Недавно мы писали о продукте NAKIVO Backup & Replication, который является одним из лидеров в сфере решений для резервного копирования и защиты данных виртуальной инфраструктуры. Мы рассказали об основных его возможностях и областях применения, а сегодня мы подробно остановимся на его использовании при защите от программ-вымогателей (Ransomware).
Сначала отметим, что совсем недавно была выпущена бета-версия NAKIVO Backup & Replication 10.5, в которой появилось две главных новых возможности, одна из которых напрямую относится к защите от Ransomware:
VMware Monitoring
- это целый комплекс средств для получения полной информации о производительности и состоянии инфраструктуры VMware vSphere. Из одного дэшборда можно производить мониторинг ресурсов CPU, RAM, использования диска и датасторов хостами VMware vSphere и виртуальными машинами. Этот дэшборд предоставляет как исторические данные, так и информацию в реальном времени, что позволяет анализировать тренды производительности, исследовать проблемы различного характера, а таке предсказывать будущие условия работы виртуальных машин и их потребности в хранилищах.
Вы просто выбираете объекты виртуальной инфраструктуры для мониторинга:
И получаете готовые дэшборды:
Hardened Virtual Appliance
- это простой способ развернуть NAKIVO Backup & Replication и защитить данные от Ransomware (сам механизм защиты появился еще в прошлой версии). Решение можно развернуть как преднастроенный виртуальный модуль на базе Ubuntu Server и защитить ваши данные от удаления и шифрования со стороны вредоносных программ. Бэкапы, которые отсылаются на репозиторий, создаваемый как часть Virtual Appliance, можно пометить как immutable на определенный промежуток времени. После этого даже суперпользователь не сможет изменить или удалить бэкап, а также отменить свойство immutable.
Кстати, до 5 ноября, скачав Backup & Replication v10.5 Beta можно получить подарочную карту Amazon на $20 (подробности находятся здесь).
Давайте перейдем непосредственно к способам защиты от Ransomware с помощью решения NAKIVO Backup & Replication. Эта проблема в последнее время стала очень актуальной (об этом мы писали вот тут). Одним из самых страшных сценариев для администраторов является поражение инфраструктуры программой-вымогателем, которая блокирует компьютеры, а данные их дисков зашифровывает.
Традиционная инфраструктура бэкапа в этом случае может оказаться малоэффективной - ведь сложно определить момент, когда произошло инфицирование компьютеров/виртуальных машин, а также трудно быстро поднять десятки или сотни систем, ну и, конечно же, очень тяжело запустить там все процедуры проверки.
Вот какие моменты важны при борьбе с массовой атакой посредством Ransomware:
Возможность иметь достаточное количество копий назад во времени, чтобы выбрать точку чистой от вредоносного ПО системы.
Возможность мгновенно включить ВМ для проверки, не запуская длительный процесс восстановления. Потому что таких виртуальных машин может быть очень много.
Обеспечение сохранности и неизменности самих бэкапов - надо сделать так, чтобы зараженные машины не зашифровали сами резервные копии - ведь тогда нечего будет и восстанавливать.
Нужно регулярно убеждаться, что бэкапы не повреждены (например, вследствие какого-то бага).
Ну и все процедуры по восстановлению не должны стоить космических денег.
Все эти возможности обеспечивает продукт NAKIVO Backup & Replication. Для начала с основными принципами защиты резервных копий от этого типа атак можно ознакомиться, посмотрев вот это видео:
Начнем с того, какие бывают программы-вымогатели. Ransomware - это программное обеспечение, которое делает с вашими данными одну из следующих вещей (или несколько из них в разных комбинациях):
Залочка устройств или данных таким образом, что вы не можете получить к ним доступ
Зашифровка данных - в этом случае нельзя ими воспользоваться
Удаление данных - злоумышленник может как просто угрожать удалить данные, так и удалять, например, по 100 файлов ежедневно, пока жертва не заплатит выкуп
Угроза публикации данных в открытом доступе
Самое печальное - это то, что Ransomware уже доступно на широком рынке "как услуга" (Ransomware-as-a-Service, RaaS). Это означает, что даже люди с невысокой квалификацией могут купить готовые тулкиты Ransomware в дарквебе и попробовать провести атаку на какую-то компанию, и в этом случае эта компания не обязательно будет крупной.
Кстати, платить выкуп за расшифровку файлов злоумышленникам - не выход. По статистике, около четверти всех компаний, заплативших выкуп, так и не расшифровали свои файлы. Тут та же самая ситуация, что и с обычными вымогателями.
Давайте посмотрим на то, как решение NAKIVO Backup & Replication помогает вам бороться с атакой типа Ransomware, в соответствии с пунктами, которые мы перечислили выше:
1. Возможность иметь достаточное количество копий назад во времени
NAKIVO Backup & Replication дает администраторам широкий спектр инструментов по созданию как резервных копий с гибкой политикой их хранения (Retention policy), так и средства репликации на другую площадку в целях мгновенного переключения рабочих нагрузок на резервный сайт. В случае атаки Ransomware важно иметь достаточно глубокую во времени точку восстановления для момента, когда инфраструктура еще не была повреждена вредоносным ПО.
Решение NAKIVO Backup & Replication поддерживает все 5 типов сред, в которых происходит резервное копирование и репликация данных:
Физические (Windows Server, Windows 10 Pro, Ubuntu Server/Desktop, Red Hat Enterprise Linux, SUSE Linux Enterprise, CentOS)
Облачные (Amazon EC2)
Приложения (Oracle Database)
В плане политики сохранения резервных копий NAKIVO Backup & Replication дает администраторам максимальную гибкость, чтобы обеспечить показатели к контрольной точке восстановления (Recovery Point Objectives, RPO), которые требуются в вашей ИТ-инфраструктуре:
Настройте параметры сохранения резервных копий по дням, неделям, месяцам и годам, используя схему grandfather-father-son (GFS).
2. Возможность мгновенно включить ВМ для проверки и миграции в производственную среду
В случае атаки Ransomware важно провести массовое быстрое восстановление систем, которые надо еще и успеть проверить перед вводом в производственную среду. В продукте NAKIVO Backup & Replication есть множество функций мгновенного восстановления, как самих виртуальных и физических машин, так и отдельных объектов приложений.
Мгновенное восстановление виртуальных машин производится путем запуска ВМ напрямую из резервной копии (она может быть сжатой и дедуплицированной), потом же машина переезжает в реальную инфраструктуру, если с ней все в порядке. Называется это Flash VM Boot.
NAKIVO может мгновенно восстанавливать следующие объекты:
Виртуальные машины VMware и Hyper-V напрямую из дедуплицированных резервных копий
Физические системы в виртуальной среде (Physical-to-Virtual, P2V) из резервных копий
Файлы в исходное расположение
Объекты Microsoft Exchange с возможностью предварительного просмотра объектов (например, отдельные письма отдельных пользователей)
Объекты Microsoft Active Directory - можно просматривать, искать и восстанавливать отдельных пользователей, группы пользователей и другие объекты AD обратно в исходное расположение.
Объекты Microsoft SQL - можно просматривать, искать и восстанавливать отдельные таблицы и базы данных обратно в исходное расположение.
Объекты приложений - можно восстанавливать объекты любого приложения, монтируя диски из резервной копии непосредственно на свои производственные машины.
Файлы и объекты Nutanix AHV - в средах Nutanix AHV теперь тоже можно мгновенно восстанавливать файлы и объекты приложений в Microsoft SQL Server, Microsoft Exchange и Active Directory из резервных копий.
Второй вид восстановления - это восстановление систем после аварии, когда вы имеете реплики производственных данных и хотите быстро восстановить их в производственную среду на запасной площадке. Здесь NAKIVO Backup & Replication предоставляет следующие возможности:
Репликация виртуальных машин VMware и Hyper-V почти в реальном времени и управление процессом послеаварийного восстановления с помощью Site Recovery.
Репликация виртуальных машин непосредственно из резервных копий в целях снижения нагрузки на узел, освобождения ценных ресурсов и экономии времени и сил администраторов.
Репликация инстансов Amazon EC2 по аналогии с репликацией виртуальных машин.
Возможности Site Recovery - администратор может создать рабочие процессы послеаварийного восстановления, после чего выполнить запланированное тестирование восстановления без прерывания работы. Также можно выполнить плановое или аварийное переключение на резервный ресурс или обратно на основной и даже провести миграцию всего датацентра одной кнопкой:
3. Cохранность и неизменность самих бэкапов
Решение NAKIVO Backup & Replication дает вам возможность "застраховать" данные своей виртуальной инфраструктуры путем выставления свойства immutability для ваших резервных копий. Эта возможность появилась в версии NAKIVO Backup & Replication 10.4 и получила свое развитие в версии 10.5, как мы рассказали в начале статьи.
Администратор может создать неизменяемый репозиторий - так можно активировать режим неизменяемости (immutability) для резервных копий, отправляемых в локальный репозиторий на базе Linux. Несмотря на то, что неизменяемые резервные копии защищены от изменения, удаления или шифрования программами-вымогателями, при необходимости вы сможете использовать их для восстановления. После настройки неизменяемость не может быть изменена или отменена кем-либо, кроме суперпользователей, которые следят за регламентом РК.
Сам пользователь nkvuser не может убрать данный флаг:
Immutability можно включить как для локальных репозиториев, так и для хранилищ Amazon S3, которые поддерживают возможность Object Lock.
При использовании Amazon S3 как Backup Repository, immutable точки восстановления не могут быть перезаписаны или изменены даже root-пользователем, пока не прошел заданный администратором период. Для локальной папки как Backup Repository, пользователь root может отменить immutability, поэтому все равно нужно пристально следить за доступом к управлению этим свойством.
У механизма Backup Immutability есть следующие требования к инфраструктуре:
Для Amazon S3 bucket, где находится ваш репозиторий:
Должна быть включена функция Object Lock
Для локальной папки, которую вы используете как репозиторий:
Целевая операционная система должна поддерживать расширенные атрибуты, изменяемые командами chattr и setfattr
Поддерживаются Linux OS и NAS OS (за исключением FreeNAS/TrueNAS)
Тип Backup Repository должен быть Local Folder.
Опция Store backups in separate files должна быть включена
4. Нужно регулярно убеждаться, что бэкапы не повреждены
Для того, чтобы знать наверняка, что вы сможете восстановить системы из резервных копий в случае атаки Ransomware, надо регулярно убеждаться, что после восстановления они полностью работоспособны. На этот случай у компании должен быть соответствующий регламент, а администраторы резервного копирования должны регулярно проводить процедуру восстановления резервных копий виртуальных машин, приложений и их данных.
Для этого и предназначены функции мгновенного восстановления (Instant VM Recovery), которые позволяют восстановить любую систему в тестовом изолированном с точки зрения сети окружении и провести там все необходимые проверки.
Благодаря согласованному резервному копированию, восстановление происходит быстро, и данные сразу же можно использовать без какой-либо настройки. Можно выполнить восстановление на исходную или другую виртуальную машину или экспортировать данные в настраиваемое расположение, не восстанавливая всю виртуальную машину.
Эти процедуры нужно проходить регулярно и корректировать схему резервного копирования, если при тестировании восстановления систем возникли ошибки.
Отметим, что в процессе восстановления обеспечивается целостность приложений и баз данных, таких как Microsoft Exchange, Active Directory, SQL, Oracle, SharePoint и т.д.
Также в продукте NAKIVO Backup & Replication есть возможность проверки реплик виртуальных машин VMware и Hyper-V с функциями генерации отчетов о восстановленных в ходе теста машинах.
5. Невысокая стоимость процедур по восстановлению систем
Очевидно, что стоимость восстановления виртуальной инфраструктуры для вас должна быть меньше выкупа, который просят злоумышленники:) Для этого NAKIVO Backup & Replication предлагает несколько последовательных решений, каждое из которых потребует дополнительного бюджета на оборудование, но и, соответственно, защитит вашу инфраструктуру на все более серьезном уровне:
Резервное копирование ВМ на бэкап-хранилища. Лучше его проводить по схеме 3-2-1: храните как минимум 3 копии данных, две из них на разных устройствах, а одну из них - в удаленном (в том числе физически) репозитории (например, в облаке).
Репликация виртуальных машин - это позволит мгновенно восстановить наиболее критичные производственные системы в случае сбоя основной инфраструктуры.
Резервное копирование и репликация в одно из публичных облаков в целях защиты на уровне площадки (не только от Ransomware). Если вы используете облако Amazon S3 для хранения резервных копий, то, конечно же, имеет смысл использовать функции неизменяемости резервных копий (immutability).
Организация полноценной DR-площадки, которая возьмет на себя продуктивную нагрузку в случае отказа основного сайта вследствие атаки Ransomware или по другой причине.
Решение NAKIVO Backup & Replication поставляется в различных изданиях, чтобы вы могли выбрать оптимальное для себя решение с точки зрения функционала и затрат. Стоимость доступных изданий продукта представлена на картинке ниже (а само сравнение изданий находится здесь):
В заключение дадим еще несколько простых рекомендаций, которые повысят устойчивость вашей инфраструктуры к проникновению программ-вымогателей:
Используйте доступ на базе привилегий (role-based access control, RBAC) ко всем без исключения управляющим компонентам инфраструктуры.
Используйте принцип наименьших привилегий (principle of least privilege, PoLP).
Имейте Incident Response Plan на случай атаки Ransomware - как вы будете взаимодействовать, по какому плану идти, и как это будет влиять на деятельность организации. Выработайте конкретные шаги, что вы будете делать в случае атаки.
Скачать бесплатную пробную версию NAKIVO Backup & Replication 10.4 можно по этой ссылке. Бета-версия NAKIVO Backup & Replication 10.5 доступна тут.