储存中的零信任，防护的最后堡垒

作者：Veeam产品战略高级总监Rick Vanover

　　根据《2022年Veeam勒索软件趋势报告》显示，73%的企业在过去一年中受到过至少两次勒索软件攻击的影响。在大多数情况下，犯罪分子进入企业网络是通过数字防御中最薄弱的部分：人。最新的《Verizon数据泄露报告》证实，网络钓鱼仍然是黑客和数据窃贼获得未经授权的访问的首选手段。虽然备份通常能够作为对抗勒索者的最后一道堡垒，但凭借匹配的凭证甚至可以攻破这一堡垒。因此，企业必须意识到，自己的员工也会构成不必要的威胁。管理这种风险的最好方法是零信任。

　　关注流程而非硬件

　　零信任不是一个独立的产品，而是一个融入企业文化的范式。IT管理员必须权衡哪些员工应该访问哪些内容、应用程序、网络和数据。这对存储来说更为重要，因为在许多情况下，备份是维持公司运行的命脉。如果备份这个支柱被破坏，停机时间会迅速增加，恢复的可能性也会越来越小。因此，与存储有关的角色和权限必须谨慎分配。只有专门的工作人员和存储管理员应该有能力访问备份。但是，如果这些管理员的用户账号落入坏人之手，会发生什么？

　　不可更改性是一个关键工具

　　永久性地保护备份不落入坏人之手的唯一方法是不可更改性。对存储而言，就是用不可变、只读的方式存储备份。比如，即使是在勒索软件团伙攻击的情况下，这样依然可以防止所有数据和备份被加密。设置不可更改的备份有很多选择，包括从隔离系统到AWS S3对象锁定——不同变体的参数可以很快被找到。而重要的是，它们是作为备份策略的一个固定部分来实施的。这保证了在访问权落入坏人之手的情况下，备份所提供的保证始终保持不变，而且在紧急情况下，数据始终可以被恢复。

　　零信任在现代数据保护中的实施需要一个过程

　　在存储中实施零信任是一个需要时间的过程，需要定期查看以确保持续的安全性。网络钓鱼肯定依旧会成为企业及其数据的最大威胁之一，因为员工仍将是防御的最大风险。然而，如果角色和权限是根据零信任范式分配的，那么这种风险就可以被尽可能地减少。这将使备份保持其应有的对抗勒索软件的堡垒作用。