在ESG的《2021数据保护预测》报告中,网络安全/网络韧性(Cyber-Resilience)与容器数据保护、云数据保护、智能数据管理等趋势一道,并列TOP5热点。
同时,ESG明确指出,将网络保护和补救机制作为BC/DR战略的一部分是至关重要的,数据保护供应商将在其中扮演关键角色。
Gartner则一针见血地指出,备份存储是备份系统的主要风险点之一。一个现代化的备份系统中,“集成备份存储和备份软件、防篡改存储”等都是其重要特性。
下面,就以搭载最新Flex 2 OS的Flex 5150为例,聊一聊防篡改存储这点事。
NetBackup软件和Flex一体机提供了一个完整的防篡改存储(immutable storage)解决方案,从软件和硬件层面来保护用户的备份数据与恢复。防篡改和擦除机制可以确保数据在确定的时间期限内无法被更改或破坏:
✔ 防篡改——确保备份镜像是只读的,备份后不能被修改、损坏或加密。✔ 不可擦除——保护备份镜像在过期前不被删除。保护数据不被恶意删除。
Flex一体机使用防篡改存储保护数据概览
NetBackup 8.3主服务器与存储单元通信,集成了防篡改和擦除能力,并可设置WORM保留期限(最小/最大)。然后,主服务器在存储单元上设置防篡改控制,并应用WORM保留期限策略。NetBackup软件可提供带有防篡改锁可视化展现的备份映像管理功能,WORM保留期满后的映像删除(通过CLI),并尊重对目录的合法持有。Flex一体机运行防篡改存储服务器来提供WORM功能、保留锁以及针对勒索软件和恶意软件威胁的平台加固。合规时钟(Compliance Clock)用于保留期限,并且是独立于操作系统时间的。Flex一体机有两种锁定防篡改模式——企业模式和合规模式。设备锁定状态可以在任何时候启用。用户可以选择合规模式或企业模式的MSDP存储容器,但不能混合使用。
企业模式与合规模式对比
设置最小和最大保留期限
NetBackup和Flex一体机已经完成了Cohasset Associates的第三方防篡改评估认证,Cohasset Associates是行业认可的防篡改控制评估机构,涉及合规规则包括SEC Rule 17a-4(f)、FINRA Rule 4511(c)和CFTC Rule等。
Flex一体机消除了根帐户对设备OS和MSDP容器的访问,只有主机管理账户可以登录到计算节点。账户策略用于允许高级用户使用某些管理命令,访问shell和Web UI操作。Flex一体机使用SELinux来加固平台和托管的应用程序,并防止对防篡改存储未经授权的访问。SELinux有两种模式——强制模式和允许模式(enforcing and permissive)。Flex一体机允许SELinux在强制模式下设置策略规则:✔ Root用户帐户权限减少到几乎为0,只有hostadmin帐户可以登录计算节点。✔ 允许所有Flex shell和web UI操作的策略。✔ 平台证书、令牌、日志和合规时钟设备的文件标签。
✔ 限制每个实例和基础设施服务对其存储的独占访问。
✔ 启用实例运行systemd和NFS服务、访问FUSE设备和挂载NFS/CIFS共享的策略。
搭载全新NetBackup Flex 2
▼☟▼点击了解更多详情。
