HPE 力推 Zerto 資料備援方案, 大幅提升勒索軟體災後復原效率
2025-01-14 發表
隨著近年不斷上演的震撼教育,許多企業有所警覺,意識到除天災人禍外,舉凡勒索軟體攻擊,甚至地緣政治因素,皆可能導致主中心失效,意謂干擾正常營運的變數增多,驅使企業必須強化資料保護架構,力求最大限度縮短 RTO(Recovery Time Objective)和 RPO(Recovery Point Objective)。
在此前提下,若企業需從備份端倒回龐大資料量體,經過數天甚至數週才能恢復核心系統運行,時效上恐難迎合經營目標;畢竟臺灣企業處境特殊,往往位居全球供應鏈中重要位置,所以災難影響的不僅是自己、還包含上下游夥伴,茲事體大,絕對無法容忍過長的停機時間或過大的資料遺失部位。
足見唯有將勒索攻擊災後的復原時間縮短,才是資料保護的王道。以支援日誌型還原(Journal-Based Recovery)的 HPE Zerto 資料備援方案而論,有望讓災難復原時間驟降、幾分鐘內於異地端帶起高達 100TB 或更大資料,資料損失部份也僅限於 5 秒鐘,意謂企業就算遭遇勒索攻擊也不會傷筋動骨,投資價值顯而易見。
藉由日誌型保護,讓資料損失急縮為 5 秒
HPE 數據服務暨儲存方案事業群技術經理吳銘哲表示,一般來說企業資料保護分為備援、備份、歸檔三個層次,長期以來最常見的資料保護態樣,比較偏向備份層次。
所謂備份,即是當企業發生問題時,可倒回備份資料,達到繼續營運目的。但問題來了,現今企業資料量動輒上百 TB、甚至上千 TB,若按「每秒倒回 1~2 GB 資料已算非常多」的速度換算,回復時間勢必漫長。唯今之計,企業需要建立的是災難備援架構,即使主中心出問題,都能迅速從備援端重啟營運,而 Zerto 的主要訴求正是如此;尤其越是渴望提高復原速度的企業,Zerto 的運用價值就越高。
綜觀 Zerto 整體架構,其中蘊含兩大技術核心,一是「Orchestration & Automation」,不但支援 Multi-Cloud、Multi-Workload,且在設定過程中,企業服務無需配合中斷。二是「Continuous Data Protection」(連續資料保護),不僅標榜所有資料皆可隨時進行同步抄寫、災難保護,更強調支援 Journal-Based Recovery、Application Consistency Grouping,及長天期資料保留。
毋庸置疑,在上述核心技術中,最重要一環便是 Journal-Based Recovery 日誌型還原,意指它幾乎沒有還原時間點的限制。吳銘哲形容,傳統備份像是照相機,每隔 4 小時、12 小時、24 小時…拍一張相,間隔太長,導致資料損失頗大。反觀日誌型就如同錄影機或行車紀錄器,沿路執行記錄,假使 10:00:00 發生災難,便可在異地端倒帶至 9:59:55 狀態、就此重啟服務,資料損失僅 5 秒,不再是幾個小時或一整天。
難免有人認為,要做到日誌型資料保護,架構必定複雜,其實並非如此。Zerto 架構當中只有兩個元件需要安裝 一是 ZVM(Zerto Virtual Manager)、另一是 VRA(Virtual Replication Appliance)。假使企業採用 VMware 虛擬化方案,則需在每台 ESXi Server 各自安裝一個 VRA,再透過上層 ZVM 進行主控,一個 VMware 叢集,只需安裝一個 ZVM。而 Zerto 軟體更新過程也非常簡單,假使今天有新版 ZVM 軟體問世,便在 Zerto 管理介面上出現對應提示,此時用戶僅需壓下更新按鍵,即可輕鬆完成線上更新。
數據安全方舟,守護最後一道防線
HPE 數據服務暨儲存方案事業群,資深技術經理吳銘哲提醒用戶,執行資料保護的同時,務須確保「應用有效性復原」;切記縱使將資料抄寫到異地,也不保證服務一定起得來。例如今天 AD 意外失效,若想回復至昨日狀態,結局往往失敗,係因 AD 系統的還原點、與資料庫要透過 AD 認證的還原點不一致,導致服務帶不上來。
為此 Zerto 以群組方式來包裝應用服務、並予以統一管理。假設某一核心服務涵蓋 AP、Web、DB、File 等多台虛擬機, Zerto 可將這些虛擬機一併包裝為單一群組,執行同步抄寫,以消弭彼此時間落差,防止「資料看得到、服務卻帶不起來」的現象發生。
其餘技術重點,還包括了不在異地端顯示虛擬機,一來讓駭客看不到,無法進行破壞,達到更高安全性;二來因異地端平時不顯示虛擬機,等到災難回復時才帶起虛擬機,故可與主中心端共用同一個 VM 授權,省卻一半成本。此外包含支援 pRDM(由虛擬機直接存取 Disk)、不採用 VAIO(不採用VMware原生的 I/O 異動過濾模式)、日誌不落本地(前端有異動,就直接複製到異地端),加上加密行為偵測、支援多雲備援(含即時進行資料格式轉換)、任何時間皆可發動災難演練、可依標定順序開啟各項服務…等,都可謂亮點特色。
另值得一提,HPE 基於 Zerto 打造 Cyber Resilience Vault 數據安全方舟計畫,標榜能實現幾近 100% 的勒索軟體防護。其架構分 Production、Replication Target、Vault 三大塊;Production 環境的資料會經由公用網路傳到中繼的 Replication Target 災難備援區,在此執行加密偵測後,再透過底層 Alletra Storage MP 加密傳輸到 Vault 隔離區。
Vault 隔離區平時無對外網路,每隔 4 小時定時打開網路一次,藉由底層儲存 Alletra Storage MP 接收中繼區傳來的虛擬機與資料,完成後便關閉網路,據此構成一個安全的資料封閉環境;未來進入災難復原階段,此 Vault 才會開啟網路,接替 Production 環境直接提供服務。
數據安全方舟計畫 – 防駭客勒索軟體偵測及資料隔離保護
目前 HPE 已推出多種數據安全方舟配置,小從 100 TB 資料、100 個 VM 起跳,大到 1PB 資料、1,000 個 VM 規模。若企業要保護的虛擬機量較少,即便採用上述最小配置,仍有 Over Spec 之虞,便可考慮採用由 HPE 與中華電信合作推出的災難備援方案,它屬於多租戶架構,即便企業僅想保護較少虛擬機,都在適用範圍之內。
實際案例參考 : 零售通路業者導入HPE Zerto 快速提升資料保護與災難復原韌性
Zerto 影片介紹 : HPE Zerto 強化企業資料中心災難復原能力的最佳選擇
敦新科技為 HPE 伺服器及儲存設備的專業代理商,提供 IT 投資解決方案幫助客戶轉型數位化業務,協助 HPE 經銷夥伴專業銷售,凝聚從基礎架構建置到儲存設備,以及資料安全到專業服務的全面銷售能力。最新各種機種及 HPE 專業服務,歡迎洽詢 HPE 事業部: 02-8978-5386,或造訪: www.dawningtech.com.tw。