V sodobnem okolju gro\u017eenj se je izsiljevalska programska oprema (ransomware) razvila od oportunisti\u010dnega \u0161ifriranja do visoko usmerjenih kampanj z ve\u010dkratnim izsiljevanjem. Napredne vztrajne gro\u017enje (APT) in sindikati izsiljevalske programske opreme zdaj med svojim bivanjem v omre\u017eju aktivno i\u0161\u010dejo varnostno infrastrukturo in arhive baz podatkov. \u010ce napadalec ogrozi va\u0161o primarno bazo podatkov in hkrati izbri\u0161e ali \u0161ifrira va\u0161e varnostne kopije, se va\u0161a organizacija soo\u010di s katastrofalno izgubo podatkov.<\/p>\n
Za skrbnike baz podatkov (DBA) in DevOps in\u017eenirje tradicionalna strategija varnostnega kopiranja 3-2-1 ni ve\u010d zadostna. Da bi zagotovili pre\u017eivetje podatkov, morajo infrastrukturne ekipe sprejeti pravilo 3-2-1-1, kjer zadnja “1” predstavlja nespremenljivo (imutable) shranjevanje<\/strong>.<\/p>\n Ta \u010dlanek ponuja celovit, tehni\u010dno poglobljen pregled na\u010drtovanja, implementacije in upravljanja nespremenljivega shranjevanja za arhive baz podatkov, da se zagotovi absolutna odpornost na izsiljevalsko programsko opremo.<\/p>\n Nespremenljivo shranjevanje temelji na arhitekturi “zapi\u0161i enkrat, beri ve\u010dkrat” (WORM). Ko so podatki zapisani na nespremenljiv cilj, jih noben uporabnik \u2013 vklju\u010dno s skrbniki s korenskimi (root) privilegiji ali ogro\u017eenimi servisnimi ra\u010duni \u2013 ne more spremeniti, \u0161ifrirati ali izbrisati, dokler ne pote\u010de matemati\u010dno uveljavljena \u010dasovna klju\u010davnica.<\/p>\n Pri implementaciji nespremenljivosti, zlasti v objektno shranjevanje v oblaku, kot so AWS S3, Azure Blob ali S3-zdru\u017eljivi lokalni (on-premises) SAN sistemi, morate razumeti razliko med na\u010dinoma hrambe:<\/p>\n Robustna arhitektura arhiviranja baz podatkov lo\u010duje aktivne operacije baze podatkov od nespremenljive arhivske ravni. Nespremenljivosti ne morete uporabiti za aktivne datoteke baz podatkov (kot so Namesto tega se nespremenljivost uporablja za: Nespremenljivo shranjevanje lahko implementirate na razli\u010dnih infrastrukturnih ravneh: Za za\u0161\u010dito izvozov baz podatkov in transakcijskih dnevnikov v AWS morate ob ustvarjanju vedra (bucket) omogo\u010diti Object Lock.<\/p>\n Najprej ustvarite vedro z omogo\u010denim Object Lock:<\/p>\n Nato konfigurirajte privzeto politiko hrambe. Za arhive baz podatkov je 30-dnevna klju\u010davnica skladnosti standardna osnova, ki zagotavlja, da imate mesec dni nespremenljivih varnostnih kopij.<\/p>\n Ko va\u0161 skript ali agent za varnostno kopiranje baze podatkov potisne datoteko v to vedro, S3 samodejno izra\u010duna \u010ce arhivirate baze podatkov na lokalni Linux stre\u017enik za varnostno kopiranje, lahko dose\u017eete psevdo-nespremenljivost z ukazom Uporaba Linux Opomba: \u010ceprav Uporaba ZFS posnetkov:<\/strong> Za doseganje obnovitve na dolo\u010den \u010dasovni trenutek (PITR) morate nenehno arhivirati transakcijske dnevnike v svoje nespremenljivo shranjevanje.<\/p>\n V va\u0161i Klju\u010dni premislek:<\/em> \u010ce va\u0161e S3 vedro uveljavlja 30-dnevno klju\u010davnico skladnosti, vendar SQL Server podpira izvorno varnostno kopiranje neposredno v S3-zdru\u017eljivo objektno shranjevanje. Opravilo SQL Server Agent lahko konfigurirate tako, da zapisuje Upravljanje nespremenljivih zastavic hrambe, rotiranje dostopnih klju\u010dev in zagotavljanje sinhronizacije med politikami hrambe baz podatkov ter klju\u010davnicami shranjevanja prek skriptov je zelo nagnjeno k napakam. Ena sama napa\u010dna konfiguracija v cron opravilu ali API klicu lahko pusti va\u0161e arhive izpostavljene ali povzro\u010di vrtoglave stro\u0161ke shranjevanja v oblaku zaradi osirotelih, zaklenjenih objektov.<\/p>\n Podjetni\u0161ke platforme za varnostno kopiranje, kot je CloudSave, poenostavljajo to arhitekturo. CloudSave se izvorno integrira z AWS S3 Object Lock, Azure Blob Immutable Storage in lokalnimi S3-zdru\u017eljivimi API-ji.<\/p>\n Pri konfiguraciji na\u010drta varnostnega kopiranja baze podatkov v CloudSave: Da zagotovite, da je va\u0161a nespremenljiva arhitektura resni\u010dno odporna, upo\u0161tevajte naslednje sistemske in\u017eenirske najbolj\u0161e prakse:<\/p>\n Nespremenljive klju\u010davnice so matemati\u010dno vezane na \u010dasovne \u017eige. \u010ce je storitev NTP (Network Time Protocol) na va\u0161em shranjevalnem polju ali stre\u017eniku za varnostno kopiranje ogro\u017eena ali zamaknjena, lahko povzro\u010di, da klju\u010davnice pote\u010dejo prezgodaj ali sploh ne pote\u010dejo. Zagotovite, da va\u0161a shranjevalna infrastruktura uporablja preverjene, redundantne NTP vire.<\/p>\n Poverilnice, ki se uporabljajo za pisanje v nespremenljivo vedro, morajo imeti samo dovoljenja Primer IAM politike z najmanj\u0161imi privilegiji za agenta varnostnega kopiranja baze podatkov:<\/p>\n Ne nastavljajte klju\u010davnic skladnosti za pretirano dolga obdobja (npr. 7 let za skladnost) na va\u0161i primarni ravni za hitro obnovitev. Baze podatkov ustvarjajo ogromne koli\u010dine WAL\/transakcijskih dnevnikov. Zaklepanje teh podatkov za leta bo povzro\u010dilo eksponentno rast stro\u0161kov shranjevanja. Nespremenljivost zagotavlja, da podatkov ni mogo\u010de izbrisati, vendar ne zagotavlja, da so podatki brez logi\u010dne korupcije. Avtomatizirati morate obnovitev va\u0161ih nespremenljivih arhivov baz podatkov v izoliran, “air-gapped” VPC ali VLAN. Za\u017eenite Obramba pred izsiljevalsko programsko opremo je vaja v predpostavki vdora. Do trenutka, ko se v va\u0161em SIEM sistemu spro\u017ei opozorilo, so gro\u017enje verjetno \u017ee posku\u0161ale ogroziti va\u0161o infrastrukturo za varnostno kopiranje. Z na\u010drtovanjem arhivov baz podatkov z uporabo nespremenljivega shranjevanja v na\u010dinu skladnosti napadalcem odvzamete njihov glavni vzvod. Ne glede na to, ali uporabljate izvorne API-je v oblaku, ZFS zadr\u017eanja ali platformo za orkestracijo podjetni\u0161kega razreda, kot je CloudSave, implementacija WORM shranjevanja ni ve\u010d neobvezna \u2013 je obvezen steber sodobnega upravljanja baz podatkov in obnavljanja po nesre\u010dah.<\/p>\n","protected":false},"excerpt":{"rendered":" ** Learn how to protect enterprise database archives from ransomware using immutable storage. Discover technical implementation steps for AWS S3 Object Lock, ZFS, PostgreSQL, and SQL Server.<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"rank_math_title":"Immutable Database Storage to Defeat Ransomware","rank_math_description":"** Learn how to protect enterprise database archives from ransomware using immutable storage. Discover technical implementation steps for AWS S3 Object Lock, ZFS, PostgreSQL, and SQL Server.","rank_math_focus_keyword":"immutable database storage","footnotes":""},"categories":[679],"tags":[4755,4756,4757,1355,4758,4759],"class_list":["post-6402","post","type-post","status-publish","format-standard","hentry","category-database-backup","tag-3-2-1-1-backup","tag-data-survivability","tag-database-archives","tag-enterprise-backup","tag-immutable-storage","tag-ransomware-protection"],"yoast_head":"\nMehanika nespremenljivega shranjevanja<\/h2>\n
Na\u010din skladnosti (Compliance Mode) proti na\u010dinu upravljanja (Governance Mode)<\/h3>\n
\n
s3:BypassGovernanceRetention<\/code>) zaobidejo klju\u010davnico. To je uporabno za testiranje, vendar nezadostno za za\u0161\u010dito pred izsiljevalsko programsko opremo<\/strong>, saj napadalci pogosto pridobijo povi\u0161ane privilegije do domenskega skrbnika ali root uporabnika.<\/li>\nNa\u010drtovanje nespremenljivega cevovoda za varnostno kopiranje<\/h2>\n
.mdf<\/code>\/.ldf<\/code> v SQL Serverju ali imenik pg_data<\/code> v PostgreSQL), ker baze podatkov zahtevajo stalen dostop za branje\/pisanje.<\/p>\n
\n1. Datoteke polnih in diferencialnih varnostnih kopij:<\/strong> Osnovni posnetki baze podatkov.
\n2. Transakcijski dnevniki \/ WAL datoteke:<\/strong> Neprekinjen tok sprememb baze podatkov, potreben za obnovitev na dolo\u010den \u010dasovni trenutek (PITR).<\/p>\nCilji shranjevanja za nespremenljivost<\/h3>\n
\n* Objektno shranjevanje v oblaku:<\/strong> AWS S3 Object Lock, Azure Blob Immutable Storage, Google Cloud Storage Retention Policies.
\n* Lokalno objektno shranjevanje:<\/strong> MinIO, Cloudian ali Pure Storage FlashBlade, ki podpirajo S3 Object Lock API-je.
\n* Blokovno\/datote\u010dno shranjevanje:<\/strong> ZFS s posnetki (snapshots) samo za branje in delegiranim upravljanjem ali atributi datotek Linux.<\/p>\nImplementacija nespremenljivega shranjevanja: Tehni\u010dni primeri<\/h2>\n
1. Objektno shranjevanje v oblaku: AWS S3 Object Lock<\/h3>\n
aws s3api create-bucket \n --bucket prod-db-archive-immutable \n --region us-east-1 \n --object-lock-enabled-for-bucket\n<\/code><\/pre>\naws s3api put-object-lock-configuration \n --bucket prod-db-archive-immutable \n --object-lock-configuration '{\n "ObjectLockEnabled": "Enabled",\n "Rule": {\n "DefaultRetention": {\n "Mode": "COMPLIANCE",\n "Days": 30\n }\n }\n }'\n<\/code><\/pre>\nRetain Until Date<\/code> na podlagi \u010dasovnega \u017eiga ustvarjanja objekta plus 30 dni.<\/p>\n2. Lokalna nespremenljivost: ZFS in atributi Linux<\/h3>\n
chattr<\/code> ali pravo nespremenljivost z uporabo ZFS posnetkov.<\/p>\nchattr<\/code>:<\/strong>
\nZastavica +i<\/code> (nespremenljiv) prepre\u010duje spreminjanje, brisanje ali preimenovanje datoteke.<\/p>\n# Izvoz baze podatkov\npg_dump -U postgres -Fc mydb > \/backups\/mydb_$(date +%F).dump\n\n# Naredi varnostno kopijo nespremenljivo\nsudo chattr +i \/backups\/mydb_$(date +%F).dump\n\n# Preveri atribut\nlsattr \/backups\/mydb_$(date +%F).dump\n# Izpis: ----i---------e------- \/backups\/mydb_2023-10-27.dump\n<\/code><\/pre>\nchattr<\/code> ustavi osnovne skripte izsiljevalske programske opreme, lahko izku\u0161en napadalec s korenskim dostopom preprosto za\u017eene chattr -i<\/code>. Zato je treba to kombinirati s strogim RBAC in izoliranimi omre\u017eji za varnostno kopiranje.<\/em><\/p>\n
\nZFS zagotavlja veliko mo\u010dnej\u0161o obrambo. \u010ce posnamete posnetek in nanj postavite “zadr\u017eanje” (hold), prepre\u010dite, da bi bil posnetek uni\u010den.<\/p>\n# Naredi posnetek nabora podatkov varnostnih kopij\nzfs snapshot tank\/db_backups@archive_$(date +%F)\n\n# Postavi zadr\u017eanje na posnetek, da prepre\u010di\u0161 brisanje\nzfs hold keep_30_days tank\/db_backups@archive_$(date +%F)\n\n# Niti root ne more uni\u010diti tega posnetka brez sprostitve zadr\u017eanja\nzfs destroy tank\/db_backups@archive_$(date +%F)\n# Izpis: cannot destroy 'tank\/db_backups@archive_...': dataset is busy\n<\/code><\/pre>\nStrategije arhiviranja za specifi\u010dne baze podatkov<\/h2>\n
Arhiviranje PostgreSQL WAL s pgBackRest<\/h3>\n
pgBackRest<\/code> je zelo zanesljivo orodje za varnostno kopiranje za PostgreSQL, ki izvorno podpira S3-zdru\u017eljivo shranjevanje. Za za\u0161\u010dito va\u0161ih Write-Ahead dnevnikov (WAL) konfigurirajte pgBackRest<\/code> za neposredno po\u0161iljanje v va\u0161e nespremenljivo S3 vedro.<\/p>\npgbackrest.conf<\/code>:<\/p>\n[global]\nrepo1-type=s3\nrepo1-s3-bucket=prod-db-archive-immutable\nrepo1-s3-region=us-east-1\nrepo1-s3-endpoint=s3.amazonaws.com\nrepo1-s3-key=AKIAIOSFODNN7EXAMPLE\nrepo1-s3-key-secret=wJalrXUtnFEMI\/K7MDENG\/bPxRfiCYEXAMPLEKEY\n\n# Zagotovi, da se hramba ujema z va\u0161o konfiguracijo S3 Object Lock\nrepo1-retention-full=2\nrepo1-retention-archive=2\n\n[prod_cluster]\npg1-path=\/var\/lib\/postgresql\/14\/main\n<\/code><\/pre>\npgBackRest<\/code> posku\u0161a izbrisati WAL datoteke po 14 dneh na podlagi repo1-retention-archive<\/code>, bodo klici API-ja za brisanje neuspe\u0161ni. Zagotoviti morate, da je politika hrambe va\u0161e programske opreme za varnostno kopiranje ve\u010dja ali enaka nespremenljivi klju\u010davnici na ravni shranjevanja.<\/p>\nMicrosoft SQL Server: Varnostno kopiranje na URL<\/h3>\n
.bak<\/code> in .trn<\/code> datoteke neposredno v nespremenljivo vedro.<\/p>\nCREATE CREDENTIAL [s3:\/\/prod-db-archive-immutable.s3.us-east-1.amazonaws.com]\nWITH IDENTITY = 'S3 Access Key',\nSECRET = 'AccessKeyID:SecretAccessKey';\nGO\n\nBACKUP DATABASE [ProductionDB]\nTO URL = 's3:\/\/prod-db-archive-immutable.s3.us-east-1.amazonaws.com\/ProductionDB_Full.bak'\nWITH FORMAT, COMPRESSION, STATS = 10;\nGO\n<\/code><\/pre>\nAvtomatizacija in orkestracija s CloudSave<\/h2>\n
\n1. Platforma samodejno obravnava VSS (Volume Shadow Copy Service) mirovanje za SQL Server ali pg_start_backup()<\/code> API za PostgreSQL.
\n2. Pretaka deduplicirane, \u0161ifrirane podatke varnostne kopije neposredno na cilj shranjevanja.
\n3. CloudSave dinami\u010dno uporablja WORM API klice (npr. PutObjectRetention<\/code>) na ravni posameznega objekta, s \u010dimer popolnoma uskladi trajanje klju\u010davnice shranjevanja s politiko dolo\u010denega urnika hrambe.
\n4. \u010ce napadalec ogrozi nadzorno konzolo CloudSave, \u0161e vedno ne more izbrisati varnostnih kopij, saj klju\u010davnico skladnosti uveljavlja osnovna shranjevalna infrastruktura, ne programska oprema za varnostno kopiranje.<\/p>\nNajbolj\u0161e prakse za nespremenljive arhive baz podatkov<\/h2>\n
1. Stroga NTP sinhronizacija<\/h3>\n
2. Izolacija IAM vlog in poverilnic<\/h3>\n
s3:PutObject<\/code> in s3:PutObjectRetention<\/code>. Nikoli<\/strong> ne smejo imeti dovoljenj s3:DeleteObject<\/code> ali s3:PutBucketObjectLockConfiguration<\/code>.<\/p>\n{\n "Version": "2012-10-17",\n "Statement": [\n {\n "Effect": "Allow",\n "Action": [\n "s3:PutObject",\n "s3:GetBucketObjectLockConfiguration"\n ],\n "Resource": [\n "arn:aws:s3:::prod-db-archive-immutable",\n "arn:aws:s3:::prod-db-archive-immutable\/*"\n ]\n }\n ]\n}\n<\/code><\/pre>\n3. Dolo\u010danje obdobja hrambe<\/h3>\n
\nNamesto tega uporabite ve\u010dstopenjski pristop:
\n* Raven operativne obnovitve:<\/strong> 14 do 30 dni nespremenljive hrambe za polne varnostne kopije in dnevnike.
\n* Raven dolgoro\u010dnega arhiviranja:<\/strong> Mese\u010dne polne varnostne kopije, premaknjene v Glacier\/Deep Archive z Vault Lock za 1-7 let.<\/p>\n4. Redno testiranje obnovitve v izoliranih (air-gapped) VPC-jih<\/h3>\n
DBCC CHECKDB<\/code> (SQL Server) ali pg_amcheck<\/code> (PostgreSQL) na obnovljenih podatkih, da preverite strukturno celovitost.<\/p>\nZaklju\u010dek<\/h2>\n