作為服務提供的儲存空間透過刪除雲端資料中心以外的最終使用者的存取權限，消除了管理員面臨的額外風險。相反，唯一完成的配置是針對客戶的資料存取平面。每個租用戶管理自己的捲，並且沒有租戶可以存取其他Google Cloud NetApp Volumes實例。該服務由自動化管理，只有極少數受信任的管理員可以透過本節介紹的流程存取系統"服務運作。"

NetApp Volumes-Performance 服務類型提供跨區域複製選項，以便在發生區域故障時為不同區域提供資料保護。在這些情況下， Google Cloud NetApp Volumes可以故障轉移到未受影響的區域以維持資料存取。

更新有助於保護易受攻擊的系統。每次更新都提供安全性增強和錯誤修復，以最大限度地減少攻擊面。軟體更新從集中式儲存庫下載，並在允許更新之前進行驗證，以驗證是否使用了官方映像以及升級是否未被不良行為者破壞。

使用Google Cloud NetApp Volumes，更新由雲端提供者團隊處理，透過提供精通配置和升級的專家（這些專家已經對流程進行了自動化和全面測試），從而消除了管理員團隊的風險敞口。升級不會造成中斷， Google Cloud NetApp Volumes會維護最新更新以獲得最佳整體效果。

有關執行這些服務升級的管理員團隊的信息，請參閱"服務運作。"

除了保護靜態資料之外，您還必須能夠保護在Google Cloud NetApp Volumes實例和用戶端或複製目標之間傳輸的資料。 Google Cloud NetApp Volumes使用加密方法（例如使用 Kerberos 的 SMB 加密、封包的簽署/密封以及用於資料傳輸端對端加密的 NFS Kerberos 5p）為透過 NAS 協定傳輸的資料提供加密。

Google Cloud NetApp Volumes磁碟區的複製使用 TLS 1.2，它利用了 AES-GCM 加密方法。

大多數不安全的運行中協定（如 telnet、NDMP 等）預設都是禁用的。但是，DNS 並非由Google Cloud NetApp Volumes加密（不支援 DNS Sec），因此應盡可能使用外部網路加密進行加密。請參閱"傳輸中的資料加密"有關保護傳輸中資料的詳細資訊。

有關 NAS 協定加密的信息，請參閱"NAS 協定。"

Google Cloud NetApp Volumes本身提供不可變的唯讀 Snapshot 副本，這些副本按照可自訂的時間表進行，以便在資料刪除或整個磁碟區受到勒索軟體攻擊時快速進行時間點恢復。 Snapshot 恢復到以前的良好 Snapshot 副本速度很快，並且可以根據 Snapshot 計劃和 RTO/RPO 的保留期最大限度地減少資料遺失。採用Snapshot技術對效能的影響微乎其微。

由於Google Cloud NetApp Volumes中的 Snapshot 副本是唯讀的，因此它們不會被勒索軟體感染，除非勒索軟體在不知不覺中擴散到資料集中，並且已經從受勒索軟體感染的資料中獲取了 Snapshot 副本。這就是為什麼您還必須考慮基於資料異常的勒索軟體偵測。 Google Cloud NetApp Volumes目前不提供原生偵測，但您可以使用外部監控軟體。

Google Cloud NetApp Volumes提供標準 NAS 用戶端備份功能（例如透過 NFS 或 SMB 進行備份）。

卷複製提供了來源磁碟區的精確副本，以便在發生災難（包括勒索軟體事件）時實現快速故障轉移。

NetApp Volumes-Performance 可讓您在NetApp控制的後端服務網路上使用 TLS1.2 AES 256 GCM 加密，使用在 Google 網路上執行的用於複製的特定接口，安全地跨 Google Cloud 區域複製磁碟區以進行資料保護和存檔用例。主（來源）磁碟區包含活動生產數據，並複製到輔助（目標）磁碟區以提供主資料集的精確副本。

初始複製傳輸所有區塊，但更新僅傳輸主磁碟區中變更的區塊。例如，如果將位於主磁碟區上的 1TB 資料庫複製到輔助磁碟區，則在初始複製時會傳送 1TB 的空間。如果資料庫在初始化和下次更新之間有數百行（假設幾 MB）發生變化，則只有包含已更改行的區塊才會複製到輔助資料庫（幾 MB）。這有助於確保傳輸時間保持較低水平並降低複製費用。

檔案和資料夾的所有權限都會複製到輔助磁碟區，但共用存取權限（例如匯出原則和規則或 SMB 共用和共用 ACL）必須單獨處理。在發生網站故障轉移的情況下，目標網站應利用相同的名稱服務和 Active Directory 網域連線來提供對使用者和群組身分和權限的一致處理。您可以透過中斷複製關係（將輔助磁碟區轉換為讀寫關係）在災難發生時將輔助磁碟區用作故障轉移目標。

卷副本是唯讀的，它提供了異地資料的不可變副本，以便在病毒感染資料或勒索軟體加密主資料集的情況下快速恢復資料。只讀資料不會被加密，但是，如果主磁碟區受到影響並發生複製，則受感染的區塊也會複製。您可以使用較舊的、未受影響的 Snapshot 副本進行恢復，但根據偵測到攻擊的速度，SLA 可能會超出承諾的 RTO/RPO 範圍。

此外，您還可以利用 Google Cloud 中的跨區域複製 (CRR) 管理來防止惡意管理操作，例如磁碟區刪除、快照刪除或快照計畫變更。這是透過建立自訂角色來實現的，這些角色將磁碟區管理員（可以刪除來源磁碟區但不能破壞鏡像，因此不能刪除目標磁碟區）與 CRR 管理員（不能執行任何磁碟區操作）分開。看 "安全注意事項"在Google Cloud NetApp Volumes文件中了解每個管理員群組允許的權限。

儘管Google Cloud NetApp Volumes提供了高資料持久性，但外部事件可能會導致資料遺失。如果發生病毒或勒索軟體等安全事件，備份和復原對於及時恢復資料存取至關重要。管理員可能會意外刪除Google Cloud NetApp Volumes磁碟區。或者用戶只是想將其資料的備份版本保留數月，而保留卷內的額外 Snapshot 副本空間則成為一項成本挑戰。儘管 Snapshot 副本應該是保留過去幾週的備份版本以從中恢復遺失資料的首選方式，但它們位於磁碟區內，如果磁碟區消失，它們也會遺失。

基於所有這些原因， Google Cloud NetApp Volumes透過以下方式提供備份服務 "Google Cloud NetApp Volumes備份"。

Google Cloud NetApp Volumes備份會在 Google Cloud Storage (GCS) 上產生該磁碟區的副本。它僅備份卷內儲存的實際數據，而不是可用空間。它永遠以增量方式工作，這意味著它傳輸一次卷內容，然後從那時起繼續僅備份更改的資料。與具有多次完整備份的傳統備份概念相比，它節省了大量的備份存儲，從而降低了成本。由於備份空間的月費與磁碟區相比較低，因此它是長期保存備份版本的理想場所。

使用者可以使用Google Cloud NetApp Volumes備份將任何備份版本還原到同一區域內的相同或不同磁碟區。如果刪除來源卷，備份資料將保留，並且需要單獨管理（例如，刪除）。

Google Cloud NetApp Volumes備份作為選項內建於Google Cloud NetApp Volumes 。使用者可以透過按卷啟動Google Cloud NetApp Volumes備份來決定要保護哪些磁碟區。查看 "Google Cloud NetApp Volumes備份文檔"有關備份的信息， "支援的最大備份版本數量" 、調度和 "定價"。

專案的所有備份資料都儲存在 GCS 儲存桶中，該儲存桶由服務管理，使用者不可見。每個項目使用不同的儲存桶。目前，這些儲存桶與Google Cloud NetApp Volumes磁碟區位於同一區域，但正在討論更多選項。查閱文件以了解最新狀態。

從Google Cloud NetApp Volumes儲存桶到 GCS 的資料傳輸使用具有 HTTPS 和 TLS1.2 的服務內部 Google 網路。資料使用 Google 管理的金鑰進行靜態加密。

要管理Google Cloud NetApp Volumes備份（建立、刪除和還原備份），使用者必須擁有 "角色/netappcloudvolumes.admin"角色。