Nykyp\u00e4iv\u00e4n uhkaymp\u00e4rist\u00f6ss\u00e4 kiristyshaittaohjelmat ovat kehittyneet opportunistisesta salauksesta eritt\u00e4in kohdistetuiksi, moninkertaisen kiristyksen kampanjoiksi. Kehittyneet jatkuvat uhat (APT) ja kiristyshaittaohjelmaryhm\u00e4t etsiv\u00e4t nyky\u00e4\u00e4n aktiivisesti varmuuskopioinfrastruktuuria ja tietokanta-arkistoja sis\u00e4\u00e4np\u00e4\u00e4syns\u00e4 aikana. Jos hy\u00f6kk\u00e4\u00e4j\u00e4 vaarantaa ensisijaisen tietokantasi ja samalla poistaa tai salaa varmuuskopioarkistosi, organisaatiosi kohtaa katastrofaalisen tietojen menetyksen.<\/p>\n
Tietokannan yll\u00e4pit\u00e4jille (DBA) ja DevOps-insin\u00f6\u00f6reille perinteinen 3-2-1-varmuuskopiostrategia ei ole en\u00e4\u00e4 riitt\u00e4v\u00e4. Tietojen s\u00e4ilyvyyden takaamiseksi infrastruktuuritiimien on otettava k\u00e4ytt\u00f6\u00f6n 3-2-1-1-s\u00e4\u00e4nt\u00f6, jossa viimeinen \u201d1\u201d edustaa muuttumatonta tallennustilaa<\/strong> (immutable storage).<\/p>\n T\u00e4m\u00e4 artikkeli tarjoaa kattavan, teknisen syv\u00e4sukelluksen tietokanta-arkistojen muuttumattoman tallennustilan suunnitteluun, toteutukseen ja hallintaan, jotta varmistetaan ehdoton sietokyky kiristyshaittaohjelmia vastaan.<\/p>\n Muuttumaton tallennustila perustuu WORM-arkkitehtuuriin (Write-Once-Read-Many). Kun tiedot on kirjoitettu muuttumattomaan kohteeseen, kukaan \u2013 mukaan lukien p\u00e4\u00e4k\u00e4ytt\u00e4j\u00e4n oikeudet omaavat yll\u00e4pit\u00e4j\u00e4t tai vaarantuneet palvelutilit \u2013 ei voi muokata, salata tai poistaa niit\u00e4 ennen kuin matemaattisesti valvottu aikalukko umpeutuu.<\/p>\n Kun toteutat muuttumattomuutta, erityisesti pilvipohjaisessa objektitallennustilassa, kuten AWS S3, Azure Blob tai S3-yhteensopivat paikalliset SAN-ratkaisut, sinun on ymm\u00e4rrett\u00e4v\u00e4 s\u00e4ilytystilojen v\u00e4linen ero:<\/p>\n Vankka tietokantojen arkistointiarkkitehtuuri erottaa aktiiviset tietokantatoiminnot muuttumattomasta arkistotasosta. Muuttumattomuutta ei voi soveltaa aktiivisiin tietokantatiedostoihin (kuten SQL Serverin Sen sijaan muuttumattomuutta sovelletaan seuraaviin: Voit toteuttaa muuttumattoman tallennustilan eri infrastruktuuritasoilla: Suojataksesi tietokantavedokset ja transaktiolokit AWS:ss\u00e4, sinun on otettava Object Lock k\u00e4ytt\u00f6\u00f6n s\u00e4ili\u00f6n (bucket) luontihetkell\u00e4.<\/p>\n Luo ensin s\u00e4ili\u00f6, jossa Object Lock on k\u00e4yt\u00f6ss\u00e4:<\/p>\n M\u00e4\u00e4rit\u00e4 seuraavaksi oletuss\u00e4ilytysk\u00e4yt\u00e4nt\u00f6. Tietokanta-arkistoille 30 p\u00e4iv\u00e4n vaatimustenmukaisuuslukitus on vakiotaso, joka varmistaa, ett\u00e4 k\u00e4ytett\u00e4viss\u00e4si on kuukauden verran muuttamattomia varmuuskopioita.<\/p>\n Kun tietokannan varmuuskopiointiskripti tai agentti siirt\u00e4\u00e4 tiedoston t\u00e4h\u00e4n s\u00e4ili\u00f6\u00f6n, S3 laskee automaattisesti Jos arkistoit tietokantoja paikalliselle Linux-varmuuskopiopalvelimelle, voit saavuttaa n\u00e4enn\u00e4isen muuttumattomuuden Linux Huomautus: Vaikka ZFS-tilannevedosten k\u00e4ytt\u00f6:<\/strong> Ajankohtaan perustuvan palautuksen (PITR) saavuttamiseksi transaktiolokit on arkistoitava jatkuvasti muuttumattomaan tallennustilaan.<\/p>\n Tiedostossa T\u00e4rke\u00e4 huomio:<\/em> Jos S3-s\u00e4ili\u00f6si pakottaa 30 p\u00e4iv\u00e4n vaatimustenmukaisuuslukituksen, mutta SQL Server tukee natiiveja varmuuskopioita suoraan S3-yhteensopivaan objektitallennustilaan. Voit m\u00e4\u00e4ritt\u00e4\u00e4 SQL Server Agent -ty\u00f6n kirjoittamaan Muuttumattomien s\u00e4ilytyslippujen hallinta, p\u00e4\u00e4syavainten kierr\u00e4tt\u00e4minen ja tietokannan s\u00e4ilytysk\u00e4yt\u00e4nt\u00f6jen sek\u00e4 tallennuslukkojen synkronointi mukautetuilla skripteill\u00e4 on eritt\u00e4in virhealtista. Yksikin virheellinen m\u00e4\u00e4ritys cron-ty\u00f6ss\u00e4 tai API-kutsussa voi j\u00e4tt\u00e4\u00e4 arkistosi alttiiksi tai johtaa pilvitallennuskustannusten r\u00e4j\u00e4hdysm\u00e4iseen kasvuun orpojen, lukittujen objektien vuoksi.<\/p>\n Yritystason varmuuskopiointialustat, kuten CloudSave, yksinkertaistavat t\u00e4t\u00e4 arkkitehtuuria. CloudSave integroituu natiivisti AWS S3 Object Lockiin, Azure Blob Immutable Storageen ja paikallisiin S3-yhteensopiviin rajapintoihin.<\/p>\n Kun m\u00e4\u00e4rit\u00e4t tietokannan varmuuskopiointisuunnitelmaa CloudSavessa: Varmistaaksesi, ett\u00e4 muuttumaton arkkitehtuurisi on todella kest\u00e4v\u00e4, noudata seuraavia j\u00e4rjestelm\u00e4suunnittelun parhaita k\u00e4yt\u00e4nt\u00f6j\u00e4:<\/p>\n Muuttumattomat lukitukset on sidottu matemaattisesti aikaleimoihin. Jos tallennusj\u00e4rjestelm\u00e4si tai varmuuskopiopalvelimesi NTP-palvelu (Network Time Protocol) vaarantuu tai ajautuu ep\u00e4tahtiin, lukitukset voivat vanhentua ennenaikaisesti tai eiv\u00e4t koskaan vanhentua. Varmista, ett\u00e4 tallennusinfrastruktuurisi k\u00e4ytt\u00e4\u00e4 todennettuja, redundantteja NTP-l\u00e4hteit\u00e4.<\/p>\n Muuttumattomaan s\u00e4ili\u00f6\u00f6n kirjoittamiseen k\u00e4ytetyill\u00e4 tunnistetiedoilla saa olla vain Esimerkki v\u00e4himpien oikeuksien IAM-k\u00e4yt\u00e4nn\u00f6st\u00e4 tietokannan varmuuskopiointiagentille:<\/p>\n \u00c4l\u00e4 aseta vaatimustenmukaisuuslukituksia liian pitkiksi ajoiksi (esim. 7 vuotta vaatimustenmukaisuuden vuoksi) ensisijaisella nopean palautuksen tasolla. Tietokannat tuottavat valtavia m\u00e4\u00e4ri\u00e4 WAL-\/transaktiolokidataa. T\u00e4m\u00e4n tiedon lukitseminen vuosiksi johtaa tallennuskustannusten eksponentiaaliseen kasvuun. Muuttumattomuus takaa, ettei tietoja voi poistaa, mutta se ei takaa, etteik\u00f6 tiedoissa olisi loogista korruptiota. Sinun on automatisoitava muuttumattomien tietokanta-arkistojen palauttaminen eristettyyn, ilmarakoon (air-gapped) VPC- tai VLAN-verkkoon. Suorita Kiristyshaittaohjelmien torjunta on harjoitus, jossa oletetaan tietomurto tapahtuneen. Siihen menness\u00e4, kun SIEM-j\u00e4rjestelm\u00e4si antaa h\u00e4lytyksen, uhkatoimijat ovat todenn\u00e4k\u00f6isesti jo yritt\u00e4neet vaarantaa varmuuskopioinfrastruktuurisi. Suunnittelemalla tietokanta-arkistosi k\u00e4ytt\u00e4m\u00e4ll\u00e4 muuttumatonta tallennustilaa vaatimustenmukaisuustilassa, riist\u00e4t hy\u00f6kk\u00e4\u00e4jilt\u00e4 heid\u00e4n ensisijaisen vipuvartensa. K\u00e4ytitp\u00e4 sitten natiiveja pilvirajapintoja, ZFS-pitoja tai yritystason orkestrointialustaa kuten CloudSavea, WORM-tallennustilan toteuttaminen ei ole en\u00e4\u00e4 valinnaista \u2013 se on modernin tietokannan hallinnan ja katastrofipalautuksen pakollinen pilari.<\/p>\n","protected":false},"excerpt":{"rendered":" ** Learn how to protect enterprise database archives from ransomware using immutable storage. Discover technical implementation steps for AWS S3 Object Lock, ZFS, PostgreSQL, and SQL Server.<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"rank_math_title":"Immutable Database Storage to Defeat Ransomware","rank_math_description":"** Learn how to protect enterprise database archives from ransomware using immutable storage. Discover technical implementation steps for AWS S3 Object Lock, ZFS, PostgreSQL, and SQL Server.","rank_math_focus_keyword":"immutable database storage","footnotes":""},"categories":[423],"tags":[4595,4596,4597,1291,4598,4599],"class_list":["post-6365","post","type-post","status-publish","format-standard","hentry","category-database-backup","tag-3-2-1-1-backup","tag-data-survivability","tag-database-archives","tag-enterprise-backup","tag-immutable-storage","tag-ransomware-protection"],"yoast_head":"\nMuuttumattoman tallennustilan mekaniikka<\/h2>\n
Vaatimustenmukaisuustila vs. hallintotila<\/h3>\n
\n
s3:BypassGovernanceRetention<\/code>), voivat kuitenkin ohittaa lukituksen. T\u00e4m\u00e4 on hy\u00f6dyllist\u00e4 testaamiseen, mutta riitt\u00e4m\u00e4t\u00f6nt\u00e4 kiristyshaittaohjelmien torjuntaan<\/strong>, sill\u00e4 hy\u00f6kk\u00e4\u00e4j\u00e4t nostavat usein k\u00e4ytt\u00f6oikeuksiaan verkon yll\u00e4pit\u00e4jiksi tai p\u00e4\u00e4k\u00e4ytt\u00e4jiksi.<\/li>\nMuuttumattoman varmuuskopiointiputken suunnittelu<\/h2>\n
.mdf<\/code>\/.ldf<\/code>-tiedostot tai PostgreSQL:n pg_data<\/code>-hakemisto), koska tietokannat vaativat jatkuvaa luku- ja kirjoitusoikeutta.<\/p>\n
\n1. T\u00e4ydet ja differentiaaliset varmuuskopiotiedostot:<\/strong> Tietokannan perusotokset.
\n2. Transaktiolokit \/ WAL-tiedostot:<\/strong> Jatkuva tietokantamuutosten virta, joka tarvitaan ajankohtaan perustuvaan palautukseen (PITR).<\/p>\nMuuttumattomuuden tallennuskohteet<\/h3>\n
\n* Pilvipohjainen objektitallennus:<\/strong> AWS S3 Object Lock, Azure Blob Immutable Storage, Google Cloud Storage Retention Policies.
\n* Paikallinen objektitallennus:<\/strong> MinIO, Cloudian tai Pure Storage FlashBlade, jotka tukevat S3 Object Lock -rajapintoja.
\n* Lohko-\/tiedostotallennus:<\/strong> ZFS, jossa on vain luku -tilannevedokset ja delegoitu hallinta, tai Linux-tiedostom\u00e4\u00e4ritteet.<\/p>\nMuuttumattoman tallennustilan toteutus: Tekniset l\u00e4pik\u00e4ynnit<\/h2>\n
1. Pilvipohjainen objektitallennus: AWS S3 Object Lock<\/h3>\n
aws s3api create-bucket \n --bucket prod-db-archive-immutable \n --region us-east-1 \n --object-lock-enabled-for-bucket\n<\/code><\/pre>\naws s3api put-object-lock-configuration \n --bucket prod-db-archive-immutable \n --object-lock-configuration '{\n "ObjectLockEnabled": "Enabled",\n "Rule": {\n "DefaultRetention": {\n "Mode": "COMPLIANCE",\n "Days": 30\n }\n }\n }'\n<\/code><\/pre>\nRetain Until Date<\/code> -p\u00e4iv\u00e4m\u00e4\u00e4r\u00e4n objektin luontiajan ja 30 p\u00e4iv\u00e4n perusteella.<\/p>\n2. Paikallinen muuttumattomuus: ZFS ja Linux-m\u00e4\u00e4ritteet<\/h3>\n
chattr<\/code>-komennolla tai todellisen muuttumattomuuden ZFS-tilannevedoksilla.<\/p>\nchattr<\/code> -komennon k\u00e4ytt\u00f6:<\/strong>
\n+i<\/code> (immutable) -lippu est\u00e4\u00e4 tiedoston muokkaamisen, poistamisen tai nime\u00e4misen uudelleen.<\/p>\n# Vedosta tietokanta\npg_dump -U postgres -Fc mydb > \/backups\/mydb_$(date +%F).dump\n\n# Tee varmuuskopiosta muuttumaton\nsudo chattr +i \/backups\/mydb_$(date +%F).dump\n\n# Vahvista m\u00e4\u00e4rite\nlsattr \/backups\/mydb_$(date +%F).dump\n# Tuloste: ----i---------e------- \/backups\/mydb_2023-10-27.dump\n<\/code><\/pre>\nchattr<\/code> pys\u00e4ytt\u00e4\u00e4 perusluontoiset kiristyshaittaohjelmat, kokenut hy\u00f6kk\u00e4\u00e4j\u00e4, jolla on p\u00e4\u00e4k\u00e4ytt\u00e4j\u00e4n oikeudet, voi yksinkertaisesti ajaa chattr -i<\/code>. Siksi t\u00e4m\u00e4 on yhdistett\u00e4v\u00e4 tiukkaan roolipohjaiseen p\u00e4\u00e4synhallintaan (RBAC) ja eristettyihin varmuuskopioverkkoihin.<\/em><\/p>\n
\nZFS tarjoaa huomattavasti vahvemman suojan. Ottamalla tilannevedoksen ja asettamalla sille \u201dpidon\u201d (hold), est\u00e4t tilannevedoksen tuhoamisen.<\/p>\n# Ota tilannevedos varmuuskopiojoukosta\nzfs snapshot tank\/db_backups@archive_$(date +%F)\n\n# Aseta pito tilannevedokselle poistamisen est\u00e4miseksi\nzfs hold keep_30_days tank\/db_backups@archive_$(date +%F)\n\n# Edes p\u00e4\u00e4k\u00e4ytt\u00e4j\u00e4 ei voi tuhota t\u00e4t\u00e4 tilannevedosta vapauttamatta pitoa\nzfs destroy tank\/db_backups@archive_$(date +%F)\n# Tuloste: cannot destroy 'tank\/db_backups@archive_...': dataset is busy\n<\/code><\/pre>\nTietokantakohtaiset arkistointistrategiat<\/h2>\n
PostgreSQL WAL-arkistointi pgBackRestill\u00e4<\/h3>\n
pgBackRest<\/code> on eritt\u00e4in luotettava varmuuskopiointity\u00f6kalu PostgreSQL:lle, joka tukee natiivisti S3-yhteensopivaa tallennustilaa. Suojataksesi Write-Ahead-lokisi (WAL), m\u00e4\u00e4rit\u00e4 pgBackRest<\/code> siirt\u00e4m\u00e4\u00e4n tiedot suoraan muuttumattomaan S3-s\u00e4ili\u00f6\u00f6n.<\/p>\npgbackrest.conf<\/code>:<\/p>\n[global]\nrepo1-type=s3\nrepo1-s3-bucket=prod-db-archive-immutable\nrepo1-s3-region=us-east-1\nrepo1-s3-endpoint=s3.amazonaws.com\nrepo1-s3-key=AKIAIOSFODNN7EXAMPLE\nrepo1-s3-key-secret=wJalrXUtnFEMI\/K7MDENG\/bPxRfiCYEXAMPLEKEY\n\n# Varmista, ett\u00e4 s\u00e4ilytys vastaa S3 Object Lock -m\u00e4\u00e4rityksi\u00e4\nrepo1-retention-full=2\nrepo1-retention-archive=2\n\n[prod_cluster]\npg1-path=\/var\/lib\/postgresql\/14\/main\n<\/code><\/pre>\npgBackRest<\/code> yritt\u00e4\u00e4 vanhentaa ja poistaa WAL-tiedostoja 14 p\u00e4iv\u00e4n kuluttua repo1-retention-archive<\/code>-asetuksen perusteella, poiston API-kutsut ep\u00e4onnistuvat. Varmista, ett\u00e4 varmuuskopiointiohjelmistosi s\u00e4ilytysk\u00e4yt\u00e4nt\u00f6 on v\u00e4hint\u00e4\u00e4n yht\u00e4 pitk\u00e4 kuin tallennustason muuttumaton lukitus.<\/p>\nMicrosoft SQL Server: Varmuuskopiointi URL-osoitteeseen<\/h3>\n
.bak<\/code>– ja .trn<\/code>-tiedostot suoraan muuttumattomaan s\u00e4ili\u00f6\u00f6n.<\/p>\nCREATE CREDENTIAL [s3:\/\/prod-db-archive-immutable.s3.us-east-1.amazonaws.com]\nWITH IDENTITY = 'S3 Access Key',\nSECRET = 'AccessKeyID:SecretAccessKey';\nGO\n\nBACKUP DATABASE [ProductionDB]\nTO URL = 's3:\/\/prod-db-archive-immutable.s3.us-east-1.amazonaws.com\/ProductionDB_Full.bak'\nWITH FORMAT, COMPRESSION, STATS = 10;\nGO\n<\/code><\/pre>\nAutomatisointi ja orkestrointi CloudSavella<\/h2>\n
\n1. Alusta hoitaa automaattisesti VSS-valmiustilan (Volume Shadow Copy Service) SQL Serverille tai pg_start_backup()<\/code>-rajapinnan PostgreSQL:lle.
\n2. Se suoratoistaa duplikoimattoman, salatun varmuuskopiodatan suoraan tallennuskohteeseen.
\n3. CloudSave soveltaa dynaamisesti WORM API -kutsuja (esim. PutObjectRetention<\/code>) objektikohtaisesti, kohdistaen tallennuslukituksen keston t\u00e4ydellisesti k\u00e4yt\u00e4nn\u00f6n m\u00e4\u00e4rittelem\u00e4\u00e4n s\u00e4ilytysaikatauluun.
\n4. Jos hy\u00f6kk\u00e4\u00e4j\u00e4 vaarantaa CloudSave-hallintakonsolin, h\u00e4n ei silti voi poistaa varmuuskopioita, koska vaatimustenmukaisuuslukitus on taustalla olevan tallennusinfrastruktuurin, ei varmuuskopiointiohjelmiston, pakottama.<\/p>\nParhaat k\u00e4yt\u00e4nn\u00f6t muuttumattomille tietokanta-arkistoille<\/h2>\n
1. Tiukka NTP-synkronointi<\/h3>\n
2. IAM-roolien ja tunnistetietojen erist\u00e4minen<\/h3>\n
s3:PutObject<\/code>– ja s3:PutObjectRetention<\/code>-oikeudet. Niill\u00e4 ei saa koskaan<\/strong> olla s3:DeleteObject<\/code>– tai s3:PutBucketObjectLockConfiguration<\/code>-oikeuksia.<\/p>\n{\n "Version": "2012-10-17",\n "Statement": [\n {\n "Effect": "Allow",\n "Action": [\n "s3:PutObject",\n "s3:GetBucketObjectLockConfiguration"\n ],\n "Resource": [\n "arn:aws:s3:::prod-db-archive-immutable",\n "arn:aws:s3:::prod-db-archive-immutable\/*"\n ]\n }\n ]\n}\n<\/code><\/pre>\n3. S\u00e4ilytysajan mitoitus<\/h3>\n
\nK\u00e4yt\u00e4 sen sijaan porrastettua l\u00e4hestymistapaa:
\n* Operatiivinen palautustaso:<\/strong> 14\u201330 p\u00e4iv\u00e4n muuttumaton s\u00e4ilytys t\u00e4ysille varmuuskopioille ja lokeille.
\n* Pitk\u00e4aikainen arkistointitaso:<\/strong> Kuukausittaiset t\u00e4ydet varmuuskopiot siirret\u00e4\u00e4n Glacier\/Deep Archive -tilaan Vault Lockilla 1\u20137 vuodeksi.<\/p>\n4. S\u00e4\u00e4nn\u00f6llinen palautustestaus eristetyiss\u00e4 VPC-verkoissa<\/h3>\n
DBCC CHECKDB<\/code> (SQL Server) tai pg_amcheck<\/code> (PostgreSQL) palautetulle datalle rakenteellisen eheyden tarkistamiseksi.<\/p>\nJohtop\u00e4\u00e4t\u00f6s<\/h2>\n