3 Object Lock、Azure和Seagate Lyve Cloud的云原生不可变存储来防止受保护数据发生更改。
NetBackup通过系统强化、不可变和不可磨灭的镜像管理,以及存储、数据加密(传输中和静态)等功能来实现数据安全性和完整性。身份和访问管理具有基于角色的访问控制(RBAC)和多重身份验证(MFA)。NetBackup内置使用人工智能和机器学习的异常检测功能,实时检测可疑行为并在勒索软件攻击时采取行动。NetBackup可与一系列SOAR/XDR平台集成。
NetBackup可帮助组织从一系列灾难场景中恢复,包括环境问题、人为故障和勒索软件等安全事件。它支持云中、云间和跨云业务服务恢复所需的多种RTO和 RPO SLA。同时,NetBackup支持灵活的恢复工作流程,包含对恢复数据开展恶意软件扫描。NetBackup支持发现、保护和恢复跨任何Kubernetes发行版、本地或云中应用程序组件。
拥有混合IT环境(包括IaaS、PaaS以及所涵盖的SaaS服务范围)并寻求数据保护解决方案的组织应将NetBackup纳入其考虑的产品候选清单中。
♚ 成熟的产品,拥有强大的用户基础。
♚ 数据保护和防勒索韧性套件充分整合。
♚ 全面的功能涵盖多种用例。
♚ 与一系列管理程序集成,有效保护虚拟服务器。
♚ 与领先的DBMS和业务应用程序集成。
♚ 支持主要IaaS云中工作负载的云到云保护。
♚ 对Kubernetes工作负载的原生支持。
♚ 全面支持Microsoft Office 365、Salesforce 和Google Workspace。
♚ 覆盖Box、Slack以及Salesforce等其他SaaS应用。
♚ 支持云作为备份存储。
♚ 云自动扩展——根据需要动态调整云资源的大小。
♚ 基于人工智能/机器学习的备份数据更改异常检测。
♚ 适用于VMware的CDP和即时回滚。
♚ 利用Amazon S3和Azure上的不可变存储来增强保护。
摘自:VERITAS中文社区
