如何优化数据中心以抵御勒索软件攻击

无论你是在何处托管的数据（公有云、私有数据中心还是本地），很多对抗勒索软件的策略（例如定期备份）都是相同的。

然而，运营数据中心的企业可以部署一些特殊的措施，以降低成为勒索软件攻击受害者的风险。当你控制了基础设施和托管设施的各个方面时，就可以采取一些措施来降低勒索软件威胁，而这在其他方面是不可能的。

为此，本文介绍了降低数据中心勒索软件风险的一些可行策略。

基本的勒索软件缓解策略

在深入研究适用于数据中心的反勒索软件策略之前，我们先讨论一下在任何类型环境中防止勒索软件的通用技巧。标准最佳实践包括：

• 备份数据：如果你定期备份数据，就可以在勒索软件攻击后从备份中进行恢复，而无需支付赎金。
• 监控威胁：持续的监控可以帮助你检测出是否存在勒索软件攻击者用来加密数据的恶意软件，从而在某些情况下在信息被勒索之前就能阻止攻击。
• 教育用户：对员工、客户、承包商和其他利益相关者进行有关勒索软件和相关风险的教育，可以降低有人陷入诈骗事件的几率。
• 最大限度地减少暴露：关闭不必要的网络端口、遵循最小特权原则、关闭无关工作负载等做法，会让威胁行为者更难实施勒索软件攻击。

同样地，你可以在任何地方执行这些操作，而不仅仅是在私有数据中心托管环境中。

阻止数据中心的勒索软件

但是，当你运营着自己的数据中心（或使用托管设施）以托管工作负载的时候，可以采取其他措施来防范勒索软件，而这些措施在大多数其他环境中是具有挑战性或者不可能采取的。

气隙系统

首先，你可以隔离数据和工作负载。气隙，意味着完全断开资源与互联网的连接，完全防止任何网络攻击。这在勒索软件保护的背景下尤其是有价值的，因为这意味着你几乎可以保证数据备份不会被攻击者访问，攻击者有时会试图破坏备份，让受害者在不支付赎金的情况下无法恢复数据。

在公有云中通常不太可能运用气隙方法，因为公有云是不能断开网络的。你能做的最好的事情，就是将其放置在不直接暴露于互联网的专用网络上，但仍可能暴露给已经存在于环境中的攻击者。如果使用私有数据中心的话，你就可以完全控制基础设施，并且如果你愿意，就可以从物理上断开数据与网络的连接。

异地备份

私有数据中心还可以更轻松地维护异地备份，这意味着备份数据是保存在一个与托管生产工作负载的物理位置相互分开的物理位置上。异地备份提供了针对勒索软件的另一道防线，确保你即使是在整个数据中心设施在攻击中受到损害的情况下，也拥有一组可以恢复的安全信息。

虽然可以通过将备份数据下载到你选择的位置以便从公有云中创建异地备份，但你必须依靠网络来移动数据，如果有大量数据要移动，这可能需要很长时间。而通过你自己的数据中心，就可以将数据直接复制到存储介质，然后将介质移动到你选择的位置上。

数字孪生

在数据中心环境中，数字孪生是IT环境的一种完整复制。数字孪生提供了一个环境，让组织可以切换到这个环境中来防范勒索软件风险，以便在主要环境中因为勒索软件攻击而受到损害时保持连续性。

如果你愿意的话，可以在公有云中维护数字孪生，但这样做往往成本更高且更加复杂，因为它实际上会让你支付的云资源量增加一倍。你还必须实施一项计划将云环境切换到备份环境，由于涉及许多变量（例如网络规则和IAM策略），这个计划可能是很复杂的。

在一个数据中心内，你可以更经济高效地维护数字孪生，例如，使用旧硬件来托管数字孪生环境。你也无需担心在勒索软件攻击后调整配置（例如IAM规则）以将请求重定向到备份环境。

物理安全

由恶意的内部人员（例如员工）发起的勒索软件攻击所带来的风险越来越大。在这方面，私有数据中心的优势在于让组织能够更好地控制物理安全，帮助他们以精细的方式管理谁可以访问内部基础设施和数据。

公有云中的物理安全控制措施也非常出色，但不同的是，如果使用公有云，你就必须把物理安全委托给第三方，而第三方无法保证设施中不存在恶意内部人员。在你自己的数据中心中，你完全有能力管理对设施的访问权，以及监控各项活动，作为检测勒索软件风险和其他威胁的一种手段。

结论

如果你得出数据中心本质上不易遭受勒索软件攻击的结论，那么这是错误的。与任何环境一样，数据中心也可能而且经常受到勒索软件的攻击。然而，数据中心运营商可以采用那些在其他类型环境中可能并不实用的、针对勒索软件的预防措施，从而让使用数据中心托管工作负载的企业在打击勒索软件方面取得优势。