云存储中的离线备份

勒索软件不仅会对磁盘上的原始数据进行加密，而且还对连接的USB和保存数据备份的网络存储驱动器进行加密。涉及勒索软件的事件波及备份连接的云存储位置。

强调数据备份对灾难恢复的重要性不言而喻，维护定期可靠备份的重要性也不言而喻了，合理的备份策略可以最大程度地减少勒索软件感染带来的负面冲击。

使用云存储任何备份时，应牢记以下四个规则。

1.离线规则

“离线备份”（也称为“冷备份”）的目的是在实时环境受到破坏时，保持备份数据不受影响。工作中尽量遵循以下两点：

• 仅在绝对必要时将备份连接到活动系统

• 永远不要同时连接（或“热”）所有备份

在任何给定时间，如果至少有一个备份处于脱机状态，则事件不会同时影响所有备份。

使用云存储来保存脱机备份是一个好主意，可以确保与实际环境的物理隔离。至关重要的是，当不使用离线备份时，还需要断开连接。云存储脱机与传统的备份存储不同，不能直接拔下就可以脱机。需要采取一些措施实现相同级别的保护。

身份管理

保护云存储的第一步是身份鉴别的安全，即帐户安全。对于云服务，几乎都需要用户名和密码凭据。所有能够访问云备份的用户都应遵循一定的安全策略使之得到适当保护。没有可信任的身份，勒索软件将无法请求访的云存储并对其进行加密。第一关，身份管理至关重要。好在，我们很多云平台都需要用户名和密码，同时需要短信进行验证，这也一定程度上增强了其安全性。

客户端管理

备份客户端是具有访问云存储凭据的设备。不使用云存储时，云备份客户端不应具有有效的凭据。由于标准用户设备无法直接修改云备份，备份客户端的数量也应保持最少，这个是和等保要求是一致的。按照这种做法，如果勒索软件感染发生在某个授权的客户端上并且正在使用的云备份，则只会危害客户端有权限访问的云备份。

访问控制

一些云存储服务为身份和连接性提供了更高级的访问控制。如果这些控件可用，则应配置为仅允许授权客户端创建新备份（或追加到现有备份），并在不使用存储时拒绝连接请求（“冷”）。如果在云备份脱机（拒绝连接请求）时发生了勒索软件感染，将无法访问云存储。如果在连接云备份时发生勒索事件，则勒索软件无法覆盖现有备份。

---

2.恢复规则

虽然可以使用所有措施来尝试防止安全事件影响备份，但是最好为备份制定备份计划。某些云存储服务允许您将已修改的数据还原回旧版本，并在删除数据后的有限时间内恢复已删除的数据。如果勒索软件确实影响云备份，则可以使用这些功能将其还原回最近的正常状态。选择云存储提供商时，应检查服务中是否包含这些功能。

---

3. 3-2-1规则

保留多个备份并在逻辑上实现分离至关重要。保持弹性备份意味着如果其中一个遭到破坏，则至少还会剩下一个可用。创建弹性数据备份的最常见方法是遵循“ 3-2-1”规则。即创建至少3份副本，分别在存储在不同的2台设备上，其中一个1个实现异地存储。此策略之所以受欢迎是因为可以有效地扩展，并且可以确信关键数据是安全的，不会发生本地化事件。但是要保证脱机规则，实现备份位置脱机。

---

4.常规规则

定期创建备份是非常必要的，创建备份的频率越高，被迫恢复数据就越少。不仅应定期创建备份，还应定期对其进行测试，以检查其有效性。在这种情况下，“每朵云都有一线希望”那就变得很恰切了。遵循云备份准则，可以使云备份更能抵御勒索软件等事件。

---

原文始发于微信公众号（河南等级保护测评）：云存储中的离线备份