Tout comme la protection contre les intrusions peut minimiser mais pas éliminer les risques, une détection rapide et des réponses automatisées peuvent minimiser, mais pas éliminer complètement, l'impact sur les systèmes et les données concernés. Un plan complet contre les cyberattaques – qu'il s'agisse de logiciels malveillants, de ransomwares, d'épidémies virales ou de toute autre forme d'activité malveillante – doit nécessairement inclure des mesures visant à minimiser le risque d'épidémie en premier lieu, ainsi qu'un plan de réponse rapide pour en limiter la portée et l'impact. lorsqu'une attaque se produit. Au-delà de cela, des mesures doivent être mises en place pour garantir que tous les systèmes et données concernés peuvent être récupérés.
Les données ne restent jamais immobiles dans un environnement d'entreprise et un seul cluster Qumulo peut héberger des pétaoctets de données non structurées. Dans une entreprise relativement grande où les taux de modification quotidiens sont inférieurs à 1 %, un cluster Qumulo de 5 Po pourrait voir jusqu'à 50 To de données nouvelles et modifiées par jour. Étant donné que les données changent constamment, un plan de récupération des données doit minimiser la quantité de données pouvant être perdues en raison d'une épidémie de malware.
En tant que telle, une stratégie de rétablissement peut être complexe. Il doit inclure tous les systèmes et données susceptibles d’être affectés par une cyberattaque, et disposer de plans d’atténuation prenant en compte tous les impacts possibles.
Il n’entre pas dans le cadre de cet article de fournir un plan de rétablissement complet. Étant donné que chaque entreprise fonctionne dans des circonstances uniques (volume de données, taux de modification, objectifs de rétention et de récupération, ainsi que d'autres considérations et contraintes), chaque stratégie de récupération sera également unique.
Cette section du document fournit un aperçu des contrôles et des fonctionnalités Qumulo qui peuvent être exploités pour garantir la récupération rapide de toutes les données affectées.
Instantanés
Les instantanés sur un cluster Qumulo peuvent être utilisés de plusieurs manières pour protéger les données du cluster. Ils peuvent être utilisés seuls pour une protection et une récupération des données rapides et efficaces. Un instantané des données en direct sur un cluster Qumulo peut être répliqué sur un cluster secondaire ou sur le stockage S3. Alternativement, un instantané Qumulo peut être associé à une solution de sauvegarde tierce pour fournir une protection efficace à long terme (avec un contrôle de version plus robuste pour les fichiers modifiés) contre la perte de données.
Notions de base sur les instantanés
En soi, un instantané Qumulo est une méthode très efficace de protection des données. Un instantané peut être pris à tout moment, soit selon un calendrier fixe, soit à la demande selon les besoins. Une fois pris, un instantané ne consomme initialement aucun espace.
Un instantané préserve tout ce qui se trouve dans le système de fichiers : données de fichier, entrées de répertoire, heures de création et de modification, autorisations, etc. À mesure que les fichiers de l'instantané changent au fil du temps, de nouvelles données sont écrites à côté de la version d'origine et de nouvelles entrées sont écrites dans le fichier. système identifiant chaque version d’un même fichier.
Si un fichier ou un répertoire doit être restauré vers une version précédente, il peut être récupéré à partir d'un instantané. Étant donné que chaque instantané est immuable (en lecture seule), un logiciel malveillant ou un ransomware potentiel ne pourra pas modifier les données d'un instantané. Les instantanés peuvent être davantage protégés par un verrouillage, qui empêche la suppression d'un instantané avant qu'une période de temps définie ne soit écoulée.
Gestion des politiques d'instantanés
Afin d'automatiser un instantané planifié, un administrateur de stockage doit d'abord définir une politique d'instantané nommée définissant les paramètres et le cycle de vie de l'instantané. Ceux-ci inclus:
- Répertoire cible – cela peut exister à n’importe quel niveau hiérarchique au sein du système de fichiers.
- Horaires – peut être configuré à l'aide d'un large éventail de paramètres, notamment horaires ou quotidiens ; un ou plusieurs jours par semaine, ou plus/moins fréquemment selon les besoins.
- Format de dénomination – utilisé pour déterminer comment garantir que chaque version d'instantané a un nom unique mais identifiable afin de faciliter la récupération ultérieure si nécessaire
- Cycle de vie – détermine si un instantané peut expirer automatiquement ou doit être supprimé manuellement.
- Verrouillable – si activé, empêche la suppression d'un instantané avant son expiration.
Instantanés à la demande
Outre les instantanés planifiés, Qumulo prend également en charge l'utilisation d'instantanés à la demande, qui peuvent être pris à tout moment depuis n'importe où dans le système de fichiers. Comme pour les instantanés planifiés, un instantané à la demande peut être configuré pour expirer automatiquement ou pour être conservé (avec verrouillage facultatif) jusqu'à ce qu'un administrateur le supprime.
Comme mentionné précédemment dans le document, les instantanés à la demande peuvent être automatisés à l'aide de l'API Qumulo et programmés dans la plateforme SIEM ou IDP en réponse à un événement de sécurité détecté. Pour plus d'informations sur la gestion des instantanés planifiés, à la demande et automatisés, veuillez consulter le Gestion des instantanés section de l’Annexe à la fin de ce document.
Verrouillage des instantanés
Même si un instantané est, par définition, immuable (c'est-à-dire qu'il fournit une référence historique sur l'état des données à un moment donné, plutôt que sur les données elles-mêmes), il n'est pas invulnérable à une falsification externe. Un administrateur malveillant, ou un acteur externe utilisant un compte utilisateur compromis avec des privilèges élevés et un accès à l'interface utilisateur Web, à la CLI ou à l'API, peut soit modifier le délai d'expiration de l'instantané afin qu'il soit purgé prématurément, soit supprimer complètement l'instantané.
Pour fournir une protection supplémentaire, les administrateurs peuvent appliquer un « verrouillage » dans le cadre des paramètres de stratégie du mot de passe. S'il est activé, le verrouillage des instantanés empêche la modification ou la suppression d'un instantané – même par un administrateur de stockage – avant son heure d'expiration.
Activation du verrouillage des instantanés
Pour utiliser la fonctionnalité de verrouillage d'instantané, un administrateur doit d'abord générer une paire de clés cryptographiques asymétriques à l'aide d'un service de gestion de clés (KMS) pris en charge par Qumulo, soit via son KMS préféré ou son outil open source, soit en utilisant la CLI Qumulo pour en générer une directement. du cluster. La clé publique est installée sur le cluster – manuellement si la clé a été générée en externe, ou automatiquement si la clé a été créée via la CLI – et la clé privée doit être sécurisée à l'aide des pratiques de sécurité établies par le client.
Gestion des instantanés verrouillés
Dans des circonstances d'exploitation normales, les instantanés verrouillés pourront expirer d'eux-mêmes, et les administrateurs pourront les exploiter si nécessaire en cas de cyberattaque, à l'abri même de toute falsification administrative.
Si un client souhaite supprimer un instantané verrouillé avant sa date d'expiration (par exemple pour récupérer de l'espace sur un cluster presque plein), il devra générer une demande sur un système distinct à l'aide de la clé privée, puis télécharger la demande signée et autorisée sur le cluster avant que l'instantané verrouillé puisse être ajusté.
Instantanés avec réplication
Pour une protection supplémentaire des données, les instantanés peuvent être associés aux services de réplication de Qumulo pour garantir qu'au moins une copie de toutes les données est hébergée dans un stockage secondaire à partir duquel elles peuvent être récupérées en cas de perte des données de l'instance de stockage principale.
Cette instance de stockage secondaire peut être un autre cluster Qumulo – qu'il soit sur site, dans un deuxième centre de données ou hébergé chez l'un des fournisseurs de cloud public (Amazon Web Services, Google Cloud ou Microsoft Azure) – ou une cible S3.
Réplication Qumulo
Le service de réplication intégré de Qumulo peut copier des données à grande échelle entre deux instances de stockage Qumulo. En plus de protéger les données contre les cyberattaques, un emplacement secondaire avec un autre cluster Qumulo peut également servir de stockage de basculement en cas de panne au niveau du site.
Étant donné que le stockage Qumulo peut être déployé n'importe où – dans un deuxième centre de données ou sur n'importe quelle plate-forme de cloud public (Amazon Web Services, Google Cloud et Microsoft Azure) – et fournit les mêmes services quel que soit l'emplacement, la réplication peut être configurée pour s'exécuter. dans n'importe quelle direction entre deux points de terminaison Qumulo.
Réplication continue
Cette forme de réplication prend simplement un instantané des données sur le cluster Qumulo source et le copie dans un répertoire sur un cluster cible. Tant que la relation de réplication est active, le système analyse tous les fichiers modifiés pour identifier et copier uniquement les modifications spécifiques apportées à la cible.
Bien que cela crée une copie de l'ensemble de données principal sur un deuxième cluster, cela n'est pas recommandé pour la protection des données ; puisque toute corruption ou perte de données sur la source principale se propagera également à la cible.
Réplication basée sur un instantané
Avec la réplication basée sur les instantanés, des instantanés sont également pris du répertoire cible sur le cluster secondaire. Une fois qu'un travail de réplication est terminé, un nouvel instantané du répertoire cible est créé, garantissant des données cohérentes sur les deux clusters, ainsi que la tenue d'un journal des modifications pour chaque fichier sur la cible.
Ces instantanés peuvent être configurés pour utiliser la même expiration que la politique d'instantané source, ou peuvent être configurés avec des délais d'expiration plus longs pour fournir une fenêtre de récupération plus longue en cas d'attaque de logiciel malveillant.
Réplication vers/depuis le stockage S3
Là où le service de réplication natif offre la possibilité de copier des instantanés entre deux clusters Qumulo, Qumulo peut également copier des données dans les deux sens entre le système de fichiers local et un compartiment AWS S3.
Dans le compartiment AWS S3, tous les fichiers sont écrits au format S3 natif, sans passerelle requise. Les copies suivantes sont incrémentielles afin que seuls les fichiers modifiés soient copiés – un autre moyen fiable de protéger les données Qumulo hors site et contre une attaque sur site.
En fonction de la charge de travail ou des taux de modification des données, il est possible de copier des instantanés cohérents dans un compartiment S3 et d'utiliser le contrôle de version AWS pour suivre les multiples versions des fichiers dans le compartiment. Une fois que les données ont été écrites avec succès sur le stockage AWS S3, la hiérarchisation intelligente peut être exploitée pour déplacer les fichiers plus anciens vers AWS Glacier ou Glacier Deep Archive Storage, offrant ainsi une solution de stockage de données rentable pour les données qui ne sont pas utilisées activement.
Comme toutes les autres tâches sur le stockage Qumulo, le mouvement des données vers et depuis le stockage AWS S3 peut être automatisé à l'aide de l'API ou de la CLI.
Intégration de sauvegarde externe
Pour une protection des données à plus long terme et la possibilité de conserver un historique de versions plus long pour les fichiers critiques, Qumulo s'intègre à n'importe quel protocole de fichier basé sur1 solutions de sauvegarde.
Certains fournisseurs, tels que CommVault et Atempo, utilisent l'API Qumulo pour comparer les instantanés et identifier les modifications, ce qui leur permet d'effectuer des sauvegardes incrémentielles instantanées sans avoir besoin de parcourir l'arborescence. Un autre avantage des sauvegardes basées sur des fichiers est que l'image de sauvegarde est indépendante de la plate-forme, ce qui signifie que si nécessaire, les données peuvent être restaurées sur n'importe quelle cible de stockage.
Cet article de blog a fourni un aperçu général des fonctionnalités de Qumulo et de son interopérabilité avec des solutions tierces de protection des données afin de minimiser l'impact d'une attaque de malware. Une stratégie de protection globale nécessite des stratégies et des pratiques supplémentaires pour garantir que toute attaque qui se produit puisse être rapidement découverte et contenue, et que toutes les données perdues ou les services impactés puissent être rapidement restaurés.
Apprendre encore plus
- 1 partie: Comment utiliser les contrôles de sécurité intégrés de Qumulo pour la protection des données
- 2 partie: Détection des attaques de ransomware en temps réel avec Qumulo
- Téléchargez le dernier Livre blanc sur l'architecture et les pratiques de sécurité
Contact
- Cliquez ici pour planifier une réunion.
- Abonnez-vous au blog Qumulo pour les témoignages clients, les informations techniques et les actualités sur les produits.