数据隔离和空气间隙技术 完善数据保护防卫机制

     IDC的数据表明，在过去一年中，世界范围内超过三分之一的企业机构都曾遭遇勒索软件攻击。不仅如此，其中不少受害企业很有可能会多次经历勒索软件骚扰。时至今日，勒索软件正不断演变进化，企业需要采取多层次的保护措施才能有效降低风险、控制损失。为了应对勒索软件带来的新挑战，Commvault Complete Backup & Recovery服务采用多重措施、多样工具保护数据免受勒索，这其中就包括数据隔离（Data Isolation）和空气间隙技术（Air Gap），大量实践经验证明这两项技术可以有效减少备份数据的攻击面。   

   Commvault数据隔离可以帮助客户生成备用的备份数据，也即第二或第三备份。Commvault利用VLAN技术、新一代防火墙、零信任技术等工具，实现数据隔离以保证他人无法通过公共网络威胁新备用数据的安全。当数据遭到勒索软件入侵或恶意攻击时，数据隔离会大大减少网络威胁的攻击面。即便病毒已侵入公共数据环境，经过隔离的数据仍能保持安全，因为病毒无法以这一途径影响到它们。当然，如果想要高效的数据保护，隔离环境必须同时隔绝互联网及公共网络连接。

   在处理数据备份及保护时，空气间隙技术可以说是数据隔离的“最佳拍档”。传统的空气间隙网络会完全隔绝其与公共网络的连接。例如磁带，由于磁带可以从数据库中取出并单独存储，在过去，磁带是典型的空气间隙备份媒介。与之类似，Commvault既可以创建数据备份，也能将备份存储在由空气间隙技术赋能的安全隔离环境中。隔离环境会完全禁止域外访问，并严格限制域内与外部环境的主动连接。这些举措可以极大程度上降低网络威胁。

    在绝大多数情况下，对数据中心进行隔离处理，再辅以Commvault的安全控制技术已足够应对可能出现的安全威胁。如果再运用空气间隙技术，勒索攻击影响备份数据的风险则会进一步降低。Commvault数据备份及恢复服务采用了数据隔离及空气间隙技术，可以大幅提高企业机构的数据备份及恢复能力，降低勒索软件和其他恶意攻击带来的风险。Commvault数据备份及恢复服务的主要优势和价值有以下几点：

     · 通信由隔离网站内部主动发起

   所有针对隔离数据的外部连接都会被禁止，为了正常进行数据备份，只容许产生少数隔离数据与源数据间进行连接。这是一种拉配置（Pull Configuration），与推配置（Push Configuration）相对。通信从安全的隔离端发起，Commvault只负责管理数据保护和保留。

     · 空气间隙就绪

     使用Commvault数据备份及恢复服务，仅需切除由隔离数据端发起的加密通道，便可完成空气间隙处理。并且，Commvault的自动化框架也带给客户自主配置功能的选择。

     · 安全控制

     Commvault采用AAA安全框架（身份验证、授权、记账）提供了一系列控制选项以加强平台安全性。此外，Commvault也使用端到端加密和证书身份验证来防止恶意数据访问、中间人攻击和欺骗。

     · 不可变备份

     Commvault利用分层安全控制、一次写入多次读取（WORM）能以及针对备份数据的内置勒索软件保护，防止未经授权的随机更改。这也有助于防止有意或无意的备份数据修改与删除，保持备份数据完整性。

     · 数据验证

   Commvault会在数据备份期间、静止存储时以及进行复制操作期间多次验证数据完整、真实性。首次备份数据时，服务会为源客户端上的每个数据块进行CRC校验。这些信息会用于验证初始备份数据并与备份一起存储。

     · 网络、勒索软件攻击保护

   备份数据锁定，只能由Commvault进程修改。任何试图从数据移动器（介质代理）中删除、修改备份数据的勒索软件、应用程序或用户都将在I/O堆栈中被驳回。并且，Commvault使用机器学习算法来检测基于文件的异常行为，这些异常行为可能是对Commvault资源勒索软件攻击的特征。

     · 硬件无关性

     Commvault支持各种磁盘、云和对象存储供应商。将Commvault用于空气间隙解决方案时，可以使用任何受支持的存储供应商，这就包括Commvault HyperScale Appliance。Commvault还支持WORM和与第三方存储设备一起使用的不可变锁。

     · Commvault备份和恢复软件集成

     数据隔离和空气间隙解决方案包含索引、分析和重复数据删除等多项Commvault功能。

     采取数据隔离和空气间隙技术保护备份数据的安全，可以提供针对勒索软件威胁的最佳保护方案。以保险箱为例，保险箱放在外面很容易被小偷看到，如果藏在安全的家里，安全系数会大大提升。从逻辑上讲，最安全的选择就是把钱包放在保险箱内，然后将保险箱存放在一个远程的安全机构（比如银行）。钱包被空气间隙隔离、且无法接触，完全消除了暴露在偷盗者视线内的可能性。

      综合采用数据隔离和空气间隙技术，就会大大降低风险，形成一道坚固的数据防线。Commvault的现代空气间隙技术不仅使用简便，而且提供了数据保护所需的最高安全级别，防止横向移动威胁，支持客户做好数据恢复准备。