台湾长期以来面临许多天灾的考验,包含每年必定遭逢的台风,不定期出现的地震,再加上对岸中国不断扩充军力,虎视眈眈,迫使我们必须比其他国家更有危机意识,然而,这几年来,全球都受到极端气候冲击、COVID-19肆虐、俄乌战争的影响,而使得许多地区不断传出事故,灾难复原(Disaster Recovery,DR)已成为公众议题,今年3月底我们刚制作了《关键民生系统韧性大改造》的封面故事,4月中我们延续对这项议题的关切,制作《云端灾难复原服务兴起》的报导,让大家更了解IT角度的作法,例如,云端灾难复原(Cloud DR)与灾难复原即服务(DRaaS)。
回顾过去,我们上次以封面故事的规格撰写这类题材,已经是15年前 (2009年),当时的题目是《虚拟环境自动化灾难备援解决方案采购大特辑》,介绍的解决方案,是基于伺服器虚拟化平台的相关软体,搭配具有远端复制功能的储存系统。十年后,公有云服务崛起、普及之际,我们在《云端储存的多元化面貌》,简略提到两大云端业者提供的灾难备援服务,时隔5年,我们终于重新检视这类型解决方案,而随著软体即服务(SaaS)的盛行,以及企业上云比例水涨船高等因素,云端服务如今已跃居IT灾难复原的主角,而不再只是配角。
此次报导我们不只是巡礼相关的供应商,列出评估要点与选择依据,整理这类解决方案的局限,特别的是,我们也综合多家研究机构的观察,回顾市场规模的快速成长,可达到百亿美元以上,年复合成长率都有20%以上,而就发展程度而言,已达到和「资料备份与还原」解决方案并驾齐驱的地步。
在此之前,我们陆续发表两篇与灾难复原服务的产品快报,一篇是去年8月介绍VMware Cloud Disaster Recovery,缘起是中国信托商业银行7月底发布导入消息,他们表示,在6月初已展开全行资讯系统灾备演练,顺利完成台湾金融业首次的VMware 云端灾备解决方案技术架构验证,另一篇则是NetApp BlueXP disaster recovery,适逢该公司今年3月中在台举行全球巡回研讨会INSIGHT Xtra,我们也顺势整理他们的灾难复原即服务。
目前市面上可提供DR、Cloud DR或DRaaS的厂商,数量其实相当庞大,以大型公有云业者而言,AWS、Azure、GCP、OCI都有这方面的解决方案;系统与储存大厂,包含Cohesity、Dell、HPE、IBM、NetApp、Nutanix、Pure Storage、群晖科技、VMware;备份与还原厂商,则有Acronis、Arcserve、Commvault、Datto、Druva、OpenText、StorageCraft、Veeam、Veritas。
由此可见,企业与组织采用灾难复原产品与服务的选择越来越多,进行适用评估时,除了注意业者是否提供所需的功能特色、满足用户端的复原等级要求,由于我们长期报导资安新闻,因此,想针对DR使用时的安全防护的部分,提醒大家注意身分存取。
这个因素已成为有实际案例的风险,若没做好相关的控管,可能在灾难还没发生前,就会面临资料外泄的重大问题。
在2022年底密码管理服务LastPass母公司GoTo发生的资安事故中,攻击者渗透到第三方云端储存服务,拿到该公司旗下多种产品在此存放的加密备份资料,以及局部加密备份资料使用的金钥,因此,这些产品记载的帐户名称、经杂凑(Hashed)和加盐(Salted)处理过的密码、部分多因素身分验证配置,以及一些产品配置和授权资讯,都可能受到影响而外流。
另一例子是云端备份服务业者SOS Online Backup的资料库外泄,2020年11月被发现,12月VPN服务业者VpnMentor的研究团队进行调查,发现外流1.35亿笔资料,用户帐号相关中继资料多达70 GB,泄漏个资含全名、电子邮件位址、电话号码、企业客户公司资讯细部资料、使用者帐号,原因可能是不当组态设定,或是高权限管理者帐号被渗透。
上述例子虽然是与云端备份有关,但由于云端灾难复原服务同样也具有将大量机敏资料复制到另一个站点的性质,因此,也可能因为类似的侵袭模式而受害,所以必须要谨防这个层级的资安风险。
