Sa tírdhreach bagairtí nua-aimseartha, tá an ransomware tar éis athrú ó chriptiú ócáideach go feachtais an-spriocdhírithe, il-éigeantais. Tá Bagairtí Leanúnacha Ardleibhéil (APTs) agus sindicáití ransomware anois ag fiach go gníomhach ar bhonneagar cúltaca agus cartlanna bunachar sonraí le linn a gcuid ama cónaithe. Má dhéanann ionsaitheoir do phríomhbhunachar sonraí a chur i mbaol agus ag an am céanna do stórtha cúltaca a scriosadh nó a chriptiú, tá caillteanas tubaisteach sonraí roimh d’eagraíocht.
Do Riarthóirí Bunachar Sonraí (DBAs) agus innealtóirí DevOps, ní leor an straitéis cúltaca traidisiúnta 3-2-1 a thuilleadh. Chun marthanacht sonraí a ráthú, ní mór d’fhoirne bonneagair an riail 3-2-1-1 a ghlacadh, áit a seasann an “1” deiridh do stóráil dho-athraithe (immutable storage).
Soláthraíonn an t-alt seo tumadh domhain teicniúil cuimsitheach isteach i bpleanáil, cur i bhfeidhm, agus bainistiú stórála do-athraithe do chartlanna bunachar sonraí chun athléimneacht iomlán i gcoinne ransomware a chinntiú.
Meicnic na Stórála Do-athraithe
Braitheann stóráil dho-athraithe ar ailtireacht Scríobh-Uair-Léigh-Go-Leor (WORM). Nuair a scríobhtar sonraí chuig sprioc dho-athraithe, ní féidir iad a mhodhnú, a chriptiú, nó a scriosadh ag aon úsáideoir—lena n-áirítear riarthóirí a bhfuil pribhléidí fréimhe acu nó cuntais seirbhíse atá curtha i mbaol—go dtí go rachaidh glas ama atá forfheidhmithe go matamaiticiúil in éag.
Mód Comhlíonta vs. Mód Rialachais
Agus do-athraitheacht á cur i bhfeidhm, go háirithe i stóráil réad scamall (cloud object storage) ar nós AWS S3, Azure Blob, nó SANanna ar an láthair atá comhoiriúnach le S3, ní mór duit an difríocht idir na modhanna coinneála a thuiscint:
- Mód Rialachais (Governance Mode): Coscann sé úsáideoirí caighdeánacha ó réada a scriosadh nó a athrú. Mar sin féin, is féidir le húsáideoirí a bhfuil ceadanna IAM sonracha acu (m.sh.,
s3:BypassGovernanceRetention) an glas a shárú. Tá sé seo úsáideach le haghaidh tástála ach ní leor é le haghaidh cosaint ransomware, mar is minic a ardaíonn ionsaitheoirí pribhléidí go riarthóir fearainn nó fréamh. - Mód Comhlíonta (Compliance Mode): An caighdeán óir do chosaint ransomware. Nuair a ghlasáiltear réad i Mód Comhlíonta, ní féidir a thréimhse coinneála a ghiorrú, agus ní féidir an réad a scriosadh ag aon duine, lena n-áirítear cuntas fréimhe AWS. Forfheidhmítear an glas ag leibhéal an chnuasaigh stórála.
Ailtireacht Píblíne Cúltaca Do-athraithe
Scarann ailtireacht láidir cartlannaithe bunachar sonraí oibríochtaí gníomhacha bunachar sonraí ón tsraith chartlainne dho-athraithe. Ní féidir leat do-athraitheacht a chur i bhfeidhm ar chomhaid bunachar sonraí gníomhacha (cosúil le .mdf/.ldf in SQL Server nó an eolaire pg_data i PostgreSQL) toisc go dteastaíonn rochtain leanúnach léitheoireachta/scríbhneoireachta ó bhunachair sonraí.
Ina áit sin, cuirtear do-athraitheacht i bhfeidhm ar:
1. Comhaid Cúltaca Iomlána agus Difreálacha: Na snapshots bunlíne den bhunachar sonraí.
2. Logaí Idirbhirt / Comhaid WAL: An sruth leanúnach d’athruithe bunachar sonraí atá riachtanach le haghaidh Aisghabháil go Pointe Ama (PITR).
Spriocanna Stórála le haghaidh Do-athraitheachta
Is féidir leat stóráil dho-athraithe a chur i bhfeidhm thar shraitheanna bonneagair éagsúla:
* Stóráil Réad Scamall: AWS S3 Object Lock, Azure Blob Immutable Storage, Polasaithe Coinneála Google Cloud Storage.
* Stóráil Réad ar an Láthair: MinIO, Cloudian, nó Pure Storage FlashBlade a thacaíonn le APIanna S3 Object Lock.
* Stóráil Bloc/Comhad: ZFS le snapshots inléite amháin agus riarachán tarmligthe, nó tréithe comhaid Linux.
Cur i bhFeidhm Stórála Do-athraithe: Treoracha Teicniúla
1. Stóráil Réad Scamall: AWS S3 Object Lock
Chun dumpanna bunachar sonraí agus logaí idirbhirt a chosaint in AWS, ní mór duit Object Lock a chumasú tráth cruthú an bhuicéid.
Ar dtús, cruthaigh an buicéad le Object Lock cumasaithe:
aws s3api create-bucket
--bucket prod-db-archive-immutable
--region us-east-1
--object-lock-enabled-for-bucket
Ansin, cumraigh an polasaí coinneála réamhshocraithe. Le haghaidh cartlanna bunachar sonraí, is bunlíne chaighdeánach é glas comhlíonta 30 lá, ag cinntiú go bhfuil mí de chúltacaí do-athraithe agat.
aws s3api put-object-lock-configuration
--bucket prod-db-archive-immutable
--object-lock-configuration '{
"ObjectLockEnabled": "Enabled",
"Rule": {
"DefaultRetention": {
"Mode": "COMPLIANCE",
"Days": 30
}
}
}'
Nuair a bhrúnn do script nó gníomhaire cúltaca bunachar sonraí comhad chuig an mbuicéad seo, ríomhann S3 go huathoibríoch an Retain Until Date bunaithe ar stampa ama cruthú an réada móide 30 lá.
2. Do-athraitheacht ar an Láthair: ZFS agus Tréithe Linux
Má tá tú ag cartlannú bunachar sonraí chuig freastalaí cúltaca Linux ar an láthair, is féidir leat pseudo-do-athraitheacht a bhaint amach ag baint úsáide as an ordú chattr, nó fíor-dho-athraitheacht ag baint úsáide as snapshots ZFS.
Ag baint úsáide as Linux chattr:
Coscann an bratach +i (do-athraithe) comhad a mhodhnú, a scriosadh, nó a athainmniú.
# Dumpáil an bunachar sonraí
pg_dump -U postgres -Fc mydb > /backups/mydb_$(date +%F).dump
# Déan an cúltaca do-athraithe
sudo chattr +i /backups/mydb_$(date +%F).dump
# Fíoraigh an tréith
lsattr /backups/mydb_$(date +%F).dump
# Aschur: ----i---------e------- /backups/mydb_2023-10-27.dump
Nóta: Cé go stopann chattr scripteanna bunúsacha ransomware, is féidir le hionsaitheoir sofaisticiúil a bhfuil rochtain fréimhe aige chattr -i a rith go simplí. Dá bhrí sin, ní mór é seo a chomhcheangal le RBAC dian agus líonraí cúltaca scoite.
Ag baint úsáide as ZFS Snapshots:
Soláthraíonn ZFS cosaint i bhfad níos láidre. Trí snapshot a thógáil agus “sealbhú” (hold) a chur air, cuireann tú cosc ar an snapshot a scriosadh.
# Tóg snapshot den tacar sonraí cúltaca
zfs snapshot tank/db_backups@archive_$(date +%F)
# Cuir sealbhú ar an snapshot chun cosc a chur ar scriosadh
zfs hold keep_30_days tank/db_backups@archive_$(date +%F)
# Ní féidir fiú leis an bhfréamh an snapshot seo a scriosadh gan an sealbhú a scaoileadh
zfs destroy tank/db_backups@archive_$(date +%F)
# Aschur: cannot destroy 'tank/db_backups@archive_...': dataset is busy
Straitéisí Cartlannaithe Bunachar Sonraí-Sonracha
Chun Aisghabháil go Pointe Ama (PITR) a bhaint amach, ní mór duit logaí idirbhirt a chartlannú go leanúnach chuig do stóráil dho-athraithe.
Cartlannú WAL PostgreSQL le pgBackRest
Is uirlis chúltaca an-iontaofa é pgBackRest do PostgreSQL a thacaíonn go dúchais le stóráil atá comhoiriúnach le S3. Chun do Logaí Write-Ahead (WAL) a chosaint, cumraigh pgBackRest chun brú go díreach chuig do bhuicéad S3 do-athraithe.
I do pgbackrest.conf:
[global]
repo1-type=s3
repo1-s3-bucket=prod-db-archive-immutable
repo1-s3-region=us-east-1
repo1-s3-endpoint=s3.amazonaws.com
repo1-s3-key=AKIAIOSFODNN7EXAMPLE
repo1-s3-key-secret=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
# Cinntigh go bhfuil an choinneáil ailínithe le do chumraíocht S3 Object Lock
repo1-retention-full=2
repo1-retention-archive=2
[prod_cluster]
pg1-path=/var/lib/postgresql/14/main
Breithniú ríthábhachtach: Má fhorfheidhmíonn do bhuicéad S3 glas Comhlíonta 30 lá, ach má dhéanann pgBackRest iarracht logaí WAL a dhul in éag agus a scriosadh tar éis 14 lá bunaithe ar repo1-retention-archive, teipfidh ar na glaonna API scriosadh. Ní mór duit a chinntiú go bhfuil polasaí coinneála do bhogearraí cúltaca níos mó ná nó cothrom leis an nglas do-athraithe ag leibhéal na stórála.
Microsoft SQL Server: Cúltaca chuig URL
Tacaíonn SQL Server le cúltacaí dúchasacha go díreach chuig stóráil réad atá comhoiriúnach le S3. Is féidir leat post Gníomhaire SQL Server a chumrú chun comhaid .bak agus .trn a scríobh go díreach chuig buicéad do-athraithe.
CREATE CREDENTIAL [s3://prod-db-archive-immutable.s3.us-east-1.amazonaws.com]
WITH IDENTITY = 'S3 Access Key',
SECRET = 'AccessKeyID:SecretAccessKey';
GO
BACKUP DATABASE [ProductionDB]
TO URL = 's3://prod-db-archive-immutable.s3.us-east-1.amazonaws.com/ProductionDB_Full.bak'
WITH FORMAT, COMPRESSION, STATS = 10;
GO
Uathoibriú agus Ceolfhoireann le CloudSave
Tá bainistiú bratacha coinneála do-athraithe, eochracha rochtana a rothlú, agus sioncrónú a chinntiú idir polasaithe coinneála bunachar sonraí agus glais stórála trí scripteanna saincheaptha an-seans maith go hearráidí. Is féidir le mí-chumraíocht amháin i bpost cron nó glao API do chartlanna a fhágáil nochta nó a bheith ina chúis le costais stórála scamall ag ardú go tapa mar gheall ar réada glasáilte, fágtha ina ndiaidh.
Simplíonn ardáin chúltaca fiontair cosúil le CloudSave an ailtireacht seo. Comhtháthaíonn CloudSave go dúchais le AWS S3 Object Lock, Azure Blob Immutable Storage, agus APIanna atá comhoiriúnach le S3 ar an láthair.
Agus plean cúltaca bunachar sonraí á chumrú i CloudSave:
1. Láimhseálann an t-ardán go huathoibríoch an ciúnas VSS (Volume Shadow Copy Service) do SQL Server nó an API pg_start_backup() do PostgreSQL.
2. Sruthnaíonn sé na sonraí cúltaca dídhúbláilte, criptithe go díreach chuig an sprioc stórála.
3. Cuireann CloudSave na glaonna API WORM (m.sh., PutObjectRetention) i bhfeidhm go dinimiciúil ar bhonn in aghaidh an réada, ag ailíniú fad an ghlais stórála go foirfe leis an sceideal coinneála atá sainithe ag an bpolasaí.
4. Má chuireann ionsaitheoir an consól bainistíochta CloudSave i mbaol, ní féidir leo na cúltacaí a scriosadh fós, toisc go bhfuil an glas comhlíonta forfheidhmithe ag an mbonneagar stórála bunúsach, ní ag na bogearraí cúltaca.
Cleachtais is Fearr le haghaidh Cartlanna Bunachar Sonraí Do-athraithe
Chun a chinntiú go bhfuil d’ailtireacht dho-athraithe fíor-athléimneach, cloígh leis na cleachtais is fearr innealtóireachta córais seo a leanas:
1. Sioncrónú NTP Dian
Tá glais dho-athraithe ceangailte go matamaiticiúil le stampaí ama. Má chuirtear an tseirbhís NTP (Network Time Protocol) ar do chnuasach stórála nó ar do fhreastalaí cúltaca i mbaol nó má shleamhnaíonn sé, féadann sé a chur faoi deara go rachaidh glais in éag roimh am nó nach rachaidh siad in éag riamh. Cinntigh go n-úsáideann do bhonneagar stórála foinsí NTP fíordheimhnithe, iomarcacha.
2. Rólanna agus Dintiúir IAM a Scoitheadh
Ní mór ceadanna s3:PutObject agus s3:PutObjectRetention amháin a bheith ag na dintiúir a úsáidtear chun scríobh chuig an mbuicéad do-athraithe. Níor cheart go mbeadh ceadanna s3:DeleteObject nó s3:PutBucketObjectLockConfiguration acu riamh.
Sampla de pholasaí IAM íos-phribhléide do ghníomhaire cúltaca bunachar sonraí:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:PutObject",
"s3:GetBucketObjectLockConfiguration"
],
"Resource": [
"arn:aws:s3:::prod-db-archive-immutable",
"arn:aws:s3:::prod-db-archive-immutable/*"
]
}
]
}
3. Méid na Tréimhse Coinneála
Ná socraigh glais chomhlíonta ar feadh tréimhsí ró-fhada (m.sh., 7 mbliana le haghaidh comhlíonta) ar do phríomhshraith aisghabhála tapa. Gineann bunachair sonraí méideanna ollmhóra de shonraí loga WAL/idirbhirt. Má ghlasáiltear na sonraí seo ar feadh na mblianta beidh fás easpónantúil ar chostais stórála.
Ina áit sin, bain úsáid as cur chuige sraitheach:
* Sraith Aisghabhála Oibríochtúil: 14 go 30 lá de choinneáil dho-athraithe le haghaidh Iomláin agus Logaí.
* Sraith Cartlannaithe Fadtéarmach: Cúltacaí iomlána míosúla a aistríodh go Glacier/Deep Archive le Vault Lock ar feadh 1-7 mbliana.
4. Tástáil Aisghabhála Rialta i VPCanna Air-Gapped
Ráthaíonn do-athraitheacht nach féidir na sonraí a scriosadh, ach ní ráthaíonn sé go bhfuil na sonraí saor ó éilliú loighciúil. Ní mór duit aisghabháil do chartlanna bunachar sonraí do-athraithe a uathoibriú isteach i VPC nó VLAN scoite, air-gapped. Rith DBCC CHECKDB (SQL Server) nó pg_amcheck (PostgreSQL) ar na sonraí aisghafa chun sláine struchtúrach a fhíorú.
Conclúid
Is cleachtadh é cosaint ransomware ar bhriseadh a ghlacadh leis. Faoin am a lasann foláireamh i do SIEM, is dócha go bhfuil iarracht déanta ag gníomhaithe bagartha cheana féin do bhonneagar cúltaca a chur i mbaol. Trí do chartlanna bunachar sonraí a ailtireacht ag baint úsáide as stóráil dho-athraithe i Mód Comhlíonta, baineann tú an príomh-ghiaráil d’ionsaitheoirí. Cibé an n-úsáideann tú APIanna scamall dúchasacha, sealbhuithe ZFS, nó ardán ceolfhoirne fiontair cosúil le CloudSave, ní rogha é stóráil WORM a chur i bhfeidhm a thuilleadh—is colún éigeantach é de riarachán bunachar sonraí nua-aimseartha agus aisghabháil tubaiste.
