数据备份可以帮助恢复数据,如果主要生产副本被损坏或删除。然而,由于高风险的网络攻击和其他威胁,备份也容易受到攻击。
保护备份数据免受任何修改或删除的最佳方法之一是使用支持不可变性的存储。了解数据不可变性、不可变存储的工作原理以及为什么不可变数据存储可以提高数据保护和恢复的机会。
什么是数据不可变性?
数据不可变性是计算机科学和数据管理中的一个概念,指的是数据在创建后无法更改。在不可变数据模型中,一旦数据被创建,就无法修改或更新;相反,任何更改都会导致新数据的创建,原始数据保持不变(如果可以应用更改)。这种方法有重要的影响和好处。
不可变数据并不总是最佳选择,因为在某些场景下,可变数据更有效或更合适。然而,在许多情况下,特别是在备份系统、并发或分布式系统中,不可变性可以简化开发并提高可靠性。
什么是不可变存储?
不可变存储是一种数据存储类型,一旦数据被写入或存储,就不能在指定的时间内或完全不能修改、更改或删除。这个概念通常用于数据保护、数据合规性和数据安全的背景下。不可变存储系统旨在确保数据的完整性和不可变性,通常是基于法律或监管原因,或者是为了保护关键信息免受未经授权的更改或删除。
不可变存储增加了额外的数据安全层。一旦数据被写入不可变存储系统,它就变得抵抗未经授权的修改,保护免受网络攻击和内部威胁。不可变存储可以用于需要保持安全和连续不断的监管链的场景,比如法律案件中的证据存储或存储金融交易记录。一个例子是视频监控录像,一旦写入就不能被篡改或删除,以作为调查法律活动时的证据。
不可变存储系统部署用于保留数据一段特定时间,确保其保持不变且可供审计、合规性或存档目的访问。这在金融、医疗保健和法律等行业尤为重要,这些领域有严格的数据保留要求。无论是为了数据保护、监管合规性(例如,GDPR),还是为了增强安全性,不可变存储都是确保数据完整性和抵御篡改或未经授权更改的关键组成部分。
不可变存储的工作原理是什么?
不可变存储通过实施机制和策略来防止数据在写入或存储后被修改、改变或删除。实现不可变性的具体方法可以根据存储系统的技术和架构而变化。不可变存储中使用的技术和原则包括:
- 写一次读多次(WORM)。WORM存储被设计为只允许数据被写入一次,一旦写入,就不能被更改或覆盖。通常使用物理或逻辑机制在数据被写入后锁定数据,防止进一步修改。
- 数据版本控制。一些不可变存储系统支持数据版本控制,每次对数据的修改都会产生一个新版本。保留了旧版本的数据,允许您访问历史版本,同时确保原始数据保持不变。
- 锁定和访问控制。不可变存储系统通常包含访问控制和权限,防止未经授权的用户尝试修改或删除数据。只有授权的个人或流程才能写入存储,其他人只能读取数据。
- 保留策略。不可变存储系统通常包括保留策略,指定数据必须以不可更改的状态保存多长时间。这使您可以为特定时间设置不可变性。一旦保留期到期,数据可能符合删除条件。
- 加密哈希。许多不可变存储系统使用加密哈希技术来确保数据完整性。当数据被写入时,会计算并存储哈希值(从数据内容派生的固定长度字符串),并与数据一起存储。任何修改数据的尝试都将导致不同的哈希值,表明篡改。
- 内容寻址存储。这是一种将唯一标识符(通常是加密哈希)分配给每个数据块的存储架构。该标识符用于检索数据,而不是传统的文件路径。一旦数据被写入,就不能修改而不更改其标识符。
- 审计跟踪。为了确保合规性并跟踪任何访问或修改尝试,不可变存储系统通常保持详细的审计日志,记录与存储数据的所有交互。
- 硬件和软件保护。不可变存储可能利用硬件或软件保护措施,以保护数据免受物理和逻辑威胁,如防篡改密封、安全硬件模块或分布式共识算法。
不可变存储通常与其他技术结合使用,如区块链、数字签名和安全时间戳,以进一步增强数据的真实性和安全性。不可变存储的具体实现可以根据组织或行业的需求和要求而广泛变化。
空气隔离 vs 不可变存储
气隙是计算和数据管理中使用的一种安全措施,用于从不安全或潜在受到损害的环境中物理和逻辑地隔离系统或网络。术语“气隙”意味着受保护的系统/数据与外部网络之间存在实际的间隙或物理断开,使得未经授权的用户或网络攻击者难以访问、修改或损害数据。
气隙存储是与计算机或网络物理断开连接的存储介质。气隙通常用于处理机密信息、关键基础设施控制系统以及安全的政府或军事网络等高度敏感或关键的系统。
气隙通过将系统或数据与外部网络隔离提供了强大的安全层,但它本身并不固有地使存储不可变。气隙主要关注将系统或网络与外部威胁隔离开来,但并不保证数据的不可变性。组织可以将气隙环境与额外的安全措施和数据不可变性实践和政策结合起来,以在该隔离环境中实现网络恢复,保护数据免受未经授权的更改。
气隙存储的一个例子
从服务器或存储阵列断开连接的SAS、SATA或USB硬盘驱动器是气隙存储的常见例子。存储在这种硬盘驱动器(HDD)上的文件无法修改,因为此设备已被物理断开并关闭电源。它对软件是不可访问的。存储在这个断开连接的硬盘驱动器上的数据受到勒索软件攻击和其他不需要的更改的保护。
然而,这种保护并不是通过使用像现代不可变存储中的不可变技术实现的。没有硬件写保护开关,也没有软件可以确保对于处于断电状态的标准硬盘的写保护。这就是为什么隔离存储和不可变存储是不同的,尽管它们用于类似的目的。
磁带盒也被认为是隔离存储。在向磁带写入备份后,弹出的磁带盒无法被勒索软件访问,备份数据也无法被修改。
与可以在服务器上、本地或公共云中实现的不可变存储相比,隔离存储需要更多的管理工作和时间。
不可变云存储解决方案
不可变云存储解决方案是指提供不可变性作为核心特性的基于云的数据存储服务或系统。这些解决方案确保一旦数据存储在云中,就无法在指定的时间段或根据特定政策和不可变存储的原则下修改、更改或删除数据。不可变云存储对于寻求保护数据完整性、满足合规要求、增强数据安全性并在云环境中实施数据保留策略的组织尤为重要。
不可变云存储的示例
各种云服务提供商提供不可变的云存储解决方案,旨在提供数据不可变性,并防止未经授权的修改或删除。几家云服务提供商将不可变的云存储解决方案作为其产品组合的一部分提供。例如,Amazon S3(简单存储服务)提供了对象锁(Object Lock)功能,使S3对象具有数据不可变性(不可变对象存储)。Microsoft Azure提供Azure不可变Blob存储,允许组织在Azure Blob存储中创建和管理不可变数据。让我们概述一些主要云提供商的不可变云存储解决方案的示例:
- Amazon S3对象锁。Amazon S3提供了一个名为对象锁的功能,允许用户在其S3存储桶中创建不可变对象,从而在公共云中提供不可变对象存储。用户可以选择两种模式:治理模式,其中管理员可以设置保留策略;合规模式,一旦对象被锁定,就无法删除或修改,直到保留期到期为止。
Microsoft Azure不可变Blob存储 。Microsoft Azure作为其Azure Blob存储 服务的一部分提供了不可变Blob存储。不可变Blob存储允许用户在其Blob容器上设置保留策略,防止任何修改或删除Blob,直到保留期过去。 - Microsoft Azure不可变Blob存储。Microsoft Azure提供作为其Azure Blob存储服务一部分的不可变Blob存储。不可变Blob存储允许用户为其Blob容器设置保留策略,防止在保留期结束前对Blob进行任何修改或删除。
- Google Cloud Storage对象版本控制。Google Cloud Storage提供对象版本控制作为实现不可变性的方式。启用版本控制后,对对象的每次修改都会创建该对象的新版本,保留原始版本。用户可以配置对象生命周期策略来管理随时间的版本,这可以包括为不可变性设置保留期。
- IBM Cloud Object Lock。IBM Cloud Object Storage提供Object Lock,该功能允许用户为其存储桶中的特定对象强制执行不可变性。与其他云提供商类似,Object Lock提供治理和合规模式,以实现对数据保留和不可变性的不同级别的控制。
- Oracle Cloud Storage Service Object Lock。Oracle Cloud Storage Service提供Object Lock,允许用户创建具有可自定义保留期的不可变对象。此功能对于受数据保留法规约束或需要严格数据保存的组织非常有用。
这些例子突出了不同的云服务提供商如何提供解决方案来确保数据的不变性,主要通过创建不可变对象或使用版本控制和保留策略。
本地不可变存储
本地不可变存储指的是物理上位于设备或系统上的数据存储,设计用于确保存储数据的不变性。与依赖远程服务器和服务的基于云的不可变存储解决方案不同,本地不可变存储在单个设备、服务器或本地基础设施的范围内运行。这种类型的存储在本地级别需要保护数据免受未经授权的修改或删除的情况下特别有用。
本地不可变存储的关键特征包括:
- 基于硬件的写保护。本地不可变存储可以通过物理上防止数据被覆盖或修改的硬件机制实现。例如,写保护的存储设备或介质,如光盘,允许数据被写入一次,然后保护它免受后续的更改。
- 文件系统功能。一些文件系统支持可以用于实现本地不变性的功能。例如,在类Linux操作系统中,您可以使用
chattr命令为文件设置属性,如“i”(不可变),防止它们被修改或删除。 - 专业软件。有一些软件解决方案专门设计用于创建本地不可变存储环境。这些解决方案通常依赖于加密哈希、数字签名和访问控制来确保数据的完整性和不可变性。
本地不可变存储的示例
实践中使用的本地不可变存储的示例包括:
- 光盘(CD-R、DVD-R、蓝光光盘):一次性写入光盘是本地不可变存储的经典示例。一旦数据被刻录到这些光盘上,除非物理损坏介质,否则无法更改或删除。
- 写保护存储设备:SD闪存卡带有写保护开关,一些USB硬盘驱动器具有防止在启用写保护后修改数据的机制。
- 不可变文件系统:一些专门的文件系统,如WORM(一次性写入多次读取)文件系统,旨在从文件系统级别强制执行数据不可变性(例如,Sun QFS)。它们防止对已写入数据的更改。
- 区块链数据库:区块链数据库是一种用于去中心化应用的本地不可变存储形式。在区块链中,数据存储在一系列区块中,每个区块包含前一个区块的加密哈希。这种区块链确保了存储数据的不可变性。
- 安全硬件模块:一些硬件安全模块(HSM)和安全区域通过保护加密密钥和敏感数据免受篡改或未授权访问,提供了本地不可变存储的能力。
使用不可变技术和不可变存储可以在传统存储设备上实现本地基础架构。光盘媒体如CD-R、DVD-R和蓝光,以及SD闪存卡,可以帮助保护少量数据,这对个人用户在手动模式下可能很方便。至于组织和生产环境,可以实现带有WORM配置的文件系统以及其他可扩展存储解决方案,以实现自动化的高效保护。基于云的不可变存储解决方案可以服务更广泛的用例,包括远程访问和协作。
磁带是不可变存储介质吗?
磁带存储可用于提供一种形式的不可变存储。磁带存储是一种多功能介质,允许像其他形式的存储一样写入、覆盖和删除数据。然而,组织可以实施实践和政策,使磁带存储以不可变的方式运行。
组织在将数据存储在磁带上时,可以采用一次写入策略,这对于磁带备份非常有用。这意味着数据一旦写入磁带,磁带就被视为只读。以这种方式将数据写入磁带后,除非物理上破坏磁带,否则无法更改或删除数据。磁带盒具有写保护开关。还有特殊的VolSafe磁带盒,只能用于一次性写入数据。
然而,需要注意的是,维护和管理基于磁带的不变存储可能比使用现代的基于云或基于磁盘的不变存储解决方案更为复杂和不便,后者通常内置了数据不变性和访问控制功能。
NAS上的不变存储
一些网络附加存储(NAS)系统,如群晖NAS和威联通NAS,支持不可变存储,可以在安装在NAS上的厂商原生操作系统的网页界面中进行配置。这是在本地配置不可变存储的另一种选择。在NAS上为一次写入的共享文件夹配置不可变性是直接的。
不可变备份
不可变备份是一种无法被更改或删除的备份。不可变备份是不可变数据存储最受欢迎的使用案例之一。如果设置了过期时间,不可变备份只能在过期时间结束后被删除。不可变备份被各行各业组织使用。
备份是勒索软件攻击者的主要目标,因为攻击者知道拥有备份的受害者可以不支付赎金就恢复数据。位于不可变存储上的备份保护用户和组织免受数据加密、数据损坏和备份删除的威胁。
使用3-2-1备份规则时,要求至少在至少两种不同的介质上拥有3个数据副本,其中一个存储在离线位置,更可靠的做法是将一个数据副本存储在具有不可变性的存储介质上。这可以是一个额外的(第四个)数据副本。如果主要数据副本受损,可以从不可变备份中恢复数据。
使用NAKIVO备份到不可变存储
NAKIVO备份与复制是一种现代化的数据保护解决方案,支持将数据备份到支持不可变性的存储库中。您可以通过部署备份存储库在以下位置配置不可变性:
- A physical or virtual machine:
- A backup repository with immutability that is assigned to a Transporter installed on a Linux machine
- A public cloud with immutability supported:
- Amazon S3
- Azure Blob Storage
- Wasabi
- Backblaze B2
此外,您还可以部署虚拟设备用于VMware vSphere,并预配置Amazon机器映像(AMI)用于Amazon EC2,该映像具有启用不可变性的内置强化备份存储库。