臺灣長期以來面臨許多天災的考驗,包含每年必定遭逢的颱風,不定期出現的地震,再加上對岸中國不斷擴充軍力,虎視眈眈,迫使我們必須比其他國家更有危機意識,然而,這幾年來,全球都受到極端氣候衝擊、COVID-19肆虐、俄烏戰爭的影響,而使得許多地區不斷傳出事故,災難復原(Disaster Recovery,DR)已成為公眾議題,今年3月底我們剛製作了《關鍵民生系統韌性大改造》的封面故事,4月中我們延續對這項議題的關切,製作《雲端災難復原服務興起》的報導,讓大家更了解IT角度的作法,例如,雲端災難復原(Cloud DR)與災難復原即服務(DRaaS)。

回顧過去,我們上次以封面故事的規格撰寫這類題材,已經是15年前 (2009年),當時的題目是《虛擬環境自動化災難備援解決方案採購大特輯》,介紹的解決方案,是基於伺服器虛擬化平臺的相關軟體,搭配具有遠端複製功能的儲存系統。十年後,公有雲服務崛起、普及之際,我們在《雲端儲存的多元化面貌》,簡略提到兩大雲端業者提供的災難備援服務,時隔5年,我們終於重新檢視這類型解決方案,而隨著軟體即服務(SaaS)的盛行,以及企業上雲比例水漲船高等因素,雲端服務如今已躍居IT災難復原的主角,而不再只是配角。

此次報導我們不只是巡禮相關的供應商,列出評估要點與選擇依據,整理這類解決方案的局限,特別的是,我們也綜合多家研究機構的觀察,回顧市場規模的快速成長,可達到百億美元以上,年複合成長率都有20%以上,而就發展程度而言,已達到和「資料備份與還原」解決方案並駕齊驅的地步。

在此之前,我們陸續發表兩篇與災難復原服務的產品快報,一篇是去年8月介紹VMware Cloud Disaster Recovery,緣起是中國信託商業銀行7月底發布導入消息,他們表示,在6月初已展開全行資訊系統災備演練,順利完成臺灣金融業首次的VMware 雲端災備解決方案技術架構驗證,另一篇則是NetApp BlueXP disaster recovery,適逢該公司今年3月中在臺舉行全球巡迴研討會INSIGHT Xtra,我們也順勢整理他們的災難復原即服務。

目前市面上可提供DR、Cloud DR或DRaaS的廠商,數量其實相當龐大,以大型公有雲業者而言,AWS、Azure、GCP、OCI都有這方面的解決方案;系統與儲存大廠,包含Cohesity、Dell、HPE、IBM、NetApp、Nutanix、Pure Storage、群暉科技、VMware;備份與還原廠商,則有Acronis、Arcserve、Commvault、Datto、Druva、OpenText、StorageCraft、Veeam、Veritas。

由此可見,企業與組織採用災難復原產品與服務的選擇越來越多,進行適用評估時,除了注意業者是否提供所需的功能特色、滿足用戶端的復原等級要求,由於我們長期報導資安新聞,因此,想針對DR使用時的安全防護的部分,提醒大家注意身分存取。

這個因素已成為有實際案例的風險,若沒做好相關的控管,可能在災難還沒發生前,就會面臨資料外洩的重大問題。

2022年底密碼管理服務LastPass母公司GoTo發生的資安事故中,攻擊者滲透到第三方雲端儲存服務,拿到該公司旗下多種產品在此存放的加密備份資料,以及局部加密備份資料使用的金鑰,因此,這些產品記載的帳戶名稱、經雜湊(Hashed)和加鹽(Salted)處理過的密碼、部分多因素身分驗證配置,以及一些產品配置和授權資訊,都可能受到影響而外流。

另一例子是雲端備份服務業者SOS Online Backup的資料庫外洩,2020年11月被發現,12月VPN服務業者VpnMentor的研究團隊進行調查,發現外流1.35億筆資料,用戶帳號相關中繼資料多達70 GB,洩漏個資含全名、電子郵件位址、電話號碼、企業客戶公司資訊細部資料、使用者帳號,原因可能是不當組態設定,或是高權限管理者帳號被滲透。

上述例子雖然是與雲端備份有關,但由於雲端災難復原服務同樣也具有將大量機敏資料複製到另一個站點的性質,因此,也可能因為類似的侵襲模式而受害,所以必須要謹防這個層級的資安風險。

 相關報導 

 相關報導 

專欄作者

熱門新聞

Advertisement