以全局视角，浅议数据中心如何防勒索

勒索软件是一种具有传播性、破坏性的恶意软件，通常利用假冒电子邮件或网页点击链接下载、受感染的 USB 介质、系统漏洞作为跳板等在联网的电脑间传播。通过锁定受害者电脑，或者加密 受害者硬盘文件，甚至对数据进行泄密和破坏，从而要挟受害者 缴纳赎金以解除勒索控制和解密文件。

通常认为，勒索软件在通用、同类系统中传播，虚拟化平台作为专有系统不容易被侵入。 2022 年 3 月网络爆出的某著名虚拟化平台被勒索攻击的文章引起业界人士普遍关注，文章介绍虚拟机被勒索后， 100 多台虚拟机停机、部分数据被加密。这意味着虚拟化平台已成为勒索软件新的攻击目标。

另外勒索攻击越来越产业化、技术越来越接近 APT 攻击水平，为了获取巨额赎金，大中型企业和基础设施已成为勒索攻击的重要目标。以此同时企业数字化、智能化转型，数据中心进行云化建设，虚拟化平台是关键组件。因此虚拟化平台防勒索攻击是企业数据中心网络安全必须要考虑的问题。

防勒索攻击是一个系统工程，需要全方位系统考虑，根据 NIST 安全解决方案框架，需多方位设计 ：

[Source ： NIST 对防勒索保护框架 ]

1 、安全资产识别，对价值资产、关键数据进行识别

2 、安全资产保护，防止病毒入侵，创建安全的数据副本是关键

3 、勒索攻击检测，及时发现勒索攻击事件，减少攻击损失

4 、勒索事件响应，发送勒索告警、隔离被感染设备，尽快阻断传播

5 、业务恢复，快速恢复被勒索数据和服务

企业制定安全管理流程和规范（及时更新安全补丁，权限管理和审计，定期修改口令，安全攻击和恢复演练，安全意识培训），并为业务连续性计划的一部分纳入公司治理流程。除此之外，构建保护、检测、恢复的能力是防勒索方案保护设计的关键。

从技术上看，一方面勒索病毒向 APT 演进，攻击持续时间长隐蔽性高；另一方面云平台海量虚拟机和容器应用，业务勒索恢复操作工作量巨大，对数据中心防勒索带来了更大的挑战：

1、 云平台海量虚拟机和容器的业务恢复，手工从大量的副本中选择和验证可用副本，业务恢复操作试错时间长（业务损失大）。

2、 数据是防勒索最后的底线，为具备长期数据恢复能力需保留大量历史副本，需要大量的存储空间（成本高）。

3、 数据中心 IT 设施多，有网络防勒索、主机防勒索、存储防勒索、备份防勒索等防勒索方案，但方案各未统一设计，无用户视角对虚拟机和容器进行防勒索勒索保护设计，管理维护复杂。

因此，如何防范勒索软件侵入，构筑安全可靠的数据副本，及时发现勒索攻击事件减少备份数据量和被勒索数据量（降低 RPO ），以及勒索攻击发生后快速的恢复业务（降低 RTO ）是防勒索方案设计的关键。

理想的数据中心虚拟化解决方案，通过数据中心统一管理平台对数据中心的硬件和软件进行管理，实现网络、主机、存储、虚拟化等多层次的防勒索检测和联动处置。

同时虚拟化平台防勒索解决方案，应该以虚拟机和容器应用为保护对象，提供高可靠副本保护、智能防勒索实时检测算法、自动化的保护和恢复编排，实现快速检测、快速恢复。整体架构如下图：

勒索软件攻击的目标是劫持客户的业务和数据，勒索攻击最终受影响的是虚拟机、容器的应用及其数据，数据中心虚拟化平台防勒索方案，全栈管理软件提供可视化的防勒索保护和恢复自动化编排，进行多层次纵深防御为虚拟机和容器提供端到端的防勒索保护：
1 、事前：利用网络和主机安全设备，对网络和主机入侵检测防护；

2 、事前：利用存储设备的数据安全功能，对数据进行多副本保护；

3 、事中：创新的智能勒索勒索检测算法，实时检测和上报勒索攻击事件；

4 、事后：以 VM 或容器作为保护对象，自动化恢复、演练测试。

1、事前：利用安全等保三级一站式解决方案，在网络和主机层阻断病毒入侵，保证系统基础安全。

把勒索软件阻断在企业系统之外是基本和高效的预防手段，数据中心虚拟化解决方案提供满足国家安全等级保护三级标准的软硬件，为企业提供安全、合规的主机和网络安全一站式解决方案。

网络层阻断：利用防火墙，配置严格的安全策略，仅开放必需的服务，封堵高危端口，可以减小暴露面（攻击面）；启用文件过滤和 URL 过滤，阻断已知威胁，限制高风险类型文件和软件进入网络；在安全性要求高的网络中，还可以部署安全沙箱、态势感知系统，全面感知安全态势。高端的防火墙设备的 IPS 威胁检测数量 12000+ ，检测 APT 攻击威胁检测率达 96% 已上。

主机和虚拟化层阻断：通过统一的安全中心来统一配置主机和虚拟机网络隔离、访问策略，配置企业级杀毒软件、报文深度检测等安全软件；此外，虚拟化平台需要对主机 OS 、 DB 、 WEB 进行全面的安全加固配置，保证主机的安全性。

2 、事前：多层级数据保护方案，提供高强度四安全副本，保证数据安全。

如果勒索软件越过网络和主机入侵检测系统，系统被勒索攻击，那么安全的数据副本是防勒索最关键、最后的抵御手段。

数据中心虚拟化平台把虚拟机和容器的虚拟磁盘映射到存储的 LUN 或 FS ，通过存储和备份设备可以为虚拟机或容器的 LUN 或 FS 提供多类型的安全副本。

1 ） “3211” 多维度安全副本，确保数据安全：

最多可配置 4 个安全副本，提供高强度的数据保护能力，数据副本满足：生产区、异地灾备区、隔离区多地域 3 份副本；主存和备份 2 种介质的副本； 1 个灾备或主存隔离区副本或 1 个备份隔离区副本。

2 ）主存和备份安全副本为不可变副本，防止数据被篡改和删除：

利用 WORM 文件系统和 LUN 和 FS 安全快照技术，对生产和备份副本设置保护周期，保护期内副本不可删除、数据不可修改。

3 ）隔离区副本利用 AIR Gap 复制技术，减少攻击可能：

通过设定 AIR GAP 复制策略，自动化、周期性从生产或备份存储将副本复制到隔离环境保存。非复制期间，复制链路断开，副本处于“离线状态”，减少被攻击的可能。

4 ）生产和备份副本采用加密存储和传输，避免数据泄密：

数据加密存储和传输，使用 AES-256 加密算法，通过芯片卸载降低性能损耗。

3 、事中：内置防勒索实时智能检测算法，及时发现勒索攻击，降低勒索数据量 RPO 。

由于勒索攻击的潜伏性和持久性，为了确保数据有安全副本，就要长时间保存副本，带来大量存储资源消耗，成本增加。

因此通过快速检测出勒索攻击，及时进行处置可以极大降低勒索数据 RPO ，从而降低副本存储需求。同时快速检测可以避免被勒索攻击的数同步到其他备份系统，造成二次破坏。

虚拟化平台防勒索解决方案应该提供实时智能勒索检测引擎，在病毒进入虚拟机和容器和开始攻击之初，就检测出勒索攻击，及时通知管理中心进行处置，可以减少勒索数据量降低 RPO ，最小化存储空间。

智能防勒索检测算法可以检测块、文件、备份数据中出现的被勒索数据。该算法通过 Workload 特征和数据特征进行采集和分析，提取正常行为和异常行为的 IO 特征、容量变化特征、数据加密信息熵变化特征等，基于多种模型的机器学习算法快速准确的检测出被勒索数据和文件，第一时间进行标记上报告警。实验表明： WorkLoad 和数据特征采集对性能影响小于 5% ，未知病毒攻击检测准确率达 90% 以上。

4、事后：基于虚拟机和容器端到端的防勒索保护编排，一键式恢复，降低业务恢复 RTO 。

除了多个安全副本，以及快速检测出勒索攻击事件，对勒索事件的快速响应，恢复对应 VM 和容器的业务是最后的关键步骤。数据中心虚拟化解决方案，应该提供基于 VM 和容器的防勒索保护自动化编排，简化防勒索配置和恢复操作，同时通过日常演练测试功能确保 “ 战时能用 ” 。

VM 和容器的防勒索保护和恢复

提前通过配置虚拟机或容器防勒索保护策略，如副本数、定时和存留时间等；实时对主存和备份数据进行智能勒索攻击检测，一旦出现攻击事件上报勒索告警 ; 根据告勒索警恢复向导，选择最优的安全快照或备份数据恢复 VM 或容器的数据。

同时利用存储安全快照秒级恢复能力，就解决了海量 VM 和容器勒索恢复操作复杂的问题，极大的降低的业务恢复 RTO 。

周期性演练测试

为了确保关键时刻业务恢复成功，日常演练测试必不可少。防勒索方案提供演练测试沙箱，自动创建 VM 或容器，挂载相应的副本，模拟应用进行数据访问。

数据中心虚拟化平台防勒索解决方案，以最小化被勒索数据 RPO 和业务恢复时间 RTO 为目标，提供一体化的防勒索安全解决方案，在网络和主机入侵检测和防护的基础上，通过多层级的数据安全副本，以及创新的防勒索智能检测算法，基于 VM 和容器进行防勒索编排和向导式恢复，可以有效解决云平台海量虚拟机和容器场景的防勒索副本存储空间占用多，业务恢复操作复杂和恢复慢的问题，实现多种防勒索方案的统一设计。该方案实验室进行模拟勒索攻击测试，勒索检测率达到 90% 以上，检测和恢复时间为分钟级（ RPO 和 RTO 为分钟级）。