在稍早的1070期封面故事——「打造抵禦勒索軟體威脅的堡壘:資料防竄改技術重新崛起」,我們介紹了一寫多讀(Write Once Read Many,WORM)的基本概念、在防範勒索軟體等資安領域的應用方式、技術類型的區分,以及不同類型儲存設備與服務所提供的WORM功能。
不過,除了我們在封面故事中介紹的「正規」WORM應用方式與產品外,近年來又出現了ㄧ些不同的WORM產品與應用形式,我們想透過這個單元來介紹。
跨出傳統的WORM產品與應用
如同我們先前封面故事所言,目前WORM技術的主流型態,是用於靜態資料保存的儲存附屬功能。脫離不了「附屬功能」與「長期靜態資料保存」這兩大屬性。
從WORM功能在儲存設備中的定位來說,主要是作為儲存設備或服務的附屬功能,而非核心主打功能,例如是公有雲物件儲存服務、或本地端NAS儲存設備內的一項附屬軟體功能,或是搭配磁帶、光學儲存設備的特殊規格儲存媒體。
而就應用面向來說,WORM則主要是用在備份、歸檔等第二線儲存設備,作為靜態、長期性的資料保存手段。
但近幾年來,在資安應用需求的推波助瀾下,出現了ㄧ些新型態WORM產品,跳脫出既有的「附屬功能」與「長期靜態資料保存」 兩大屬性。
首先,我們看到有些專攻WORM應用的廠商,以及將WORM作為核心功能的儲存產品。
其次,是新的WORM應用型態崛起,這些技術專門搭配全快閃儲存陣列或高階儲存陣列等第一線儲存設備,用於快照複本的WORM技術。
以WORM功能為核心的產品
在2000年代初期,曾有少數專門針對法規遵循應用的儲存產品,是圍繞著WORM技術打造而成,最知名的便是EMC基於內容尋址儲存(Content Addressed Storage,CAS)架構的Centera。
然而,過去10多年來,Centera這類專屬用途的WORM產品逐漸式微,取而代之的是,通用型儲存設備以附屬功能提供的WORM架構。
目前從光學、磁帶等儲存設備,到NAS、通用型儲存陣列、備份儲存伺服器、與虛擬磁帶櫃(VTL),以至公有雲上的物件儲存服務,都能提供WORM功能。然而,對於這些儲存產品來說,WORM只是眾多的附屬功能之一,可藉此兼顧WORM相關應用,但產品本身的核心功能並不在此。
但是,在對抗勒索軟體的需求刺激下,近年來儲存市場上再次出現ㄧ些專門提供WORM解決方案的廠商,以及專門以WORM功能為目的發展的儲存產品。
其中,最具代表性的便是GreenTec,該公司早期以WORM外接磁碟產品出發,先後推出過WORMdisk系列外接磁碟、Ninja系列WORM 儲存伺服器,軟體定義儲存型式的CYBERdisk WORM軟體,還有搭配雲端環境應用的WORMcloud服務,從產品名稱可以看出,這些產品全都是以WORM應用為目的。
到了今日,GreenTec以其原本的WORM儲存產品線為基礎,進一步將產品組合擴展到對抗勒索軟體與資料洩漏應用的資安領域,除了延續過去WORM產品線的WORMdisk ZT、Enterprise WORMdisk與ForceField等儲存伺服器,以及CYBERdisk ZT軟體外,還推出了一系列新的產品。
例如:ForceField ZT自動區塊級保護軟體(Automatic Block-Level Protection),可以即時地鎖定與加密寫入的每一個區塊;由WORMcloud服務延伸而來、具備WORM與加密等保護功能的Zero Trust Cloud服務。
也就是說,從個別磁碟裝置,到儲存伺服器,以及雲端儲存服務,GreenTec全都提供了專門的WORM應用產品。
除GreenTec,由GRAU Data與Critie共同發展的Blocky for Veeam,也是以WORM應用為核心的儲存軟體,系統運行在Windows平臺上,專門用於搭配Veeam備份軟體,將Windows儲存區建構為具備WORM保護的備份儲存區,可視為軟體定義形式的備份儲存伺服器衍生產品。
其他專門的WORM儲存產品供應商還有3Gen,雖然他們不是專門的WORM廠商,但仍以其Unified Platform通用儲存平臺為基礎,推出專門的WORM NAS產品線。類似的廠商還有固態儲存裝置製造商Flexxon,在其產品線中也包含了專門的WORM SD卡與Micro SD卡系列。
比起通用儲存設備以附屬功能提供的WORM架構,專用的WORM產品有著功能單一、應用面向特定的局限,儘管如此,這幾年來這類型產品的再次崛起,可以看出,為了對抗持續高漲的勒索軟體威脅,市場商上對於WORM保護能力的要求急遽升高,已能容許這類產品缺乏通用性的缺點。
搭配第一線儲存的資料防刪改功能
WORM技術雖有確保資料不可變(Immutable)、防止資料遭到刪改的能力,但也會阻礙應用程式的更新寫入,並降低儲存容量利用效率,因此在WORM技術過去30、40年的歷史中,即便出現了各式各樣的技術與產品類型,但是,在應用面向方面,一直都局限於中、長期的靜態資料保存,而提供WORM功能的儲存產品,也是以備份、歸檔等中長期資料複本保存應用為主。
至於必須承擔頻繁存取寫入,講求高效能的第一線儲存設備,過去都是與WORM功能無緣的。不過,過去2年以來,這種情況有了改變,開始有廠商在一線儲存設備上,藉由引進WORM功能來獲得抵抗勒索軟體的能力。
過去,當一線儲存設備遭到勒索軟體入侵時,便只能透過備份系統所保存的複本,將安全的資料還原到儲存設備上。然而對於承擔了關鍵應用的一線儲存設備來說,透過備份複本來還原資料,耗時太長,對服務的衝擊過大。
因此,部分儲存廠商試圖讓第一線儲存設備本身,便具備WORM保存安全資料的能力。為了減少WORM對於儲存資源的影響,這些廠商是從快照來著手。
快照是原始Volume儲存區在特定時間點下的複本,不會影響前端應用程式對原始Volume的存取,在必要時,可以利用快照將原始儲存區迅速回滾(roll-back)還原到特定時間點狀態,若進一步讓快照複本具備唯讀保護能力,一旦建立後,便不允許刪改,便能提供類似WORM的防刪改特性。
這類快照型防刪改技術中,最早出現在市面上的產品應該是IBM在DS8000高階儲存陣列上提供的Safeguarded Copy。DS8000原本的FlashCopy快照功能建立的是可讀寫的複本,而Safeguarded Copy則能建立具備不可變性(immutability)的複本,不能為前端主機直接存取,也不能刪改,可當作安全性複本使用。
藉由快照複本來還原資料,要比經由備份複本迅速、方便許多,十分適合第一線儲存設備作為短期性複本用途。於是,接下來IBM又將Safeguarded Copy功能引進FlashSystem全快閃儲存陣列家族,同時,也有其他廠商跟進推出類似的防刪改複本功能,例如,Infinidat在InfiniBox高階儲存陣列上運行的InfiniGuard CyberRecovery,以及Pure Storage在FlashArray全快閃儲存陣列提供的 SafeMode等。
我們預期未來應該會有更多的廠商,跟進推出這類防刪改快照功能,成為中、高階儲存陣列的標準資料保護手段之一。
但要注意的是,快照型防刪改技術雖有作業迅速的優點,無論建立或回滾還原都十分迅速,不過快照本身不適合作為長期性複本,精細粒度也較大(是以整個Volume為單位),而且,快照型防刪改技術的強固性,目前大多尚未達到法規遵循層次的要求,因此,與備份、歸檔型態的WORM技術是互補關係,而非取代後者。
這是IBM在DS8000儲存陣列上提供的Safeguarded功能圖解,可為指定的Volume儲存區建立具備防刪改特性的快複本,作為安全性的複本。當原始Volume因意外或惡意損毀時,便可利用Safeguarded保存的安全複本來快速還原。
圖片來源:IBM。
熱門新聞
2024-12-02
2024-11-29
2024-12-02
2024-11-30
2024-12-03
2024-12-02