Cloud HM

MENU

Veeam Data Cloud Vault สู่การเก็บข้อมูลบนคลาวด์ที่ปลอดภัยยิ่งขึ้น

Veeam Data Cloud Vault สู่การเก็บข้อมูลบนคลาวด์ที่ปลอดภัยยิ่งขึ้น

Cloud HM - MKTCloud Variety,

“85% ขององค์กรทั่วโลกได้รับความเสียหายจากการถูกโจมตีจาก Ransomware อย่างน้อย 1 ครั้งใน 1 ปีที่ผ่านมา”

    นี่เป็นข้อมูลที่ได้มีการรวบรวมและสรุปแนวโน้มของการถูกโจมตีด้วย Ransomware ไว้ใน “2023 Ransomware Trends Report”  และมีแนวโน้มที่จะเกิดมากขึ้นเรื่อยๆ แม้ว่าในหลายๆ องค์กรจะมีประกันเมื่อเกิดความเสียหายจากการถูกโจมตีด้วย Ransomware แต่ในความเป็นจริงนั้น ประกันไม่ได้ครอบคลุมเรื่องเหล่านี้เสมอไป ทำให้บางองค์กรเลือกที่จะไม่ทำประกัน และเมื่อต้องเจอกับการโจมตีจาก Ransomware ก็เลือกที่จะจ่ายเงินให้คนที่ปล่อย Ransomware มา แต่ก็ไม่ใช่ทุกครั้งที่จะได้ข้อมูลคืนมา

Ransomware คืออะไร

     Ransomware เป็น Malware ชนิดนึงที่สามารถเข้าถึงข้อมูลต่างๆ รวมถึงข้อมูลสำคัญในเครื่องของเราไม่ว่าจะเป็น PC หรือเครื่อง Server แล้วทำการ Encrypt ข้อมูลเหล่านั้น เพื่อไม่ให้เราเข้าถึงได้อีก และเรียกค่าไถ่จากเราเป็นเงินจำนวนมากในการ decrypt ข้อมูล ซึ่งก็ไม่จำเป็นเสมอไปว่าถ้าเราจ่ายเงินให้กับผู้ไม่ประสงค์ดี แล้วเขาจะ Decrypt ข้อมูลให้เราคืน ซึ่งการจะตามรอยผู้ไม่ประสงค์ดีก็เป็นไปได้ยาก เพราะต้องจ่ายเป็นเงินคริปโต ที่ไม่ปรากฏชื่อผู้รับหรือผู้ส่งในการทำธุรกรรม

Image source https://www.smsdatacenter.com/cybersecurity/most-common-ransomware-threats-today/

เราจะป้องกันข้อมูลสำคัญจาก Ransomware ได้อย่างไร

    ทางรัฐบาลสหรัฐได้กำหนดวิธีการ Backup Data อย่างมีประสิทธิภาพลงใน US-SERT Paper ซึ่งเรียกว่า “3-2-1 Rule” ประกอบไปด้วย

  • 3 Copies of Data

เป็นการเตรียมข้อมูล 3 ชุด ซึ่งประกอบไปด้วยตัว Original 1 ชุด และตัว Copy อีก 2 ชุด

  • 2 Different Media Types

เป็นการทำ Data Redundancy แล้วเก็บในรูปแบบที่ต่างกัน ซึ่งการเก็บใน Cloud Storage ก็เป็น 1 ในตัวเลือกที่ควรใช้ ยกตัวอย่างการทำ Volume Snapshot และ Backup ข้อมูลบน Object Storage

  • 1 Copy Offsite

เป็นการเก็บตัว Copy อย่างน้อย 1 ชุดไว้ภายนอกองค์กร หรือการทำ Cloud Backup Solution เช่น เก็บไว้ใน Available Zone หรือ Region อื่น หรือใช้บริการของ Cloud Service Provider

    แต่สำหรับหนึ่งในผู้ให้บริการด้าน Data Backup อย่าง Veeam นั้นได้เพิ่มกฏเข้ามาอีก 2 ข้อเพื่อเสริมการป้องกันจากการโจมตีของ Ransomware ได้แก่

  • 1 Copy Offline, Air-gapped or Immutable

การมีข้อมูลอย่างน้อย 1 ชุดที่ไม่ได้ Online ไม่สามารถถูกลบหรือเปลี่ยนแปลงได้ และมีการควบคุมในการเข้าถึงข้อมูลอย่างเข้มงวดนั้น เป็นสิ่งที่จะขาดไม่ได้ในการป้องกันจากการโจมตีของ Ransomware

  • 0 Errors with SureBackup Recovery Verification

สิ่งสุดท้ายคือการทดสอบการ Backup ข้อมูลและ Recover ข้อมูลจากเครื่องได้ ซึ่งสามารถ Verify Restore Point ไหนก็ได้ในเครื่องที่ Backup ซึ่งเป็นเทคโนโลยีของทาง Veeam ที่เรียกว่า SureBackup ดูเพิ่มเติมเรื่อง SureBackup ได้ ที่นี่

    และ Product ตัวใหม่จากทาง Veeam ที่จะมาช่วยให้ข้อมูลที่ถูกจัดเก็บนั้นมีความปลอดภัย นั่นก็คือ “Veeam Data Cloud Vault” หรือ “Veeam Vault”

Veeam Vault คืออะไร

    Veeam Vault เป็นบริการแบบ Cloud-base Storage สามารถเพิ่มความปลอดภัยให้กับการ Backup Data ด้วยการทำ Off-site Backup ให้เป็น Immutable และถูก Encrypt ไว้ ซึ่งป้องกันการจารกรรมจากผู้ไม่ประสงค์ดีได้ รวมถึงมีการ Recovery Data จาก Incident ต่างๆ อย่างรวดเร็ว

Features ของ Veeam Vault

  • Logical Air Gap

มีการเก็บข้อมูลแบบ Off-site ในที่ที่แยกออกจาก Production และมีการควบคุมสิทธิ์การเข้าถึงข้อมูลเพื่อให้มีความปลอดภัยมากยิ่งขึ้น (ดูเพิ่มเติมเรื่อง Logical Air Gap ได้ ที่นี่)

Image source https://www.techtarget.com/whatis/definition/air-gapping

  • Always Immutable

มีการเก็บข้อมูลแบบ WORM (Write-Once Read-Many) เพื่อป้องกันผู้ไม่ประสงค์ดีที่จะมาทำการเข้ารหัส ลบทิ้ง หรือ เปลี่ยนแปลงข้อมูล

Image Source https://datastorageasean.com/expert-opinions-opinion-byline/immutable-backup-explained

  • Encrypted

มีการเข้ารหัสข้อมูลโดยใช้อัลกอริทึ่มแบบ AES 256-bit ใน Veeam Data Platform โดยเราเป็นผู้ถือ Key ไว้แต่เพียงผู้เดียว

Image source https://dgway.com/blog_E/2021/05/31/aes-advanced-encryption-standard-ip-cores/

  • Fully-managed

ด้วยการจัดการข้อมูลแบบ Zero Configuration และมีการ Integrate เข้ากับตัว Veeam Data Platform ทําให้เราสามารถตั้งค่าเพียงเล็กน้อย ก็สามารถใช้งานได้ตามต้องการ

  • 11-nines of Durability

เมื่อเราเลือก Region ที่จะใช้งานแล้ว ระบบจะทําการ Sync ตัว Copy ของข้อมูลจํานวน 3 ชุด ใน Region ที่เราเลือกไว้ ซึ่งโอกาสสูญหายของข้อมูลนั้นต่ํามาก ถ้าเรามีข้อมูลสัก 1 พันล้าน Objects เวลาผ่านไปเป็นร้อยปี ข้อมูลก็ยังไม่เกิดการสูญหายได้

Image source https://learn.microsoft.com/en-us/azure/storage/common/storage-redundancy

  • Scalability  

สามารถปรับการใช้ Storage Capacity ตามการใช้งานจริงได้ตลอดเวลา

Image source https://register.paloaltonetworks.com/building-scalable-strategy-for-cloud

  • Fast Recovery

สามารถ Recovery ได้อย่างรวดเร็วเพื่อให้ทําตามเป้าหมายที่ตกลงกันสําหรับ Service Level Objective (SLO) โดยสามารถใช้ Azure Blob ที่ระดับสูงสุด เพื่อให้ได้ประสิทธิภาพที่ดีที่สุด (ดูเพิ่มเติมเรื่อง Azure Blob ได้ ที่นี่)

Image source https://cloud.ionos.at/loesungen/datensicherung

Data Encryption ใน Veeam

    การ Backup Data ใน Veeam นั้นมีการใช้ Data Encryption แบบ AES 256-bit ถูกนำมาใช้แทนที่แบบเก่าอย่าง DES หรือ Data Encryption Standard ที่เจอปัญหา Key Length ที่น้อยเกินไป (มากสุดที่ 56-bit) ทำให้ถูก Brute Force ได้ด้วยความสามารถในการประมวลผลของคอมพิวเตอร์ในยุคปัจจุบัน

    AES หรือ Advanced Encryption Standard นั้นเป็นมาตรฐานใหม่ที่ทาง National Institute of Standards & Technology หรือ NIST พัฒนาขึ้นมาเพื่อใช้ในเข้ารหัสข้อมูล ซึ่งใช้หลักการ Symmetric Key 

ที่จะมี Key เพียง 1 Key เก็บไว้ที่เรา เมื่อทำการ Encrypt Data โดยเปลี่ยนจาก Plain Text เป็น Cipher Text แล้วส่งไปยังปลายทางซึ่งจะสามารถ Decrypt ให้กลับมาเป็น Plain Text ที่สามารถอ่านได้ด้วย Key ของเรา

Image source https://www.atpinc.com/blog/what-is-aes-256-encryption

    ซึ่งถ้าไม่มี Key ของเรา การที่จะอ่านข้อมูลที่ทำเป็น Cipher Text แล้วนั้น ด้วยวิธี Brute Force มีความเป็นไปได้ในการหารหัสตามตารางด้านล่าง

Image source https://www.atpinc.com/blog/what-is-aes-256-encryption

    จะเห็นได้ว่าทาง Veeam เลือกใช้ AES 256-bit ซึ่งโอกาสที่จะ Brute Force เพื่อหา Key นั้นต่ำมาก เพราะมีรูปแบบที่เป็นไปได้สูงถึง 1.1 x 10^77 ถ้าหากว่าลองใช้ Quantum Computer ในการ Brute Force ก็อาจใช้เวลาถึง 2.29 x 10^32 ปี

Zero Trust Principle กับการใช้ Veeam Vault

    Zero Trust นั้นมี 3 ข้อหลักๆ คือ ต้องมีการยืนยันตัวตนสำหรับผู้ใช้งาน มีการจำกัดสิทธิ์เข้าใช้งานสำหรับคนที่เกี่ยวข้องเท่านั้น และพึงระลึกเสมอว่ามีโอกาสถูกโจมตี Infrastructure ตลอดเวลา

    ซึ่ง Veeam นั้นก็ตอบโจทย์เรื่อง Zero Trust ทุกข้อ ไม่ว่าจะเป็นการ Encrypt Data ไว้ถ้าเป็นผู้ที่ถือ Key ไว้ จะสามารถเข้าถึงได้ หรือ Logical Air Gap ที่จะเข้าถึงข้อมูลได้เมื่อได้รับสิทธิ์ในการเข้าถึงเท่านั้น และการทำให้ Immutability เพื่อป้องกันการถูกเปลี่ยนแลงหรือขโมยจากผู้ไม่ประสงค์ดี (ดูเพิ่มเติมเรื่อง Zero Trust ได้ ที่นี่)

Benefits จากการใช้ Veeam Vault

  • Secure

    ข้อมูลมีการเข้ารหัสไว้ (Encrypt) และไม่สามารถลบหรือเปลี่ยนแปลงได้ (Immutable) เป็นการปกป้องข้อมูลด้วย Zero Trust Principle รวมถึงใช้เทคนิค Logical Air Gap ที่มีการควบคุมการรับส่งข้อมูลในระบบ Cloud อย่างเข้มงวด 

  • Easy

    สามารถใช้งานำได้ผ่าน Veeam Data Platform ที่ใช้ Azure Storage ได้อย่างเต็มรูปแบบด้วย Zero Config, การจัดการ Storage หรือทำการ Scale ได้ตามที่ต้องการ 

  • Predictable

    ราคาที่จ่ายนั้นคิดถูกเพียงครั้งเดียว ไม่มีการชาร์จเพิ่มหลายครั้ง ซึ่งไม่เพียงแต่ครอบคลุมค่า Storage Component เท่านั้นแต่รวมถึงค่า Write, Immutability, API Calls และ Data Egress สําหรับ การ Recovery ด้วย

สิ่งที่ต้องรู้ในการใช้ Veeam Vault

    การติดตั้ง Veeam Vault ใน Backup Infrastructure ที่มีการใช้งานร่วมกับ Azure Blob Storage นั้นมีการเพิ่ม Feature ความปลอดภัยเข้ามาอย่าง In-built Immutability และ Encryption Options ซึ่งจะทำให้เราเก็บข้อมูลได้อย่างปลอดภัยและยาวนาน

  • การนำ Backup ข้อมูลมาเก็บไว้ใน Veeam Vault นั้นต้องทำการ Encrypt ก่อนเสมอ ไม่สามารถย้ายหรือ Copy Unencrypted Backup มาได้
  • Veeam Vault จะทำให้ข้อมูลเรา Immutable เสมอ
  • ตัว Veeam Vault จะใช้งานใน Azure Global Region
  • ไม่สามารถเก็บ Backup ที่สร้างโดย Veeam Plug-in สำหรับ Enterprise ใน Veeam Vault ได้
  • ไม่สามารถใช้ Veeam Vault เป็น Source ในการทำ Unstructured Data Backup ได้ เนื่องจากในการทำ Unstructured Data Backup นั้นจะมีขั้นตอนที่นำ Unstructured Data มาที่ Backup Proxy จะมีการ Enumerate Data แต่ Data ใน Veeam Vault นั้นไม่สามารถแก้ไขได้ (Immutability) สามารถดูเพิ่มเติมเรื่อง Unstructured Data backup ได้ ที่นี่

ความสำคัญของ Data Security ที่มีต่อ Cloud Data Management

    จากรายงานเรื่องการโจมตีของ Ransomware ที่มีแนวโน้มสูงขึ้นเรื่อยๆนั้น ทำให้เราได้รู้ว่า สิ่งสำคัญนอกจากมีพื้นที่ในการจัดเก็บข้อมูลที่สามารถ Scale ได้ หรือสามารถจัดการ Resource ต่างๆ ใน Cloud นั่นคือความปลอดภัยของข้อมูลนั่นเอง และ Veeam Vault ก็ได้เข้ามาเสริมในเรื่องนี้ ด้วยคุณสมบัติเด่นด้านความปลอดภัยอย่าง Logical Airgap – เก็บข้อมูลในจุดที่มีการควบคุมสิทธิ์ในการเข้าถึง Data Encryption ที่มีแค่ผู้ที่ถือ Key ถึงจะสามารถเข้าถึงข้อมูล และ Immutability ที่ทำให้ข้อมูลไม่สามารถถูกเปลี่ยนแปลงได้

    สำหรับองค์กรใดที่ต้องการเสริมความปลอดภัยให้กับข้อมูลในองค์กร Veeam Vault ถือเป็นตัวเลือกที่จำเป็นสำหรับการป้องกันข้อมูลได้ ซึ่งเพิ่ม Security Posture ให้กับองค์กรที่ใช้ ลดความเสี่ยงที่จะเกิดข้อมูลรั่วไหลไปยังภายนอก และสร้างความเชื่อมั่นในการทำธุรกิจกับทั้ง Partner ลูกค้า และผู้เกี่ยวข้องย่าปล่อยให้ข้อมูลสำคัญขององค์กรเสี่ยงต่อการถูกโจมตี! ติดต่อ Cloud HM ทันทีเพื่อรับคำปรึกษาฟรีและออกแบบโซลูชัน Veeam Vault ที่เหมาะสมกับธุรกิจของคุณ

Reference

https://www.veeam.com/blog/veeam-data-cloud-vault.html

https://www.veeam.com/products/veeam-data-cloud/cloud-storage-vault.html

https://www.schneider.im/veeam-data-cloud-vault-available-secure-cloud-storage/

https://www.veeam.com/ransomware-trends-report-2023

https://helpcenter.veeam.com/docs/backup/vsphere/osr_adding_veeam_data_cloud_vault.html?ver=120

https://www.atpinc.com/blog/what-is-aes-256-encryption

https://www.ubiqsecurity.com/128bit-or-256bit-encryption-which-to-use/

https://www.cisa.gov/sites/default/files/publications/data_backup_options.pdf

The Most Common Ransomware Threats Today | SMS Datacenter

— Cloud HM