Новости Статьи VMware Veeam StarWind vStack Microsoft Nakivo Citrix Symantec События Релизы Видео Контакты Авторы RSS
Виртуализация и виртуальные машины

Все самое нужное о виртуализации и облаках

Более 6270 заметок о VMware, AWS, Azure, Veeam, Kubernetes и других

VM Guru / Articles / Защита от Ransomware с помощью NAKIVO Backup & Replication + новая бета

Защита от Ransomware с помощью NAKIVO Backup & Replication + новая бета

Защита от Ransomware с помощью NAKIVO Backup & Replication + новая бета

Автор: Александр Самойленко
Дата: 31/10/2021

Поддержите VM Guru!

USDT / TRC20, адрес: TCDP7d9hBM4dhU2mBt5oX2x5REPtq9QdU1




Статья:

Недавно мы писали о продукте NAKIVO Backup & Replication, который является одним из лидеров в сфере решений для резервного копирования и защиты данных виртуальной инфраструктуры. Мы рассказали об основных его возможностях и областях применения, а сегодня мы подробно остановимся на его использовании при защите от программ-вымогателей (Ransomware).

Сначала отметим, что совсем недавно была выпущена бета-версия NAKIVO Backup & Replication 10.5, в которой появилось две главных новых возможности, одна из которых напрямую относится к защите от Ransomware:

  • VMware Monitoring - это целый комплекс средств для получения полной информации о производительности и состоянии инфраструктуры VMware vSphere. Из одного дэшборда можно производить мониторинг ресурсов CPU, RAM, использования диска и датасторов хостами VMware vSphere и виртуальными машинами. Этот дэшборд предоставляет как исторические данные, так и информацию в реальном времени, что позволяет анализировать тренды производительности, исследовать проблемы различного характера, а таке предсказывать будущие условия работы виртуальных машин и их потребности в хранилищах.

Вы просто выбираете объекты виртуальной инфраструктуры для мониторинга:

И получаете готовые дэшборды:

  • Hardened Virtual Appliance - это простой способ развернуть NAKIVO Backup & Replication и защитить данные от Ransomware (сам механизм защиты появился еще в прошлой версии). Решение можно развернуть как преднастроенный виртуальный модуль на базе Ubuntu Server и защитить ваши данные от удаления и шифрования со стороны вредоносных программ. Бэкапы, которые отсылаются на репозиторий, создаваемый как часть Virtual Appliance, можно пометить как immutable на определенный промежуток времени. После этого даже суперпользователь не сможет изменить или удалить бэкап, а также отменить свойство immutable.

Кстати, до 5 ноября, скачав Backup & Replication v10.5 Beta можно получить подарочную карту Amazon на $20 (подробности находятся здесь).

Давайте перейдем непосредственно к способам защиты от Ransomware с помощью решения NAKIVO Backup & Replication. Эта проблема в последнее время стала очень актуальной (об этом мы писали вот тут). Одним из самых страшных сценариев для администраторов является поражение инфраструктуры программой-вымогателем, которая блокирует компьютеры, а данные их дисков зашифровывает.

Традиционная инфраструктура бэкапа в этом случае может оказаться малоэффективной - ведь сложно определить момент, когда произошло инфицирование компьютеров/виртуальных машин, а также трудно быстро поднять десятки или сотни систем, ну и, конечно же, очень тяжело запустить там все процедуры проверки.

Вот какие моменты важны при борьбе с массовой атакой посредством Ransomware:

  • Возможность иметь достаточное количество копий назад во времени, чтобы выбрать точку чистой от вредоносного ПО системы.
  • Возможность мгновенно включить ВМ для проверки, не запуская длительный процесс восстановления. Потому что таких виртуальных машин может быть очень много.
  • Обеспечение сохранности и неизменности самих бэкапов - надо сделать так, чтобы зараженные машины не зашифровали сами резервные копии - ведь тогда нечего будет и восстанавливать.
  • Нужно регулярно убеждаться, что бэкапы не повреждены (например, вследствие какого-то бага).
  • Ну и все процедуры по восстановлению не должны стоить космических денег.

Все эти возможности обеспечивает продукт NAKIVO Backup & Replication. Для начала с основными принципами защиты резервных копий от этого типа атак можно ознакомиться, посмотрев вот это видео:

Начнем с того, какие бывают программы-вымогатели. Ransomware - это программное обеспечение, которое делает с вашими данными одну из следующих вещей (или несколько из них в разных комбинациях):

  • Залочка устройств или данных таким образом, что вы не можете получить к ним доступ
  • Зашифровка данных - в этом случае нельзя ими воспользоваться
  • Удаление данных - злоумышленник может как просто угрожать удалить данные, так и удалять, например, по 100 файлов ежедневно, пока жертва не заплатит выкуп
  • Угроза публикации данных в открытом доступе

Самое печальное - это то, что Ransomware уже доступно на широком рынке "как услуга" (Ransomware-as-a-Service, RaaS). Это означает, что даже люди с невысокой квалификацией могут купить готовые тулкиты Ransomware в дарквебе и попробовать провести атаку на какую-то компанию, и в этом случае эта компания не обязательно будет крупной.

Кстати, платить выкуп за расшифровку файлов злоумышленникам - не выход. По статистике, около четверти всех компаний, заплативших выкуп, так и не расшифровали свои файлы. Тут та же самая ситуация, что и с обычными вымогателями.

Давайте посмотрим на то, как решение NAKIVO Backup & Replication помогает вам бороться с атакой типа Ransomware, в соответствии с пунктами, которые мы перечислили выше:

1. Возможность иметь достаточное количество копий назад во времени

NAKIVO Backup & Replication дает администраторам широкий спектр инструментов по созданию как резервных копий с гибкой политикой их хранения (Retention policy), так и средства репликации на другую площадку в целях мгновенного переключения рабочих нагрузок на резервный сайт. В случае атаки Ransomware важно иметь достаточно глубокую во времени точку восстановления для момента, когда инфраструктура еще не была повреждена вредоносным ПО.

Решение NAKIVO Backup & Replication поддерживает все 5 типов сред, в которых происходит резервное копирование и репликация данных:

  • Виртуальные (VMware vSphere, Hyper-V, Nutanix AHV, VMware Cloud Director)
  • SaaS (Microsoft 365)
  • Физические (Windows Server, Windows 10 Pro, Ubuntu Server/Desktop, Red Hat Enterprise Linux, SUSE Linux Enterprise, CentOS)
  • Облачные (Amazon EC2)
  • Приложения (Oracle Database)

В плане политики сохранения резервных копий NAKIVO Backup & Replication дает администраторам максимальную гибкость, чтобы обеспечить показатели к контрольной точке восстановления (Recovery Point Objectives, RPO), которые требуются в вашей ИТ-инфраструктуре:

Настройте параметры сохранения резервных копий по дням, неделям, месяцам и годам, используя схему grandfather-father-son (GFS).

2. Возможность мгновенно включить ВМ для проверки и миграции в производственную среду

В случае атаки Ransomware важно провести массовое быстрое восстановление систем, которые надо еще и успеть проверить перед вводом в производственную среду. В продукте NAKIVO Backup & Replication есть множество функций мгновенного восстановления, как самих виртуальных и физических машин, так и отдельных объектов приложений.

Мгновенное восстановление виртуальных машин производится путем запуска ВМ напрямую из резервной копии (она может быть сжатой и дедуплицированной), потом же машина переезжает в реальную инфраструктуру, если с ней все в порядке. Называется это Flash VM Boot.

NAKIVO может мгновенно восстанавливать следующие объекты:

  • Виртуальные машины VMware и Hyper-V напрямую из дедуплицированных резервных копий
  • Физические системы в виртуальной среде (Physical-to-Virtual, P2V) из резервных копий
  • Файлы в исходное расположение
  • Объекты Microsoft Exchange с возможностью предварительного просмотра объектов (например, отдельные письма отдельных пользователей)
  • Объекты Microsoft Active Directory - можно просматривать, искать и восстанавливать отдельных пользователей, группы пользователей и другие объекты AD обратно в исходное расположение.
  • Объекты Microsoft SQL - можно просматривать, искать и восстанавливать отдельные таблицы и базы данных обратно в исходное расположение.
  • Объекты приложений - можно восстанавливать объекты любого приложения, монтируя диски из резервной копии непосредственно на свои производственные машины.
  • Файлы и объекты Nutanix AHV - в средах Nutanix AHV теперь тоже можно мгновенно восстанавливать файлы и объекты приложений в Microsoft SQL Server, Microsoft Exchange и Active Directory из резервных копий.

Второй вид восстановления - это восстановление систем после аварии, когда вы имеете реплики производственных данных и хотите быстро восстановить их в производственную среду на запасной площадке. Здесь NAKIVO Backup & Replication предоставляет следующие возможности:

  • Репликация виртуальных машин VMware и Hyper-V почти в реальном времени и управление процессом послеаварийного восстановления с помощью Site Recovery.
  • Репликация виртуальных машин непосредственно из резервных копий в целях снижения нагрузки на узел, освобождения ценных ресурсов и экономии времени и сил администраторов.
  • Репликация инстансов Amazon EC2 по аналогии с репликацией виртуальных машин.
  • Возможности Site Recovery - администратор может создать рабочие процессы послеаварийного восстановления, после чего выполнить запланированное тестирование восстановления без прерывания работы. Также можно выполнить плановое или аварийное переключение на резервный ресурс или обратно на основной и даже провести миграцию всего датацентра одной кнопкой:

3. Cохранность и неизменность самих бэкапов

Решение NAKIVO Backup & Replication дает вам возможность "застраховать" данные своей виртуальной инфраструктуры путем выставления свойства immutability для ваших резервных копий. Эта возможность появилась в версии NAKIVO Backup & Replication 10.4 и получила свое развитие в версии 10.5, как мы рассказали в начале статьи.

Администратор может создать неизменяемый репозиторий - так можно активировать режим неизменяемости (immutability) для резервных копий, отправляемых в локальный репозиторий на базе Linux. Несмотря на то, что неизменяемые резервные копии защищены от изменения, удаления или шифрования программами-вымогателями, при необходимости вы сможете использовать их для восстановления. После настройки неизменяемость не может быть изменена или отменена кем-либо, кроме суперпользователей, которые следят за регламентом РК.

Сам пользователь nkvuser не может убрать данный флаг:

Immutability можно включить как для локальных репозиториев, так и для хранилищ Amazon S3, которые поддерживают возможность Object Lock.

При использовании Amazon S3 как Backup Repository, immutable точки восстановления не могут быть перезаписаны или изменены даже root-пользователем, пока не прошел заданный администратором период. Для локальной папки как Backup Repository, пользователь root может отменить immutability, поэтому все равно нужно пристально следить за доступом к управлению этим свойством.

У механизма Backup Immutability есть следующие требования к инфраструктуре:

Для Amazon S3 bucket, где находится ваш репозиторий:

  • Должна быть включена функция Object Lock

Для локальной папки, которую вы используете как репозиторий:

  • Целевая операционная система должна поддерживать расширенные атрибуты, изменяемые командами chattr и setfattr
  • Поддерживаются Linux OS и NAS OS (за исключением FreeNAS/TrueNAS)
  • Тип Backup Repository должен быть Local Folder.
  • Опция Store backups in separate files должна быть включена

4. Нужно регулярно убеждаться, что бэкапы не повреждены

Для того, чтобы знать наверняка, что вы сможете восстановить системы из резервных копий в случае атаки Ransomware, надо регулярно убеждаться, что после восстановления они полностью работоспособны. На этот случай у компании должен быть соответствующий регламент, а администраторы резервного копирования должны регулярно проводить процедуру восстановления резервных копий виртуальных машин, приложений и их данных.

Для этого и предназначены функции мгновенного восстановления (Instant VM Recovery), которые позволяют восстановить любую систему в тестовом изолированном с точки зрения сети окружении и провести там все необходимые проверки.

Благодаря согласованному резервному копированию, восстановление происходит быстро, и данные сразу же можно использовать без какой-либо настройки. Можно выполнить восстановление на исходную или другую виртуальную машину или экспортировать данные в настраиваемое расположение, не восстанавливая всю виртуальную машину.

Эти процедуры нужно проходить регулярно и корректировать схему резервного копирования, если при тестировании восстановления систем возникли ошибки.

Отметим, что в процессе восстановления обеспечивается целостность приложений и баз данных, таких как Microsoft Exchange, Active Directory, SQL, Oracle, SharePoint и т.д.

Также в продукте NAKIVO Backup & Replication есть возможность проверки реплик виртуальных машин VMware и Hyper-V с функциями генерации отчетов о восстановленных в ходе теста машинах.

5. Невысокая стоимость процедур по восстановлению систем

Очевидно, что стоимость восстановления виртуальной инфраструктуры для вас должна быть меньше выкупа, который просят злоумышленники:) Для этого NAKIVO Backup & Replication предлагает несколько последовательных решений, каждое из которых потребует дополнительного бюджета на оборудование, но и, соответственно, защитит вашу инфраструктуру на все более серьезном уровне:

  • Резервное копирование ВМ на бэкап-хранилища. Лучше его проводить по схеме 3-2-1: храните как минимум 3 копии данных, две из них на разных устройствах, а одну из них - в удаленном (в том числе физически) репозитории (например, в облаке).
  • Репликация виртуальных машин - это позволит мгновенно восстановить наиболее критичные производственные системы в случае сбоя основной инфраструктуры.
  • Резервное копирование и репликация в одно из публичных облаков в целях защиты на уровне площадки (не только от Ransomware). Если вы используете облако Amazon S3 для хранения резервных копий, то, конечно же, имеет смысл использовать функции неизменяемости резервных копий (immutability).
  • Организация полноценной DR-площадки, которая возьмет на себя продуктивную нагрузку в случае отказа основного сайта вследствие атаки Ransomware или по другой причине.

Решение NAKIVO Backup & Replication поставляется в различных изданиях, чтобы вы могли выбрать оптимальное для себя решение с точки зрения функционала и затрат. Стоимость доступных изданий продукта представлена на картинке ниже (а само сравнение изданий находится здесь):

В заключение дадим еще несколько простых рекомендаций, которые повысят устойчивость вашей инфраструктуры к проникновению программ-вымогателей:

  • Используйте доступ на базе привилегий (role-based access control, RBAC) ко всем без исключения управляющим компонентам инфраструктуры.
  • Используйте принцип наименьших привилегий (principle of least privilege, PoLP).
  • Имейте Incident Response Plan на случай атаки Ransomware - как вы будете взаимодействовать, по какому плану идти, и как это будет влиять на деятельность организации. Выработайте конкретные шаги, что вы будете делать в случае атаки.

Скачать бесплатную пробную версию NAKIVO Backup & Replication 10.4 можно по этой ссылке. Бета-версия NAKIVO Backup & Replication 10.5 доступна тут.

Интересное:





Зал Славы Рекламодателя
Ближайшие события в области виртуализации:

Быстрый переход:
VMware Veeam Microsoft Cloud StarWind VMachines Offtopic NAKIVO vStack Gartner Vinchin Nakivo IT-Grad Teradici VeeamON VMworld PowerCLI Citrix VSAN GDPR 5nine Hardware Nutanix vSphere RVTools Enterprise Security Code Cisco vGate SDRS Parallels IaaS HP VMFS VM Guru Oracle Red Hat Azure KVM VeeamOn 1cloud DevOps Docker Storage NVIDIA Partnership Dell Virtual SAN Virtualization VMTurbo vRealize VirtualBox Symantec Softline EMC Login VSI Xen Amazon NetApp VDI Linux Hyper-V IBM Google VSI Security Windows vCenter Webinar View VKernel Events Windows 7 Caravan Apple TPS Hyper9 Nicira Blogs IDC Sun VMC Xtravirt Novell IntelVT Сравнение VirtualIron XenServer CitrixXen ESXi ESX ThinApp Books P2V VCF Backup Private AI vSAN Explore Workstation vDefend Data Protection ONE Tanzu AI Intel VCP V2V HCX Aria NSX DPU Update EUC Avi Broadcom Community Skyline Host Client Chargeback Horizon Labs SASE Workspace ONE Networking Ransomware Tools Performance Lifecycle Network AWS API USB SDDC Fusion Whitepaper SD-WAN Mobile VMUG SRM ARM HCI Converter Photon OS Operations VEBA App Volumes Certification VMConAWS Workspace Imager SplinterDB DRS SAN vMotion Open Source iSCSI Partners HA Monterey Kubernetes vForum Learning vRNI UAG Support Log Insight AMD vCSA NSX-T Graphics NVMe HCIBench SureBackup Carbon Black vCloud Обучение Web Client vExpert OpenStack UEM CPU PKS vROPs Stencils Bug VTL Forum Video Update Manager VVols DR Cache Storage DRS Visio Manager Virtual Appliance PowerShell LSFS Client Datacenter Agent esxtop Book Photon Cloud Computing SSD Comparison Blast Encryption Nested XenDesktop VSA vNetwork SSO VMDK Appliance VUM HoL Automation Replication Desktop Fault Tolerance Vanguard SaaS Connector Event Free SQL Sponsorship Finance FT Containers XenApp Snapshots vGPU Auto Deploy SMB RDM Mirage XenClient MP iOS SC VMM VDP PCoIP RHEV vMA Award Licensing Logs Server Demo vCHS Calculator Бесплатно Beta Exchange MAP DaaS Hybrid Monitoring VPLEX UCS GPU SDK Poster VSPP Receiver VDI-in-a-Box Deduplication Reporter vShield ACE Go nworks iPad XCP Data Recovery Documentation Sizing Pricing VMotion Snapshot FlexPod VMsafe Enteprise Monitor vStorage Essentials Live Migration SCVMM TCO Studio AMD-V KB VirtualCenter NFS ThinPrint Memory SIOC Troubleshooting Stretched Bugs Director ESA Android Python Upgrade ML Hub Guardrails CLI VCPP Driver Foundation HPC Orchestrator Optimization SVMotion Diagram Ports Plugin Helpdesk VIC VDS Migration Air DPM Flex Mac SSH VAAI Heartbeat MSCS Composer
Полезные постеры:

Постер VMware vSphere PowerCLI 10

Постер VMware Cloud Foundation 4 Architecture

Постер VMware vCloud Networking

Постер VMware Cloud on AWS Logical Design Poster for Workload Mobility

Постер Azure VMware Solution Logical Design

Постер Google Cloud VMware Engine Logical Design

Постер Multi-Cloud Application Mobility

Постер VMware NSX (референсный):

Постер VMware vCloud SDK:

Постер VMware vCloud Suite:

Управление памятью в VMware vSphere 5:

Как работает кластер VMware High Availability:

Постер VMware vSphere 5.5 ESXTOP (обзорный):

 

Популярные статьи:
Как установить VMware ESXi. Инструкция по установке сервера ESXi 4 из состава vSphere.

Включение поддержки технологии Intel VT на ноутбуках Sony VAIO, Toshiba, Lenovo и других.

Типы виртуальных дисков vmdk виртуальных машин на VMware vSphere / ESX 4.

Как работают виртуальные сети VLAN на хостах VMware ESX / ESXi.

Как настроить запуск виртуальных машин VMware Workstation и Server при старте Windows

Сравнение Oracle VirtualBox и VMware Workstation.

Что такое и как работает виртуальная машина Windows XP Mode в Windows 7.

Работа с дисками виртуальных машин VMware.

Диски RDM (Raw Device Mapping) для виртуальных машин VMware vSphere и серверов ESX.

Подключение локальных SATA-дисков сервера VMware ESXi в качестве хранилищ RDM для виртуальных машин.

Где скачать последнюю версию VMware Tools для виртуальных машин на VMware ESXi.

Как перенести виртуальную машину VirtualBox в VMware Workstation и обратно

Инфраструктура виртуальных десктопов VMware View 3 (VDI)

Как использовать возможности VMware vSphere Management Assistant (vMA).

Бесплатные утилиты для виртуальных машин на базе VMware ESX / ESXi.

Интервью:

Alessandro Perilli
virtualization.info
Основатель

Ратмир Тимашев
Veeam Software
Президент


Полезные ресурсы:

Последние 100 утилит VMware Labs

Новые возможности VMware vSphere 8.0 Update 1

Новые возможности VMware vSAN 8.0 Update 1

Новые документы от VMware

Новые технологии и продукты на VMware Explore 2022

Анонсы VMware весной 2021 года

Новые технологии и продукты на VMware VMworld 2021

Новые технологии и продукты на VMware VMworld 2020

Новые технологии и продукты на VMware VMworld Europe 2019

Новые технологии и продукты на VMware VMworld US 2019

Новые технологии и продукты на VMware VMworld 2019

Новые технологии и продукты на VMware VMworld 2018

Новые технологии и продукты на VMware VMworld 2017



Copyright VM Guru 2006 - 2024, Александр Самойленко. Правила перепечатки материалов.
vExpert Badge