简体中文版经机器翻译而成,仅供参考。如与英语版出现任何冲突,应以英语版为准。

安全注意事项和攻击面

了解如何保护数据安全的第一步是识别风险和潜在的攻击面。其中包括(但不限于)以下内容:

  • 管理和登录

  • 空闲数据

  • 数据正在传输

  • 网络和防火墙

  • 勒索软件、恶意软件和病毒

了解攻击面可以帮助您更好地保护环境。Google Cloud中的Cloud Volumes Service 已经考虑了其中许多主题、并在默认情况下实施了安全功能、而无需任何管理交互。

确保安全登录

在保护关键基础架构组件安全时、必须确保只有经过批准的用户才能登录和管理您的环境。如果不良行为者违反您的管理凭据、则他们将拥有存储区的密钥、并可以执行所需的任何操作—更改配置、删除卷和备份、创建后台或禁用Snapshot计划。

Cloud Volumes Service for Google Cloud可通过将存储即服务(StaaS)混淆来防止未经授权的管理登录。Cloud Volumes Service 由云提供商完全维护、无法从外部登录。所有设置和配置操作都是完全自动化的、因此、除了极少数情况之外、人工管理员不必与系统进行交互。

如果需要登录、Google Cloud中的Cloud Volumes Service 会保留一个非常短的可访问登录到系统的可信管理员列表、从而确保登录安全。这种关守有助于减少具有访问权限的潜在不良行为者的数量。此外、Google Cloud网络还会将系统隐藏在网络层安全的基础之上、并仅向外部环境公开所需的内容。有关Google Cloud、Cloud Volumes Service 架构的信息、请参见一节 "Cloud Volumes Service 架构。"

集群管理和升级

存在潜在安全风险的两个方面包括集群管理(如果不良者拥有管理员访问权限会发生什么情况)和升级(如果软件映像受到影响会发生什么情况)。

存储管理保护

以服务形式提供的存储可通过删除云数据中心以外的最终用户的访问权限、消除管理员面临的额外风险。而是只为客户的数据访问平面进行配置。每个租户都管理自己的卷、任何租户都无法访问其他Cloud Volumes Service 实例。此服务通过自动化进行管理、只需一小部分受信任管理员即可通过本节所述的流程访问系统 ""服务操作"。"

CVS-Performance服务类型提供跨区域复制选项、以便在发生区域故障时为其他区域提供数据保护。在这种情况下、可以将Cloud Volumes Service 故障转移到不受影响的区域以保持数据访问。

服务升级

更新有助于保护容易受到攻击的系统。每个更新都提供了安全增强功能和错误修复、可最大限度地减少攻击面。软件更新会从中央存储库下载并进行验证、然后才允许更新、以验证是否使用了官方映像、以及升级是否不会受到不良行为者的影响。

借助Cloud Volumes Service 、更新由云提供商团队处理、通过提供精通配置和升级的专家来消除管理员团队面临的风险、这些专家已经对流程进行了自动化和全面测试。升级不会造成中断、Cloud Volumes Service 会维护最新的更新、以获得最佳的整体效果。

有关执行这些服务升级的管理员团队的信息、请参见一节 ""服务操作"。"

保护空闲数据的安全

空闲数据加密对于在磁盘被盗、退回或重新利用时保护敏感数据非常重要。Cloud Volumes Service 中的数据通过基于软件的加密在空闲时受到保护。

  • Google生成的密钥用于CVS-SW。

  • 对于CVS-Performance、每个卷的密钥存储在Cloud Volumes Service 内置的密钥管理器中、该管理器使用NetApp ONTAP CryptoMod生成AES-256加密密钥。CryptoMod列在CMVP FIPS 140-2验证模块列表中。请参见 "FIPS 140-2证书#4144"

自2021年11月起、CVS-Performance提供了客户管理的预览加密(CMEK)功能。通过此功能、您可以使用Google密钥管理服务(KMS)中托管的每个项目、每个区域的主密钥对每个卷的密钥进行加密。您可以通过Kms连接外部密钥管理器。

有关如何为KMS配置CVS-Performance的详细信息、 "请参见Cloud Volumes Service 文档"

有关架构的详细信息、请参见一节 "Cloud Volumes Service 架构。"

保护传输中的数据安全

除了保护空闲数据之外、当数据在Cloud Volumes Service 实例与客户端或复制目标之间传输时、您还必须能够保护数据的安全。Cloud Volumes Service 通过使用加密方法(例如使用Kerberos进行SMB加密、对数据包进行签名/密封以及对数据传输进行端到端加密的NFS Kerberos 5p)为通过NAS协议传输的数据提供加密。

Cloud Volumes Service 卷的复制使用TLS 1.2、它会利用AES-GCM加密方法。

默认情况下、大多数不安全的传输中协议(例如telnet、NDMP等)都处于禁用状态。但是、Cloud Volumes Service 不会对DNS进行加密(不支持DNS安全)、应尽可能使用外部网络加密进行加密。请参见一节 ""传输中的数据加密"" 有关保护传输中数据的详细信息、请参见。

有关NAS协议加密的信息、请参见一节 ""NAS协议"。"

NAS权限的用户和组

在云中保护数据的一部分工作涉及到正确的用户和组身份验证、其中、访问数据的用户会作为环境中的实际用户进行验证、而组包含有效用户。这些用户和组可为存储系统中的文件和文件夹提供初始共享和导出访问权限以及权限验证。

Cloud Volumes Service 对SMB共享和Windows模式权限使用基于Active Directory的标准Windows用户和组身份验证。该服务还可以利用UNIX身份提供程序、例如用于UNIX用户的LDAP以及用于NFS导出的组、NFSv4 ID验证、Kerberos身份验证和NFSv4 ACL。

注 目前、Cloud Volumes Service 仅支持Active Directory LDAP功能。

检测、防止和缓解勒索软件、恶意软件和病毒

勒索软件、恶意软件和病毒是管理员面临的持久威胁、企业组织始终将检测、预防和缓解这些威胁作为头等大事。关键数据集上的一个勒索软件事件可能会导致数百万美元的损失、因此您可以尽最大可能降低风险。

尽管Cloud Volumes Service 目前不包括防病毒保护或等原生 检测或预防措施 "自动检测勒索软件"、通过启用定期Snapshot计划、可以快速从勒索软件事件中恢复。Snapshot副本是指向文件系统中已更改块的不可变和只读指针、它们接近瞬时、对性能的影响最小、并且仅在更改或删除数据时才会占用空间。您可以为Snapshot副本设置计划、使其与所需的可接受恢复点目标(RPO)/恢复时间目标(RTO)相匹配、并且每个卷最多可保留1、024个Snapshot副本。

Snapshot支持包括在Cloud Volumes Service 中、无需额外费用(对于Snapshot副本所保留的更改块/数据收取的数据存储费用除外)、如果发生勒索软件攻击、可以在攻击发生之前使用它回滚到Snapshot副本。快照还原只需几秒钟即可完成、然后您可以恢复正常提供数据。有关详细信息,请参见 "适用于勒索软件的NetApp解决方案"

要防止勒索软件影响您的业务、需要采用多层方法、其中包括以下一项或多项:

  • 端点保护

  • 通过网络防火墙防止外部威胁

  • 检测数据异常

  • 对关键数据集进行多个备份(现场和异地)

  • 定期对备份进行还原测试

  • 不可变的只读NetApp Snapshot副本

  • 关键基础架构的多因素身份验证

  • 系统登录的安全审核

此列表远非详尽无遗、但在应对潜在的勒索软件攻击时、是一个理想的蓝图。Google Cloud中的Cloud Volumes Service 提供了多种方法来防止勒索软件事件并减少其影响。

不可变的Snapshot副本

Cloud Volumes Service 本机提供不可变的只读Snapshot副本、这些副本会按照可自定义的计划创建、以便在数据删除或整个卷受到勒索软件攻击时快速进行时间点恢复。根据Snapshot计划和RTO /RO的保留期限、将Snapshot还原到先前的正常Snapshot副本速度非常快、并可最大程度地减少数据丢失。Snapshot技术对性能的影响可以忽略不计。

由于Cloud Volumes Service 中的Snapshot副本为只读副本、因此、除非勒索软件在未经注意的情况下激增到数据集中、并且已为受勒索软件感染的数据创建Snapshot副本、否则它们不会受到勒索软件的感染。因此、您还必须考虑根据数据异常检测勒索软件。Cloud Volumes Service 目前不提供本机检测功能、但您可以使用外部监控软件。

备份和还原

Cloud Volumes Service 提供标准NAS客户端备份功能(例如通过NFS或SMB进行备份)。

  • CVS-Performance可跨区域卷复制到其他CVS-Performance卷。有关详细信息,请参见 "卷复制" 在Cloud Volumes Service 文档中。

  • CVS-SW提供服务本机卷备份/还原功能。有关详细信息,请参见 "云备份" 在Cloud Volumes Service 文档中。

卷复制可提供源卷的精确副本、以便在发生灾难(包括勒索软件事件)时快速进行故障转移。

跨区域复制

通过CVS-Performance、您可以在NetApp控制的后端服务网络上使用用于在Google网络上运行复制的特定接口使用TLS1.2 AES 256 GCM加密功能、在Google Cloud区域之间安全地复制卷、以实现数据保护和归档使用情形。主(源)卷包含活动生产数据、并复制到二级(目标)卷、以提供主数据集的精确副本。

初始复制会传输所有块、但更新仅传输主卷中发生更改的块。例如、如果将主卷上的1 TB数据库复制到二级卷、则在初始复制时会传输1 TB的空间。如果该数据库中有几百行(假设有几MB)在初始化和下次更新之间发生变化、则只有包含更改行的块才会复制到二级(几MB)。这有助于确保传输时间保持较短、并降低复制成本。

文件和文件夹上的所有权限都会复制到二级卷、但共享访问权限(例如导出策略和规则或SMB共享和共享ACL)必须单独处理。在发生站点故障转移时、目标站点应利用相同的名称服务和Active Directory域连接、以便一致地处理用户和组身份和权限。如果发生灾难、您可以使用二级卷作为故障转移目标、方法是中断复制关系、从而将二级卷转换为读写卷。

卷副本为只读副本、可为异地数据提供不可变的副本、以便在病毒已感染数据或勒索软件已对主数据集进行加密的情况下快速恢复数据。只读数据不会加密、但如果主卷受到影响并发生复制、则受感染的块也会进行复制。您可以使用不受影响的旧Snapshot副本进行恢复、但SLA可能会超出承诺的RTO /RRPO范围、具体取决于检测到攻击的速度。

此外、您还可以通过在Google Cloud中进行跨区域复制(CRR)管理来防止恶意管理操作、例如卷删除、Snapshot删除或Snapshot计划更改。这是通过创建自定义角色来实现的、这些角色会将卷管理员分隔开、这些管理员可以删除源卷、但不会中断镜像、因此无法从无法执行任何卷操作的CRR管理员中删除目标卷。请参见 "安全注意事项" 在Cloud Volumes Service 文档中、了解每个管理员组允许的权限。

Cloud Volumes Service 备份

虽然Cloud Volumes Service 可提供较高的数据持久性、但外部事件可能会导致发生原因 数据丢失。在发生病毒或勒索软件等安全事件时、备份和恢复对于及时恢复数据访问至关重要。管理员可能会意外删除Cloud Volumes Service 卷。或者、用户只希望将数据的备份版本保留数月、而在卷中保留额外的Snapshot副本空间将成为一项成本难题。虽然Snapshot副本应该是在过去几周内保留备份版本以恢复其丢失的数据的首选方式、但它们位于卷中、如果卷消失、它们将丢失。

出于所有这些原因、NetApp Cloud Volumes Service 均通过提供备份服务 "Cloud Volumes Service 备份"

Cloud Volumes Service 备份会在Google云存储(GCS)上生成卷的副本。它只会备份存储在卷中的实际数据、而不会备份可用空间。它始终以增量形式运行、也就是说、它会一次性传输卷内容、并在上继续备份更改的数据。与具有多个完整备份的传统备份概念相比、它可以节省大量备份存储、从而降低成本。由于与卷相比、备份空间的每月价格更低、因此、它是延长备份版本的理想之选。

用户可以使用Cloud Volumes Service 备份将任何备份版本还原到同一区域内的相同或不同卷。如果删除了源卷、则备份数据会保留下来、需要单独管理(例如删除)。

Cloud Volumes Service 备份内置在Cloud Volumes Service 中作为选项。用户可以通过激活每个卷的Cloud Volumes Service 备份来确定要保护的卷。请参见 "Cloud Volumes Service 备份文档" 有关备份的信息、请参见 "支持的最大备份版本数"、计划和 "定价"

项目的所有备份数据都存储在GCS存储分段中、此存储分段由服务管理、用户无法看到。每个项目使用不同的存储分段。目前、存储分段与Cloud Volumes Service 卷位于同一区域、但正在讨论更多选项。有关最新状态、请参见文档。

从Cloud Volumes Service 存储分段到GCS的数据传输使用具有HTTPS和TLS1.2的服务内部Google网络。数据会使用Google管理的密钥在空闲时进行加密。

要管理Cloud Volumes Service 备份(创建、删除和还原备份)、用户必须具有 "角色/netappcloudvolumes.admin" 角色。