儲存月報第72期：從唯讀快照到不可變快照，SAN儲存陣列邁向勒索病毒防禦

在勒索軟體威脅的促進下，資料不可變（Immutable）技術的應用範圍正迅速擴展中，從最初的備份、歸檔用儲存媒體，擴展到物件儲存系統、NAS，以至公有雲儲存服務，近期又延伸到SAN儲存陣列領域。

在今年3月份的儲存月報中，我們曾初步介紹市場上第一批引進不可變快照（Immutable Snapshot）功能的儲存陣列產品，可為生產資料提供免疫於惡意刪改威脅的安全複本，因應勒索軟體攻擊時的資料復原需求。

而在接下來的半年多，又有更多家廠商跟進，為旗下儲存陣列導入不可變快照功能，其中既包括了Dell這樣的業界龍頭，也有QSAN這類國產入門級儲存陣列廠商。這意味著，不可變快照功能正以超過我們預期的速度，迅速在SAN儲存陣列領域普及。

WORM與不可變快照的異同

不可變快照與一寫多讀（Write Once Read Many，WORM）技術，都屬於資料防刪改技術的應用，目的都是防止資料遭到修改或刪除，但兩者的發展脈絡、運作型態與技術，都有所差異。

一寫多讀（WORM）技術已有30、40年歷史，最初是針對法規遵循應用而誕生，透過儲存媒體的物理性質特性，或是儲存系統的韌體或軟體功能，確保寫入儲存媒體或指定儲存區的資料，無法再被更改，以具備法律與訴訟上的有效性。

不可變快照則是這2、3年才出現的技術，是由唯讀快照功能延伸發展而來，一開始是針對災難備援的資料復原應用，目的是為來源端儲存區建立不可刪除的快照複本。

在技術方面，WORM的實現方式較為多元化，有物理型、韌體型與軟體型等多種方式，不可變快照則是單純的軟體功能。

而在保存的資料類型方面，WORM儲存媒體通常是被用於保存資料「正本」，也就是原始資料的「本體」，但也能用於保存資料的複本（如備份），而不可變快照純粹是原始資料的「複本」。

軟體型WORM vs不可變快照

特別需要一提的是，不可變快照與軟體型WORM技術，都同樣是由儲存設備提供的軟體功能，特別容易混淆，但兩者的運作機制大不相同。

軟體型WORM技術是在檔案系統或物件儲存系統上運作，由本地端NAS、物件儲存系統，或公有雲物件儲存服務提供，以檔案儲存區或物件容器為單位運作，目的是「鎖住」儲存區或容器中的檔案或物件狀態，禁止修改或刪除這些檔案或物件。

不可變快照則是在區塊層級上運作，是SAN儲存陣列的附屬功能。基本上，快照是指定來源端Volume或LUN儲存區的複本，本身等同於一整個Volume或LUN儲存區，而不可變快照則是禁止修改或刪除的快照複本。

儘管兩種技術的運作機制與應用目的有所差別，但WORM與不可變快照都提供防止資料刪改特性，同樣具備遏止勒索軟體發作的作用，可以鎖定資料狀態，防止勒索軟體加密或刪除，因而在近年來，兩種技術都跨出了原本的應用領域，成為勒索軟體防禦解決方案的一部分。

在用於勒索軟體防禦時，WORM與不可變快照的應用型態便趨於一致，因為它們都是用於提供不受勒索軟體影響的資料複本，當來源端資料遭受勒索軟體攻擊而受損時，可利用WORM儲存區或不可變快照保存的資料複本，來復原來源端資料。

WORM由於是在檔案儲存區或物件容器層級運作，優點是可提供個別檔案或物件等級的還原精細度；不可變快照則是整個Volume或LUN的複本，優點是可以一次將整個Volume或LUN回滾（rollback）還原到指定時間點。

從唯讀快照到不可變快照

快照是一項頗有歷史的複本技術，不可變快照，則是這項技術的最新發展。今年中，Dell向我們介紹PowerMax系列新增的Secure Snap不可變快照功能時，曾表示不可變快照是由唯讀快照演變而來。SAN儲存陣列的快照，原本有「可讀寫」與「唯讀」等2類，其中唯讀快照可作為避免遭到意外刪改的複本，但就資安應用來說，唯讀快照的強固性與管理機制都不足夠，任何有儲存系統管理權限的用戶，都能取消唯讀屬性，從而刪除快照，而且，唯讀屬性也沒有期限的設定，只有啟用與否的選項。

不可變快照則是在唯讀快照的基礎上，補強了強固性。以PowerMax的Secure Snap不可變快照功能來說，一旦啟用後，除非到達政策期限，或是尋求Dell原廠服務才能解除，否則包括管理者在內，任何人都無法刪除Secure Snap的資料。

迅速擴散的不可變快照技術

回顧SAN儲存陣列上最早的不可變快照功能，應該是IBM於2019年初為DS8000高階儲存陣列提供的Safeguarded Copy。DS8000原本的FlashCopy快照功能，建立的快照複本是可讀寫的，而透過Safeguarded Copy則能建立具備不可變性（immutability）的複本，既不能為前端主機直接存取，也不能刪改。

藉由快照複本來還原資料，要比經由備份複本迅速、方便許多，可在一瞬間就將原始儲存區回滾到指定時間點的狀態，十分適合作為儲存設備的短期性複本用途，而Safeguarded Copy除了擁有快照的高效率還原特性外，還能透過不可變特性，確保複本的完整與安全，提供一種兼具高效率與安全性的還原手段。

更進一步，Safeguarded Copy的不可變特性，在對抗勒索軟體威脅上，也能扮演重要角色，可提供免疫於勒索軟體的安全複本，用於遭受勒索軟體攻擊時的資料復原。於是，接下來IBM又在2021年終時，將Safeguarded Copy從大型主機應用領域的DS8000系列，移植到針對開放環境應用的FlashSystem全快閃儲存陣列家族，以及Spectrum Virtualize儲存平臺。與此同時，其他廠商也陸續跟進，推出類似的不可變快照功能。

目前提供不可變快照功能的SAN儲存陣列產品，是以中高階產品居多，例如，在高階儲存陣列領域，有IBM DS8000的Safeguarded Copy，Dell PowerMax的Secure Snap，以及Infinidat InfiniBox的InfiniGuard。在中階儲存陣列方面，則有IBM Spectrum Virtualize與FlashSystem的Safeguarded Copy，以及Pure Storage在FlashArray全快閃儲存陣列提供的 SafeMode快照功能等。

不過，近來也有一些入門級儲存陣列，開始提供不可變快照功能，例如QSAN為其Unified Storage儲存產品系列提供的Snapshot Lock功能。

由於不可變快照是由唯讀快照演進而來，所以，我們認為，目前SAN儲存陣列上的快照功能，應該都具有增加「鎖定」功能，從而成為不可變快照的潛力。依照這樣的趨勢，我們可以預期，或許在1、2年時間內，不可變快照就會成為企業級儲存陣列快照功能中，必備的進階屬性之一。

Dell PowerMax的不可變快照功能

上圖為Dell PowerMax儲存陣列的Secure Snap功能設定畫面，只要在快照政策選單中勾選Secure項目，就能建立防止刪改的不可變快照。

圖片來源：Dell

QSAN的快照鎖定功能

上圖為QSAN Snapshot Lock功能的設定畫面，只要在快照政策選單中，點選鎖頭的圖示，就能鎖住快照，防止刪改。

圖片來源：QSAN