儲存設備即服務可移除對雲端資料中心外部終端使用者的存取權限、進而移除管理員曝險的額外風險。而唯一的組態是由客戶進行資料存取。每個租戶都會管理自己的磁碟區，而且沒有租戶可以觸及其他 Google Cloud NetApp Volume 執行個體。此服務是由自動化管理，透過本節所涵蓋的程序，只有一小部分受信任的系統管理員可以存取系統"「服務營運。」"

NetApp Volume-Performance 服務類型提供跨區域複寫，可在區域發生故障時為不同區域提供資料保護。在這些情況下， Google Cloud NetApp Volume 可以容錯移轉至未受影響的區域，以維持資料存取。

更新有助於保護易受影響的系統。每項更新都提供安全性增強功能和錯誤修正、可將攻擊面減至最低。軟體更新是從集中式儲存庫下載、並在允許更新之前驗證、以驗證是否使用正式映像、以及升級是否受到不良行為的影響。

有了 Google Cloud NetApp Volumes ，雲端供應商團隊就能處理更新，讓精通組態和升級的專家能夠自動完成並完整測試程序，進而排除管理員團隊面臨的風險。升級作業不中斷， Google Cloud NetApp Volumes 會維護最新的更新，以獲得最佳整體成果。

如需執行這些服務升級之系統管理員團隊的相關資訊、請參閱一節 "「服務營運。」"

除了保護靜止資料之外，您還必須能夠在 Google Cloud NetApp Volumes 執行個體和用戶端或複寫目標之間傳輸資料時保護資料安全。Google Cloud NetApp Volumes 使用加密方法，例如使用 Kerberos 的 SMB 加密，封包的簽署 / 封包，以及用於資料傳輸端對端加密的 NFS Kerberos 5p ，透過 NAS 傳輸協定來加密傳輸中的資料。

Google Cloud NetApp Volumes 磁碟區的複寫使用 TLS 1.2 ，這種方法利用 AES-GCM 加密方法。

預設會停用最不安全的傳輸協定、例如：Telnet、NDMP等。不過， DNS 並未由 Google Cloud NetApp Volumes 加密（不支援 DNS 安全），因此應盡可能使用外部網路加密來加密。請參閱一節"「傳輸中的資料加密」"以取得更多關於保護資料在線上安全的資訊。

如需NAS傳輸協定加密的相關資訊、請參閱一節 "「NAS傳輸協定」。"

Google Cloud NetApp Volumes 原生提供不可變的唯讀快照複本，這些複本是根據可自訂的排程進行，可在資料刪除或整個磁碟區遭到勒索軟體攻擊時，快速進行時間點還原。快照還原至先前的良好Snapshot複本、可根據Snapshot排程和RTO/RPO的保留期間、迅速將資料遺失減至最低。Snapshot技術的效能影響微乎其微。

由於 Google Cloud NetApp Volume 中的 Snapshot 複本是唯讀的，因此除非勒索軟體在未經注意的情況下激增至資料集，且已取得受勒索軟體感染的資料的 Snapshot 複本，否則無法受勒索軟體感染。因此、您也必須考慮根據資料異常狀況來偵測勒索軟體。Google Cloud NetApp Volumes 目前並未提供原生偵測功能，但您可以使用外部監控軟體。

Google Cloud NetApp Volumes 提供標準 NAS 用戶端備份功能（例如透過 NFS 或 SMB 進行備份）。

Volume複寫提供確切的來源磁碟區複本、可在發生災難時（包括勒索軟體事件）進行快速容錯移轉。

NetApp Volumes - 效能可讓您在 NetApp 控制的後端服務網路上使用 TLS1.2 AES 256 GCM 加密技術，在 Google 雲端區域安全地複寫磁碟區，以保護資料並歸檔使用案例，並使用特定介面來執行 Google 網路上的複寫作業。主要（來源）Volume包含作用中正式作業資料、並複寫至次要（目的地）Volume、以提供主要資料集的確切複本。

初始複寫會傳輸所有區塊、但更新只會傳輸主磁碟區中變更的區塊。例如、如果將位於主要磁碟區上的1TB資料庫複寫到次要磁碟區、則初始複寫時會傳輸1TB的空間。如果該資料庫在初始化與下一個更新之間有幾百列（假設、幾MB）的變更、則只有變更列的區塊會複寫到次要（幾MB）。這有助於確保傳輸時間保持低、並降低複寫費用。

檔案和資料夾的所有權限都會複寫到次要磁碟區、但共用存取權限（例如匯出原則和規則、SMB共用和共用ACL）必須分開處理。在站台容錯移轉的情況下、目的地站台應利用相同的名稱服務和Active Directory網域連線、以一致的方式處理使用者和群組的身分識別和權限。當發生災難時、您可以使用次要Volume做為容錯移轉目標、方法是打破複寫關係、將次要Volume轉換為讀寫。

Volume複本為唯讀、可在異地提供不可改變的資料複本、以便在病毒感染資料或勒索軟體加密主要資料集的情況下、快速恢復資料。唯讀資料不會加密、但如果主要磁碟區受到影響並發生複寫、則受感染的區塊也會複寫。您可以使用較舊且不受影響的Snapshot複本進行還原、但SLA可能超出承諾的RTO/RPO範圍、視偵測到攻擊的速度而定。

此外、您也可以利用Google Cloud的跨區域複寫（CRR）管理功能、防止惡意的管理動作、例如磁碟區刪除、Snapshot刪除或Snapshot排程變更。這是透過建立自訂角色來完成、這些角色可分隔磁碟區管理員、這些管理員可以刪除來源磁碟區、但不能中斷鏡射、因此無法從CRR管理員刪除目的地磁碟區、因為他們無法執行任何Volume作業。如需每個管理員群組所允許的權限，請參閱 "安全考量" Google Cloud NetApp Volumes 文件中的。

雖然 Google Cloud NetApp Volumes 提供高資料耐用度，但外部事件可能會導致資料遺失。如果發生病毒或勒索軟體等安全事件、備份與還原對於及時恢復資料存取而言、將會變得非常重要。系統管理員可能會意外刪除 Google Cloud NetApp Volumes Volume 。或者、使用者只是想保留資料的備份版本好幾個月、而在磁碟區內保留額外的Snapshot複本空間、就成為成本上的挑戰。雖然Snapshot複本應該是保留過去幾週備份版本以還原遺失資料的首選方法、但它們位於磁碟區內部、如果磁碟區消失、就會遺失。

基於上述所有原因， Google Cloud NetApp Volumes 透過提供備份服務 "Google Cloud NetApp Volumes 備份"。

Google Cloud NetApp Volumes 備份會在 Google Cloud Storage （ GCS ）上產生 Volume 複本。它只會備份儲存在磁碟區內的實際資料、而非可用空間。它的運作方式永遠是遞增的、也就是說、它只會在繼續備份變更的資料時、一次傳輸磁碟區內容、一次又一次從該處傳輸。相較於採用多個完整備份的傳統備份概念、它可節省大量備份儲存設備、進而降低成本。由於備份空間的每月價格比磁碟區低、因此是延長備份版本時間的理想選擇。

使用者可以使用 Google Cloud NetApp Volumes 備份，將任何備份版本還原至相同區域內的相同或不同磁碟區。如果刪除來源磁碟區、則會保留備份資料、並需要獨立管理（例如刪除）。

Google Cloud NetApp Volumes 備份是內建在 Google Cloud NetApp Volumes 中的選項。使用者可以根據每個磁碟區啟動 Google Cloud NetApp Volumes 備份，來決定要保護哪些磁碟區。有關備份，，排程和的資訊 "支援的最大備份版本數"， "定價"請參閱 "Google Cloud NetApp Volumes 備份文件"。

專案的所有備份資料都儲存在GCS儲存區內、此儲存區由服務管理、使用者看不到。每個專案都使用不同的儲存庫。目前，這些貯體與 Google Cloud NetApp Volumes 磁碟區位於同一個區域，但仍在討論更多選項。如需最新狀態、請參閱文件。

從 Google Cloud NetApp Volumes Bucket 到 GCS 的資料傳輸使用服務內部 Google 網路，並搭配 HTTPS 和 TLS1.2 。資料會以Google管理的金鑰進行閒置加密。

若要管理 Google Cloud NetApp Volume 備份（建立，刪除及還原備份），使用者必須扮演這個 "角色/netappcloudVolumes.admin"角色。