過去幾年,在勒索軟體越演越烈的嚴重威脅之下,除了端點、網路資安產品進化,資料的備份與還原不僅是企業與組織必備的防護技術,也帶動不可變儲存(Immutable storage)技術走出原本法規遵循應用領域,成為資料儲存系統抵禦勒索病毒重要手段。

勒索軟體是透過加密或刪除用戶資料作為勒贖手段,而不可變儲存技術則能確保資料維持在唯讀狀態,不允許覆寫、修改或刪除,藉此也能從根本上防止勒索軟體發作——由於資料被鎖定在唯讀狀態,勒索軟體自然也無法變更資料狀態,予以加密或刪除。

因而面對勒索軟體威脅時,不可變儲存技術也就成為有效的被動防護手段,可利用不可變儲存技術鎖定資料唯讀的特性,為用戶保存免疫於勒索軟體的安全複本,當原始資料遭受勒索軟體侵害時,用於還原資料。

兩種不可變儲存技術的興起

過去最具代表性的不可變儲存技術應用,便是歷史悠久、型態多元的一寫多讀(Write Once Read Many,WORM)產品,透過軟體、韌體或硬體手段,鎖定寫入儲存媒體或指定儲存區的資料狀態,用戶端仍能讀取WORM保存的資料,但不能覆寫、修改或刪除,藉此滿足資料保存與完整性的要求。

而近2、3年以來,市面上又誕生另一種不可變儲存技術應用,名為不可變快照(Immutable Snapshot),能針對來源端磁碟區建立不可刪除的唯讀快照複本,作為災難備援的還原用複本。

相較於已有三、四十年歷史的WORM技術,不可變快照技術的歷史相對短了許多,但擴散速度非常快,短短2年不到,目前幾乎所有一線大廠與重要新興儲存廠商,都已陸續為旗下產品引進了不可變快照功能。

雖然WORM與不可變快照這兩項技術的原始目的,分別用於法規遵循與災難備援,然而,憑藉著能提供防寫,或者說「資料不變性」的能力,被視為對抗勒索軟體的有效手段,不僅讓這兩項技術跨出原有的應用領域,更加速相關技術與應用的擴展,到了今日,這兩項技術在勒索病毒防護所扮演的角色,甚至已經大大超越原始用途。

這股資料保護領域新崛起的技術應用趨勢,如今已日益明顯。回顧1年前第1070期封面故事「打造抵禦勒索軟體威脅的堡壘:儲存防寫應用重新崛起」,總覽WORM技術原理與應用產品現況,踏出第一步,而這次我們將不可變快照也納入視野,檢視結合這項新的資料防寫技術後,對於企業抵禦勒索軟體帶來的效益,以及與WORM技術間的異同。

 WORM與不可變快照的防寫機制區別 

「一寫多讀(WORM)」與「不可變快照(Immutable Snapshot)」同樣屬於不可變儲存技術,其存在目的也都是防止資料遭到非授權的刪除或更動,但兩者作用的對象有別,從而也帶來不同的應用特性。

WORM是直接作用在儲存媒體、儲存區、資料夾或檔案物件上,能防止用戶端刪除或覆蓋其中的資料,一旦啟用,整個儲存媒體、儲存區、資料夾或指定的檔案物件,都無法刪除或覆寫資料。

不可變快照則是作用在快照複本上,將指定的快照複本設定強固的唯讀屬性,設定後,該快照複本便無法刪除,但來源端儲存區仍能正常存取。

不可變快照 vs. WORM

不可變快照與WORM的目的,同樣都是將資料鎖定在唯讀狀態,藉此避免資料遭到刪除或更動。但是,兩者運作、實施的方式,作用的資料對象,以及適用情境,都有著很大的差別。

因此,為了要更深入地認識不可變快照這項新技術,第一步便是釐清這項技術與WORM之間的異同。

運作實施方式

WORM的實現方式較為多元,有物理型、韌體型與軟體型等多種方式,分別透過儲存媒體的物理化學性質特性,或是儲存系統的韌體或軟體功能來實施,因而型態也相當多樣化,以產品型態來區分的話,可以分為兩大基本類型:

一為基於儲存媒體材質而成的WORM儲存媒體,例如WORM光碟、WORM磁帶、WORM SD卡或WORM SSD等。用戶透過使用這些WORM儲存媒體,來取得WORM功能。

二為基於軟體功能運作的軟體WORM功能,也就是內含於本地端與雲端儲存服務、儲存設備平臺內的WORM功能選項,最具代表性的WORM軟體功能,有AWS S3儲存服務的Object Lock功能,以及NetApp ONTAP平臺的SnapLock等。用戶透過對儲存設備儲存區啟用WORM功能,來獲得WORM防寫能力。

相較之下,不可變快照則是由快照所衍生出來的資料保護技術,與快照同樣是儲存平臺內含的軟體功能。在市面上一些SAN、NAS儲存設備產品當中,已經提供這類軟體功能。例如,IBM在DS8000儲存陣列的Safeguarded Copy,Pure Storage在FlashArray全快閃儲存陣列的 SafeMode快照功能等。用戶透過設定快照複本的不可變或鎖定屬性,來建立不可變的快照複本。

作用對象

WORM技術是作用在指定的儲存媒體、儲存區或個別物件與檔案上,可以鎖定整個儲存媒體、儲存區,或是個別物件,在指定儲存媒體、儲存區或物件上的資料,都會被WORM給鎖定,無法再被刪除與覆寫。

而不可變快照是從快照的資料保護所延伸發展出來的,基本上,快照是儲存區或資料夾在指定時間點的邏輯複本,因而不可變快照鎖定的對象,也就是儲存區或資料夾的「複本」,而不是鎖定儲存區或資料夾「本體」,用戶端無法刪除被指定為不可變的快照,但仍能正常存取來源端原始儲存區或資料夾。

強固性

WORM技術最初是為了法規遵循應用而生,為具備法律與訴訟上的有效性,必須依循相關的官方資料保存與資料完整性監控規範來設計與實施,例如:美國證券交易委員會(SEC)針對證券交易業者的電子資料保存規範17a-4(f),美國政府金融監管局(FINRA)規則4511,以及美國政府期貨交易委員會(CFTC)針對記錄保存的1.31規則等。

更進一步,許多WORM產品供應商為了確保自身產品功能的法規遵循能力,還會特別商請獨立評估公司,驗證WORM功能是否符合特定監管法規的資料保存要求,其強固性與可信度都有一定程度的保證。

相較下,不可變快照的應用目前尚無這類認證,強固性與可信度只是個別廠商自身說法,缺乏足夠的規範與驗證。

作業模式選項

儲存媒體型的WORM只有啟用與否,而沒有設定鎖定期限或解除鎖定的選項,一旦使用,便無法解除WORM儲存媒體對資料的防寫鎖定。

相較之下,軟體型的WORM,不僅提供了設定鎖定資料期限的選項,並可視運作模式,提供不同條件的解除鎖定選項。一般而言,多數軟體WORM都會提供下列這兩種作業模式:

● 標準模式:一般用戶無法刪除資料,只有系統管理員能刪除資料。

● 法規遵循模式:包括系統管理者在內的任何用戶,都無法在保護期限內刪除資料,只有在特定條件下(如系統管理者加上資安長的雙重授權),才能調整資料保存設定。

至於不可變快照,大多也提供鎖定期限選項,但通常沒有解除鎖定的選項,必須等到時間超過鎖定期限之後,才能刪除不可變快照(也有例外,有些廠商的不可變快照功能,可允許在用戶授權的情況下,由原廠來提前解除鎖定)。

適用情境

WORM作用的對象,是儲存媒體、儲存區/資料夾或個別物件,啟用WORM功能之後,便會禁止對這些儲存媒體、儲存區/資料夾或物件的寫入與刪除動作,但如此一來,用戶端也無法再更動資料內容,以致會妨礙正常的應用程式運行,所以並不適合應用在資料內容更動頻繁的線上生產情境。

最適合使用WORM技術的場合,其實,是備份與歸檔(Archive)這些靜態的資料保存應用,而在這類應用情境中,資料只需靜態保存,而沒有頻繁存取或更動內容的需求,所以WORM對資料的防寫鎖定,不會影響到系統運作。

如同前面提到的,不可變快照作用的對象是快照,快照是來源端儲存區或資料夾在特定時間點的「複本」,所以,不可變快照並不會影響到應用程式對於來源端儲存區或資料夾的存取,可適用於動態、更動頻繁的資料存取環境。

但另一方面,快照由於會占用寶貴的線上主儲存系統資源,一般只被用作短期保留的暫時性複本,且與來源端的資料之間具有相依性,而非完全獨立的複本(必須搭配遠端複製功能,才能與來源端系統隔離),所以,快照並不適合需要長期保存的用途上。

相輔相成的兩種不可變儲存技術

雖然同屬能夠對抗勒索軟體威脅的不可變儲存應用,但WORM與不可變快照的運作對象與適用情境大不相同,因而兩者之間並沒有取代關係,還可相輔相成,相互配合。

WORM適合為長期靜態保存的資料提供防刪除保護,但不適合頻繁存取環境,相反地,不可變快照能夠為頻繁存取環境提供防刪除保護,但不適合長期保存。

所以最理想的應用方式,便是同時組合使用這2種技術,面對存取更動頻繁的線上儲存環境,使用不可變快照來保護;對於靜態保存的備份與歸檔資料,則改用WORM來保護。

 彼此可攜手合作,涵蓋完整資料生命週期的防寫保護 

簡而言之,不可變快照技術與WORM技術,彼此並非相互取代的關係,相反地,兩者結合,能更全面涵蓋整個資料生命週期的防寫保護需求。

在資料創建初期,資料仍於線上儲存設備上頻繁存取時,適合使用不可變快照技術來提供防寫保護。隨著時間推移,當資料存取頻率降低,進而被轉存到離線儲存設備上以後,便可改用WORM技術來提供防寫保護。

涵蓋完整資料生命週期的防寫保護

同時組合使用WORM與不可變快照的應用架構,也正好對應了資料生命週期不同階段的存取特性:

在資料生命週期的初期,由於資料位於線上的主儲存裝置,在經常存取與更動時,可透過不可變快照來提供防寫保護;而到了生命週期的末段,資料已轉存到離線的備份或歸檔儲存裝置上,便可使用WORM來提供防寫保護。

過去,在不可變快照技術尚未問世之前,我們只有WORM這一種防寫技術可用,因而也只能涵蓋資料生命週期末端的防寫保護需求。基本上,只有備份、歸檔等靜態保存資料能獲得防寫保護。

而在面對勒索軟體造成的檔案被綁架或破壞的威脅時,藉由WORM保護的備份複本,儘管能為用戶提供完好的還原用複本,但RTO(還原時間目標)與RPO(還原時間目標)都相對較長——備份的還原作業時間,通常以小時為單位來計算,耗時較長,還原點間隔則通常以天為單位來計算,因而用戶還原時所損失的資料量也較大。

現在有了不可變快照技術之後,不僅能藉此涵蓋資料生命週期前端的防寫保護需求。而且,快照的RTO與RPO都比一般的備份迅速許多,可縮短到數分鐘到10多分鐘的等級——透過快照,只須數十秒到數分鐘時間,就能將來源端儲存區「回滾」(roll-back)還原到指定時間點的狀態;而且快照複本間的時間間隔,最短可到10多分鐘或更短,用戶還原時只會損失10多分鐘的資料量。

但另一方面,如同前面提到的,不可變快照與一般的快照一樣,都會占用寶貴的線上主儲存系統資源,所以不適合保存長時間或大量的複本,而只適合保存近期的複本,至於長時間與累積的大量複本,則可改用成本低的備份型式來保存,並搭配WORM來保護。

所以,若企業與組織能更妥善地結合這兩種技術,不僅能涵蓋整個資料生命週期的防寫保護,也能在面對勒索軟體時,兼顧近期與長期的資料還原需求。

在勒索軟體威脅日甚一日的現在,我們可以預期,WORM與不可變快照的組合,很快就會成為企業抵禦勒索軟體的標準解決方案之一。

邁向全面普及的資料防寫應用

事實上,由不可變快照結合WORM構成的完整資料防寫架構,不僅止於紙上談兵的概念層次,而是已有產品能供應市場所需,是現成、可行的應用架構。

WORM是擁有30、40年歷史的成熟技術,企業可選擇的產品類型與供應商選擇眾多,除了搭配磁帶設備的WORM磁帶外,當前主要的企業級檔案與物件儲存產品,以至公有雲業者的物件儲存服務,大多都提供WORM功能的選項。

至於不可變快照雖然問世的時間晚近了許多,但正以驚人的速度普及到儲存設備上,目前幾乎所有一線儲存大廠,包括Dell、Hitachi Vantara、HPE、IBM、Pure Storage、Infinidat等,都能提供不可變快照功能。

而許多新興的分散式檔案或物件儲存系統供應商,也都已在產品搭配的核心作業系統裡面提供了不可變快照功能,例如:Cohesity的Span FS檔案系統,CTERA 的GFS檔案系統(Global File System),Hammerspace的GDE檔案系統(Global Data Environment),VAST Data的VASTOS儲存作業系統,以及StorONE的StorONE S1儲存平臺等。

另一些廠商,如NetApp、Panzura與Weka,目前雖然還未提供完整的不可變快照功能,但他們提出以唯讀快照為基礎、搭配遠端複製到WORM儲存區的解決方案,藉此讓唯讀快照具備更強固的不可變性,從而提供類似不可變快照的效果。

藉由前述提供WORM與不可變快照功能產品搭配,用戶可以很容易地建構結合WORM與不可變快照的應用環境。

更進一步而言,有些廠商可用單一平臺同時提供WORM與不可變快照功能,換言之,他們只需憑藉單一平臺,就能建構完整的資料防寫保護鍊。

例如,HPE在Primera、Alletra 9000系列儲存陣列提供的Virtual Lock,便是兼具WORM與不可變快照的功能。Hitachi Vantara的VSP平臺也具備類似能力,可同時提供WORM與不可變快照。

除了HPE、Hitachi Vantara等老牌大廠的產品,近年來頗受市場矚目的一些新創儲存平臺,例如Cohesity的Span FS,VAST Data的VASTOS,也都能同時提供WORM與不可變快照。

資料防寫功能的限制

要注意的是,WORM與不可變快照技術結合後,固然能提升防寫的完善度,但仍需搭配其他的儲存系統保護,才能讓防寫機制徹底發揮保護資料的作用。

首先,必須確實設定WORM儲存區與不可變快照的最小保留期限,確保WORM保不可變快照複本,在期限內不被系統清除,以防攻擊者刻意填滿儲存區,導致時間較舊的備份或快照複本遭到系統自動刪除。

其次,儲存系統必須擁有保護系統時鐘的機制,以防攻擊者透過竄改系統時間,使WORM與不可變快照的鎖定期限提早過期,從而暴露在攻擊範圍之內。

 相關報導 

熱門新聞

Advertisement