Sao lưu cách ly vật lý: Cách ly vật lý trong bảo vệ dữ liệu là gì?
Năm 2023, NCC Group báo cáo số vụ tấn công bằng phần mềm tống tiền tăng 84% đã ghi nhận 4.677 vụ việc, so với 2.531 vụ vào năm 2022. Đây là con số cao nhất mà họ từng ghi nhận. Với việc các mối đe dọa mạng ngày càng tinh vi, thường xuyên và khó phát hiện hơn, rõ ràng các phương pháp bảo vệ mạng phải không ngừng được cải tiến để bắt kịp xu hướng.
Các tổ chức đang tìm cách duy trì độ tin cậy của dữ liệu và tuân thủ quy định trước các mối đe dọa mạng mới nổi có thể triển khai một số biện pháp. Các biện pháp này có thể bao gồm việc áp dụng “air gapping” để củng cố chiến lược bảo vệ dữ liệu của họ. Đọc bài viết này để tìm hiểu “bản sao lưu air-gapped” là gì và cách bạn có thể sử dụng nó để thêm một lớp bảo vệ nữa cho dữ liệu của mình.
“Air-Gapped” có nghĩa là gì?
Air-gapped là một biện pháp bảo mật nhằm cách ly máy tính, thiết bị lưu trữ hoặc mạng để ngăn chặn việc thiết lập kết nối với bên ngoài. Ý tưởng chính đằng sau phương pháp air-gapping là hạn chế quyền truy cập. Để làm việc với dữ liệu trong một hệ thống air-gapped, bạn cần phải tiếp cận vật lý với thiết bị đang chạy hệ thống đó.
Các loại hệ thống Air-Gapped
Việc triển khai air gap có thể khác nhau tùy thuộc vào nhu cầu và mục tiêu của hạ tầng của bạn. Một số tổ chức chuyển dữ liệu đến và đi từ môi trường air-gapped thông qua các ổ đĩa tháo rời. Những tổ chức khác sử dụng các kết nối an toàn được thiết lập riêng cho các hoạt động liên quan đến dữ liệu air-gapped. Khái niệm này vẫn giữ nguyên trong mọi trường hợp – air gapping giúp thiết lập các giới hạn truy cập nghiêm ngặt cho các thiết bị và mạng cụ thể.
Có ba loại khoảng cách không khí chính:
Khoảng cách không khí vật lý
Khoảng cách không khí vật lý có nghĩa là ngắt kết nối một thiết bị khỏi các nút hoặc mạng khác. Không có kết nối cáp hoặc không dây, một máy có khoảng cách không khí sẽ không thể truy cập được từ các môi trường khác. Hơn nữa, một khoảng cách không khí vật lý “thực sự” liên quan đến việc di chuyển phần cứng đến một vị trí khác, cách xa các cơ sở sản xuất.
Ví dụ, một máy chủ có khoảng cách không khí vật lý không có giao diện kết nối WAN hoặc LAN. Trong trường hợp này, việc thiết lập kết nối từ xa với máy chủ đó một cách vô tình hoặc cố ý với mục đích xấu là không thể. Ngoài ra, môi trường cách ly vật lý độc lập này có thể duy trì tính bảo mật và ổn định nếu xảy ra sự cố khẩn cấp tại cơ sở chính hoặc trung tâm dữ liệu.
Cách ly
Cách ly là một phương pháp cách ly khác, trong đó hệ thống được tách khỏi các hệ thống khác và internet mà không cần di chuyển phần cứng ra khỏi vị trí hiện tại. Điều này giúp ngăn chặn truy cập trái phép vào các môi trường cách ly từ bên ngoài văn phòng của tổ chức. Tuy nhiên, các thảm họa như hỏa hoạn, lũ lụt hoặc mất điện vẫn có thể gây hư hỏng cho cả môi trường sản xuất và môi trường cách ly vật lý.
Cách ly logic
Tạo cách ly logic có nghĩa là tách biệt các nút và mạng bằng phần mềm chuyên dụng, chẳng hạn như tường lửa, hệ thống quản lý lưu lượng, RBAC (kiểm soát truy cập dựa trên vai trò), và các thuật toán mã hóa. Trong môi trường cách ly logic, kết nối vật lý vẫn tồn tại để cung cấp nhiều cơ hội hơn cho việc vận hành dữ liệu.
Bạn có thể xem cách ly logic như một sự đánh đổi giữa bảo mật và tiện lợi. Các nút được cách ly logic có thể được đặt tại một địa điểm khác, tương tự như phương pháp cách ly vật lý, nhằm tăng cường khả năng chống chịu trước các mối đe dọa từ bên trong và các tình huống khẩn cấp. Ngoài ra, cách ly logic còn có thể hoạt động như một phương pháp phân đoạn mạng, mang lại lớp bảo mật bổ sung cho dữ liệu nhạy cảm.
Hệ thống cách ly vật lý: Các điểm cần xem xét
Cách ly vật lý có thể là một biện pháp bảo vệ dữ liệu hiệu quả, nhưng nó không hoàn hảo theo mặc định. Mặc dù dữ liệu cách ly vật lý có những lợi ích không thể phủ nhận, nhưng khi xem xét kỹ hơn, cũng lộ ra một số nhược điểm.
Lợi ích của môi trường cách ly vật lý
Việc triển khai cách ly vật lý trong môi trường của bạn có thể mang lại các lợi ích sau:
- Giảm thiểu mối đe dọa . Phần mềm độc hại hiện đại chủ yếu lây lan qua mạng toàn cầu. Một thiết bị lưu trữ, máy chủ, mạng hoặc nút mạng khác được cách ly hoàn toàn sẽ không thể bị tiếp cận bởi phần lớn các mối đe dọa mạng. Các email lừa đảo, công cụ chặn lưu lượng, ransomware và các lỗ hổng bảo mật từ xa, cùng các mối đe dọa khác, ít nguy hiểm hơn đối với hệ thống ngoại tuyến.
- Bảo vệ dữ liệu . Dữ liệu được cách ly hoàn toàn được bảo vệ chặt chẽ khỏi sự thay đổi, mã hóa hoặc xóa bỏ không mong muốn. Các lớp xác thực bổ sung, chẳng hạn như chìa khóa truy cập phòng máy chủ và mật khẩu quản trị viên, cho phép bạn đảm bảo rằng chỉ nhân viên được ủy quyền mới có thể làm việc bên trong vùng cách ly mạng.
- Khả năng phục hồi và khôi phục . Lưu trữ và phần cứng tại địa điểm khác giúp tăng cường khả năng phục hồi cho hạ tầng của tổ chức ngay cả khi không áp dụng cách ly mạng. Một địa điểm cách ly mạng cung cấp độ tin cậy bổ sung và có thể được sử dụng để khôi phục dữ liệu sản xuất và dữ liệu quan trọng khi môi trường chính gặp mất mát dữ liệu nghiêm trọng.
Nhược điểm của việc cách ly mạng
Ngoài những lợi ích, việc cách ly mạng cũng mang lại những vấn đề cần được xem xét và chuẩn bị:
- Sự phức tạp và bất tiện . Việc cách ly mạng làm tăng độ phức tạp cho cơ sở hạ tầng CNTT, gây ra thách thức cho cả các tác nhân độc hại và các thành viên trong nhóm. Khoảng cách vật lý, các rào cản bảo mật bổ sung như khóa mã số cho cửa phòng máy chủ và việc không có kết nối mạng thường xuyên tạo ra những hạn chế. Các hoạt động thường xuyên, như truyền tải và sửa đổi dữ liệu, đòi hỏi nhiều thao tác và do đó trở thành các quy trình làm việc phức tạp và tốn thời gian trong môi trường cách ly mạng.
- Thách thức về cập nhật bảo mật . Các hệ thống được kết nối và trực tuyến sẽ nhận được các bản cập nhật ngay khi phát hành, giúp tăng cường bảo mật nhờ các lỗ hổng đã được vá. Việc cập nhật các thiết bị cách ly mạng đòi hỏi phải có thêm thiết bị (ví dụ: ổ USB dung lượng lớn hoặc đĩa chứa phần mềm cập nhật), thời gian, công sức và kỹ năng từ các chuyên gia CNTT. Do những sự chậm trễ này, hệ thống có thể bị giảm mức độ bảo vệ nếu phần mềm độc hại đã được cập nhật lọt vào môi trường cách ly mạng.
- Yếu tố con người . Trong môi trường cách ly mạng, nhân viên thường phải tuân thủ các quy tắc bảo mật nghiêm ngặt trước khi được phép truy cập và thao tác với dữ liệu cách ly mạng. Ví dụ, một thành viên trong nhóm nếu quên kiểm tra ổ USB trước khi sử dụng có thể vô tình lây nhiễm phần mềm độc hại vào thiết bị cách ly mạng. Chỉ cần lơ là một lần, bạn có thể làm mất đi toàn bộ thời gian và nguồn lực đã đầu tư vào việc xây dựng và duy trì hạ tầng cách ly mạng.
Sao lưu trong môi trường cách ly mạng: Nâng cao hiệu quả bảo vệ dữ liệu
Tội phạm mạng thường nhắm mục tiêu vào các bản sao lưu cùng với hạ tầng sản xuất khi lên kế hoạch tấn công để tăng khả năng nạn nhân phải trả tiền chuộc. Ví dụ, việc mất các bản sao phục hồi do mã hóa ransomware có thể khiến tổ chức không còn khả năng tự khôi phục hệ thống và đảm bảo tính sẵn sàng. Ngược lại, việc xóa các bản sao lưu cùng với dữ liệu sản xuất, trong một số trường hợp, có thể dẫn đến thiệt hại không thể khắc phục.
Phần lớn các mối đe dọa mạng, từ các email lừa đảo thông thường đến phần mềm độc hại tiên tiến nhất, đều lây lan qua internet. Bản sao lưu cách ly (air-gapped backup) nằm trong vùng an toàn với kênh lây nhiễm chính bị vô hiệu hóa. Kho lưu trữ bản sao lưu bí mật này là nguồn tài nguyên đáng tin cậy có thể trở thành tuyến phòng thủ cuối cùng của bạn trong các sự cố mất dữ liệu nghiêm trọng.
Quy tắc 3-2-1 với bản sao lưu cách ly
Quy tắc được chấp nhận rộng rãi Quy tắc 3-2-1 cho biết để bảo vệ dữ liệu một cách đáng tin cậy, bạn nên:
- Có ít nhất ba (3) bản sao dữ liệu.
- Lưu trữ các bản sao đó trên hai (2) hoặc nhiều phương tiện lưu trữ khác nhau.
- Gửi ít nhất một (1) bản sao ra ngoài cơ sở.
Sao lưu đám mây ngày càng trở thành giải pháp cho điểm thứ ba của quy tắc trong những năm gần đây. Tuy nhiên, các hacker đã phát triển các phần mềm tống tiền như LockBit và các phần mềm độc hại khác để nhắm mục tiêu cụ thể vào các môi trường dựa trên đám mây. Quy tắc 3-2-1 đã phát triển để ứng phó với sự dễ bị tổn thương ngày càng tăng của các bản sao lưu ngoài cơ sở, trở thành quy tắc 3-2-1-1.
Trong phiên bản này của quy tắc sao lưu, một bản sao lưu nên được làm bất biến hoặc cách ly hoàn toàn. Hãy xem xét việc lưu trữ bản sao lưu cách ly hoàn toàn ngoài cơ sở trên một thiết bị NAS chuyên dụng, đĩa cứng tháo rời hoặc băng từ. Bạn có thể cần phải dành thêm công sức và thời gian để tạo và cập nhật các bản sao lưu này, nhưng chúng có thể mang lại khả năng khôi phục cao hơn trong trường hợp xấu nhất.
Sao lưu Air Gap với NAKIVO
NAKIVO Backup & Replication là một giải pháp đa năng cung cấp các tùy chọn sao lưu tại chỗ, ngoài cơ sở, trên đám mây, NAS và băng từ, cùng với các tính năng bảo vệ dữ liệu tiên tiến. Bạn có thể sử dụng giải pháp này cho các môi trường ảo như VMware vSphere, Microsoft Hyper-V, Nutanix AHV, Proxmox VE, cũng như cho các môi trường vật lý Windows và Linux.
Ví dụ, bạn có thể thực hiện Bản sao lưu NAS không thể thay đổi để bảo vệ dữ liệu khỏi bị thay đổi, mã hóa hoặc xóa. Hoặc bạn có thể ngắt kết nối thiết bị NAS chứa dữ liệu sao lưu khỏi môi trường chính để tạo khoảng cách không khí. Bạn cũng có thể gửi bản sao lưu vào băng từ và ngắt kết nối phương tiện băng từ khỏi hệ thống sao lưu.
Giải pháp NAKIVO cho sao lưu cách ly mạng cho phép bạn chạy các quy trình sao lưu tùy chỉnh theo lịch trình hoặc theo yêu cầu để rút ngắn thời gian sao lưu. Cuối cùng, bạn có thể thiết lập các trình tự khôi phục linh hoạt và sau đó, khi xảy ra mất dữ liệu, khởi động chúng chỉ với vài cú nhấp chuột để đảm bảo thời gian khôi phục (RTO) ở mức tối thiểu.
