安全注意事项和攻击面
建议更改
PDF
了解如何保护数据安全的第一步是识别风险和潜在的攻击面。
其中包括(但不限于)以下内容:
-
管理和登录
-
空闲数据
-
数据正在传输
-
网络和防火墙
-
勒索软件、恶意软件和病毒
了解攻击面可以帮助您更好地保护环境。Google Cloud中的Google Cloud NetApp Volumes已经考虑了其中许多主题、并默认实施了安全功能、无需任何管理交互。
确保安全登录
在保护关键基础架构组件安全时、必须确保只有经过批准的用户才能登录和管理您的环境。如果不良行为者违反您的管理凭据、则他们将拥有存储区的密钥、并可以执行所需的任何操作—更改配置、删除卷和备份、创建后台或禁用Snapshot计划。
适用于Google Cloud的Google Cloud NetApp Volumes可通过混淆存储即服务(Storage as a Service、STaS)来防止未经授权的管理登录。Google Cloud NetApp Volumes完全由云提供商维护、无法从外部登录。所有设置和配置操作都是完全自动化的、因此、除了极少数情况之外、人工管理员不必与系统进行交互。
如果需要登录、Google Cloud中的Google Cloud NetApp Volumes可通过保留一个非常短的可信任管理员列表来确保登录安全。这种关守有助于减少具有访问权限的潜在不良行为者的数量。此外、Google Cloud网络还会将系统隐藏在网络层安全的基础之上、并仅向外部环境公开所需的内容。有关Google Cloud和Google Cloud NetApp Volumes架构的信息、请参见一节""Google Cloud NetApp Volumes架构。""
集群管理和升级
存在潜在安全风险的两个方面包括集群管理(如果不良者拥有管理员访问权限会发生什么情况)和升级(如果软件映像受到影响会发生什么情况)。
存储管理保护
以服务形式提供的存储可通过删除云数据中心以外的最终用户的访问权限、消除管理员面临的额外风险。而是只为客户的数据访问平面进行配置。每个租户管理自己的卷、任何租户都无法访问其他Google Cloud NetApp卷实例。该服务通过自动化进行管理、通过本节所述的流程、只需列出一小部分可信管理员即可访问系统""服务操作"。"
NetApp Volume-Performance服务类型提供跨区域复制选项、以便在发生区域故障时为其他区域提供数据保护。在这种情况下、Google Cloud NetApp卷可以故障转移到未受影响的区域、以保持数据访问。
服务升级
更新有助于保护容易受到攻击的系统。每个更新都提供了安全增强功能和错误修复、可最大限度地减少攻击面。软件更新会从中央存储库下载并进行验证、然后才允许更新、以验证是否使用了官方映像、以及升级是否不会受到不良行为者的影响。
借助Google Cloud NetApp Volumes、更新由云提供商团队处理、通过提供对配置和升级非常了解的专家来自动执行并全面测试此过程、从而消除管理员团队面临的风险。升级过程不会造成中断、Google Cloud NetApp Volumes会保持最新更新、以获得最佳整体效果。
有关执行这些服务升级的管理员团队的信息、请参见一节 ""服务操作"。"
保护空闲数据的安全
空闲数据加密对于在磁盘被盗、退回或重新利用时保护敏感数据非常重要。Google Cloud NetApp Volumes中的空闲数据通过基于软件的加密进行保护。
-
Google生成的密钥用于NetApp Volume-SW。
-
对于NetApp卷性能、每个卷的密钥存储在Google Cloud NetApp卷内置的密钥管理器中、该管理器使用NetApp ONTAP加密模块生成AES-256加密密钥。CryptoMod列在CMVP FIPS 140-2验证模块列表中。请参阅。 "FIPS 140-2证书#4144"
从2021年11月开始、NetApp卷性能提供了预览客户管理加密(CMDK)功能。通过此功能、您可以使用Google密钥管理服务(KMS)中托管的每个项目、每个区域的主密钥对每个卷的密钥进行加密。您可以通过Kms连接外部密钥管理器。
有关如何为NetApp卷性能配置KMS的详细信息,请参见 "请参见Google Cloud NetApp卷文档"。
有关架构的详细信息、请参见一节""Google Cloud NetApp Volumes架构。""
保护传输中的数据安全
除了保护空闲数据之外、您还必须能够保护Google Cloud NetApp卷实例与客户端或复制目标之间传输的数据。Google Cloud NetApp Volumes通过使用加密方法(例如使用Kerberos的SMB加密、数据包签名/签章以及用于数据传输端到端加密的NFS Kerberos 5p)为NAS协议上的传输中数据提供加密。
复制Google Cloud NetApp卷使用TLS 1.2、该软件利用AES-GCM加密方法。
默认情况下、大多数不安全的传输中协议(例如telnet、NDMP等)都处于禁用状态。但是、Google Cloud NetApp卷不会对DNS进行加密(不支持DNS安全)、应尽可能使用外部网络加密对DNS进行加密。有关保护传输中数据的详细信息、请参见一节""传输中的数据加密""。
有关NAS协议加密的信息、请参见一节 ""NAS协议"。"
NAS权限的用户和组
在云中保护数据的一部分工作涉及到正确的用户和组身份验证、其中、访问数据的用户会作为环境中的实际用户进行验证、而组包含有效用户。这些用户和组可为存储系统中的文件和文件夹提供初始共享和导出访问权限以及权限验证。
Google Cloud NetApp卷对SMB共享和Windows模式权限使用基于Active Directory的标准Windows用户和组身份验证。该服务还可以利用UNIX身份提供程序、例如用于UNIX用户的LDAP以及用于NFS导出的组、NFSv4 ID验证、Kerberos身份验证和NFSv4 ACL。
|
目前、Google Cloud NetApp Volumes for LDAP功能仅支持Active Directory LDAP。 |
检测、防止和缓解勒索软件、恶意软件和病毒
勒索软件、恶意软件和病毒是管理员面临的持久威胁、企业组织始终将检测、预防和缓解这些威胁作为头等大事。关键数据集上的一个勒索软件事件可能会导致数百万美元的损失、因此您可以尽最大可能降低风险。
尽管Google Cloud NetApp卷目前不包括防病毒保护或等本机检测或预防措施 "自动检测勒索软件"、但也可以通过启用常规Snapshot计划从勒索软件事件中快速恢复。Snapshot副本是指向文件系统中已更改块的不可变和只读指针、它们接近瞬时、对性能的影响最小、并且仅在更改或删除数据时才会占用空间。您可以为Snapshot副本设置计划、使其与所需的可接受恢复点目标(RPO)/恢复时间目标(RTO)相匹配、并且每个卷最多可保留1、024个Snapshot副本。
Google Cloud NetApp Volumes支持Snapshot、无需额外付费(超出Snapshot副本所保留的更改块/数据的数据存储费用)、如果发生勒索软件攻击、可以在攻击发生前回滚到Snapshot副本。快照还原只需几秒钟即可完成、然后您可以恢复正常提供数据。有关详细信息,请参见 "适用于勒索软件的NetApp解决方案"。
要防止勒索软件影响您的业务、需要采用多层方法、其中包括以下一项或多项:
-
端点保护
-
通过网络防火墙防止外部威胁
-
检测数据异常
-
对关键数据集进行多个备份(现场和异地)
-
定期对备份进行还原测试
-
不可变的只读NetApp Snapshot副本
-
关键基础架构的多因素身份验证
-
系统登录的安全审核
此列表远非详尽无遗、但在应对潜在的勒索软件攻击时、是一个理想的蓝图。Google Cloud中的Google Cloud NetApp Volumes提供了多种防止勒索软件事件并降低其影响的方法。
不可变的Snapshot副本
Google Cloud NetApp卷本机提供不可更改的只读Snapshot副本、这些副本按照可自定义的计划创建、以便在数据删除或整个卷受到勒索软件攻击时快速恢复时间点。根据Snapshot计划和RTO /RO的保留期限、将Snapshot还原到先前的正常Snapshot副本速度非常快、并可最大程度地减少数据丢失。Snapshot技术对性能的影响可以忽略不计。
由于Google Cloud NetApp卷中的Snapshot副本是只读的、因此它们不会受到勒索软件的感染、除非勒索软件在未引起注意的情况下激增到数据集、并且已为受勒索软件感染的数据创建Snapshot副本。因此、您还必须考虑根据数据异常检测勒索软件。Google Cloud NetApp Volumes目前不提供本机检测功能、但您可以使用外部监控软件。
备份和还原
Google Cloud NetApp Volumes提供标准NAS客户端备份功能(例如通过NFS或SMB进行备份)。
卷复制可提供源卷的精确副本、以便在发生灾难(包括勒索软件事件)时快速进行故障转移。
跨区域复制
NetApp卷性能支持您在NetApp控制的后端服务网络上使用TLS1.2 AES 256 GCM加密、并使用用于在Google网络上运行复制的特定接口、在Google Cloud区域之间安全地复制卷、以实现数据保护和归档用例。主(源)卷包含活动生产数据、并复制到二级(目标)卷、以提供主数据集的精确副本。
初始复制会传输所有块、但更新仅传输主卷中发生更改的块。例如、如果将主卷上的1 TB数据库复制到二级卷、则在初始复制时会传输1 TB的空间。如果该数据库中有几百行(假设有几MB)在初始化和下次更新之间发生变化、则只有包含更改行的块才会复制到二级(几MB)。这有助于确保传输时间保持较短、并降低复制成本。
文件和文件夹上的所有权限都会复制到二级卷、但共享访问权限(例如导出策略和规则或SMB共享和共享ACL)必须单独处理。在发生站点故障转移时、目标站点应利用相同的名称服务和Active Directory域连接、以便一致地处理用户和组身份和权限。如果发生灾难、您可以使用二级卷作为故障转移目标、方法是中断复制关系、从而将二级卷转换为读写卷。
卷副本为只读副本、可为异地数据提供不可变的副本、以便在病毒已感染数据或勒索软件已对主数据集进行加密的情况下快速恢复数据。只读数据不会加密、但如果主卷受到影响并发生复制、则受感染的块也会进行复制。您可以使用不受影响的旧Snapshot副本进行恢复、但SLA可能会超出承诺的RTO /RRPO范围、具体取决于检测到攻击的速度。
此外、您还可以通过在Google Cloud中进行跨区域复制(CRR)管理来防止恶意管理操作、例如卷删除、Snapshot删除或Snapshot计划更改。这是通过创建自定义角色来实现的、这些角色会将卷管理员分隔开、这些管理员可以删除源卷、但不会中断镜像、因此无法从无法执行任何卷操作的CRR管理员中删除目标卷。有关每个管理员组允许的权限、请参见 "安全注意事项"Google Cloud NetApp卷文档中的。
Google Cloud NetApp卷备份
尽管Google Cloud NetApp Volumes提供了高数据持久性、但外部事件可能会导致数据丢失。在发生病毒或勒索软件等安全事件时、备份和恢复对于及时恢复数据访问至关重要。管理员可能会意外删除Google Cloud NetApp卷。或者、用户只希望将数据的备份版本保留数月、而在卷中保留额外的Snapshot副本空间将成为一项成本难题。虽然Snapshot副本应该是在过去几周内保留备份版本以恢复其丢失的数据的首选方式、但它们位于卷中、如果卷消失、它们将丢失。
出于所有这些原因,Google Cloud NetApp Volumes通过提供备份服务 "Google Cloud NetApp卷备份"。
Google Cloud NetApp卷备份会在Google云存储(GCS)上生成卷的副本。它只会备份存储在卷中的实际数据、而不会备份可用空间。它始终以增量形式运行、也就是说、它会一次性传输卷内容、并在上继续备份更改的数据。与具有多个完整备份的传统备份概念相比、它可以节省大量备份存储、从而降低成本。由于与卷相比、备份空间的每月价格更低、因此、它是延长备份版本的理想之选。
用户可以使用Google Cloud NetApp卷备份将任何备份版本还原到同一区域内的相同或不同卷。如果删除了源卷、则备份数据会保留下来、需要单独管理(例如删除)。
Google Cloud NetApp卷备份作为选项内置在Google Cloud NetApp卷中。用户可以通过按卷激活Google Cloud NetApp卷备份来确定要保护的卷。有关备份、、计划和 "定价"的信息, "支持的最大备份版本数"请参见 "Google Cloud NetApp卷备份文档"。
项目的所有备份数据都存储在GCS存储分段中、此存储分段由服务管理、用户无法看到。每个项目使用不同的存储分段。目前、存储分段与Google Cloud NetApp卷位于同一个区域、但我们正在讨论更多选项。有关最新状态、请参见文档。
从Google Cloud NetApp卷分段到GCS的数据传输使用服务内部Google网络以及HTTPS和TLS1.2。数据会使用Google管理的密钥在空闲时进行加密。
要管理Google Cloud NetApp卷备份(创建备份、删除备份和还原备份)、用户必须具有此 "角色/netappcloudvolumes.admin"角色。