Cyber-Wiederherstellung mit Predatar
Eine VMware Cloud Foundation for Classic – Automated-Instanz kann Predatar® Cyber Recovery Orchestration und einen Predatar CleanRoom™ hosten.
Predatar Cyber Recovery Orchestration automatisiert und orchestriert die Wiederherstellung und Malware-Scans von Backups in einem Predatar CleanRoom. Dieser Prozess ermöglicht es Unternehmen zu verstehen, welche ihrer virtuellen Maschinen (VMs) die geforderten Ziele nicht erfüllen und eine schnelle Wiederherstellung nach einem Cyberangriff gefährden könnten. Weitere Informationen finden Sie unter Schützen Sie Ihre Daten vor Ransomware-Angriffen.
Diese Architektur eignet sich für Kunden, die in der Quellumgebung eine der beiden oder beide der folgenden Möglichkeiten nutzen:
- IBM Spectrum Protect mit IBM Spectrum Protect for Virtual Environments.
- IBM Spectrum Protect Plus.
Die folgenden IBM Cloud® Produkte können für das Hosting von Predatar Cyber Recovery Orchestration und Predatar CleanRoom:
- Eine IBM Cloud vCenter Server-Instanz wird mit den folgenden Zusatzdiensten bestellt:
- Edge-Gateway - Das Edge-Gateway hostet die Firewall-Appliances.
- Eine Firewall - Juniper®, Fortigate® oder Bring Your Own Firewall wird unterstützt.
- Ein oder mehrere Red Hat Enterprise Linux (RHEL) IBM Cloud Bare-Metal-Server werden bestellt und als entweder:
- IBM Spectrum Protect mit IBM Spectrum Protect for Virtual Environments.
- IBM Spectrum Protect Plus vSnap Server.
Wenn Sie einen Instant-Mount aus dem Objektspeicher durchführen, wird vSnap für das Zwischenspeichern von Lese- und Schreibvorgängen verwendet, so dass eine auf der vCenter Server-Instanz gehostete VM verwendet werden kann.
Cyber Recovery mit Predatar im Überblick
Das folgende Diagramm zeigt die High-Level-Architektur:
- VMs, auf denen VMware Tools einschließlich des Thin Agent (auch bekannt als Guest Introspection) installiert sind, werden auf den Quell-Backup-Servern gesichert.
- Die Sicherungsdaten werden von den Quell-Sicherungsservern auf die IBM Cloud gehosteten tertiären Sicherungsserver repliziert.
- Metadaten werden von den Predatar-Agenten von den Quell-Backup-Servern und den Tertiär-Backup-Servern gesammelt und an die Predatar-Cloud gesendet.
- Predatar Cyber Recovery Orchestration wird zur Automatisierung der Wiederherstellung und des Testens der VMs verwendet und liefert Berichte und Benachrichtigungen.
- Im CleanRoom, verwenden die Wiederherstellungstests den Typ "Instant Mount Restore" vom vSnap-Server, um die Sicherungsdateien an die ESXi-Hosts zu streamen und die VM schnell wiederherzustellen. Wiederherstellungstests können mit oder ohne Malware-Scan durchgeführt werden. Wenn Sie IBM Spectrum Protect mit IBM Spectrum Protect for Virtual Environments verwenden, erfolgt die Wiederherstellung aus dem VMware Datenspeicher.
- Wenn ein Wiederherstellungstest einen Malware-Scan umfasst, werden agentenlose EDR-Tools (Endpoint Detection Response) verwendet, um wiederhergestellte Workloads zu scannen und zu bereinigen. Die EDR-Tools wurden aus den führenden EDR-Plattformen von Gartner ausgewählt und verwenden eine Kombination aus Dateisignatur-Scans, maschinellem Lernen, In-Memory-Analysen (zur Identifizierung von Malware ohne Dateien), Variantenschutz, Verhaltensanalyse und Überwachung auf Skripte, Injektionen und Ransomware, um den wiederhergestellten Workload auf aktive oder ruhende Bedrohungen zu überprüfen.
- Die EDR-Komponenten werden ständig aktualisiert und korreliert, um einen automatischen Schutz zu gewährleisten.
- Nach Abschluss des Wiederherstellungstests werden die Metriken für diese VM gespeichert und stehen für die Berichterstattung zur Verfügung.
Cyber-Wiederherstellung mit Predatar-Architektur
Das folgende Diagramm zeigt weitere Details der vCenter Server-Instanzarchitektur:
Primäres oder sekundäres Rechenzentrum:
- Quell-VMs - Die Client-VMs, die durch den Predatar-Dienst geschützt werden müssen. Die VMs benötigen VMware Tools Thin Agents, die Teil von VMware Endpoint Protection sind, auch bekannt als Guest Introspection, die auf ihnen installiert werden, damit sie bei der Wiederherstellung im CleanRoom gescannt werden können. Weitere Informationen finden Sie unter Endpunktschutz.
- Thin-Agent - Der Thin-Agent, auch bekannt als File Introspection-Treiber, ist der Datei-Introspektions-Agent, der innerhalb der VM läuft und Teil der VMware Tools ist. Es handelt sich um einen generischen und leichtgewichtigen Agenten, der das Auslagern von Dateien und Prozessen zum Scannen erleichtert.
- Quellensicherungsserver - Diese Server sind Teil der IBM Spectrum Protect-Umgebung des Kunden mit IBM Spectrum Protect for Virtual Environments oder IBM Spectrum Protect Plus Umgebung und sind so konfiguriert, dass sie Backups auf den tertiären Backup-Server replizieren.
- Predatar Virtual Appliance - Besteht aus:
- VM - Eine vom Kunden bereitgestellte Microsoft Windows 2012 oder höher VM, die zum Hosten des Predatar-Agenten verwendet wird.
- Predatar Agent - ein kleiner Client, der auf der VM des Kunden gehostet wird und Abfragen an einen oder mehrere IBM Spectrum Protect/Spectrum Protect Plus Server sendet und die Abfragen an die Predatar Cloud weiterleitet.
Predatar Cloud:
- Predatar Cloud - Predatar ist eine SaaS Cloud-Lösung, die in der Predatar Cloud gehostet wird. Predatar verfügt derzeit über Clouds in Dallas, London und Frankfurt. Sie werden alle von IBM Cloud bereitgestellt und dienen dazu, die IBM Spectrum Protect und Protect Plus Metadaten der Kunden zu speichern.
- Metadaten - Predatar speichert eine unbegrenzte Menge an Metadaten in seinem mandantenfähigen Data Lake. Diese Daten werden von Predatar verwendet, um die Analyse- und maschinellen Lernfunktionen der Plattform zu unterstützen.
- Client-Zugriff - Rollenbasierte Zugriffskontrollen (RBAC) werden verwendet, um den Zugriff auf Daten zu regeln, und können auf granularer Ebene für Kunden konfiguriert werden.
IBM Cloud Konto:
- vCenter Server-Instanz - wird nur für Cyber-Recovery-Aufgaben verwendet und in einem IBM Cloud-Konto bereitgestellt, das auf Cyber-Recovery-Aktivitäten beschränkt ist. Weitere Informationen zu vCenter Server Instanzen finden Sie unter Übersicht über VMware Solutions.
Die vCenter Server-Instanz:
-
Kann VMware vSAN oder NFS Datenspeicher verwenden. Weitere Informationen finden Sie unter Physikalischer Speicheraufbau.
-
Er hostet keine Produktions- oder Disaster-Recovery-Workloads, sondern wird vorübergehend zur Wiederherstellung eines infizierten Rechners und zur anschließenden Reinigung im CleanRoom verwendet.
-
Beinhaltet einen Edge-Cluster zum Hosten einer der folgenden Möglichkeiten zum Schutz von vCenter Server-Instanznetzwerken:
- Juniper vSRX Geräte.
- FortiGate.
- FortiGate Virtual Appliance.
- Bringen Sie Ihr eigenes Gateway-Gerät mit.
-
Kann jede der vCenter Server Optionen beinhalten, wie z.B. Caveonix, Entrust, und VMware vRealize Operations.
-
Optional können Sie die Verschlüsselung mit Hyper Protect Crypto Services, Key Protect und dem VMware KMIP Service verwenden. Weitere Informationen finden Sie unter KMIP for VMware Übersicht.
-
Tertiär-Backup-Server - Ein oder mehrere gehärtete Red Hat Enterprise Linux IBM Cloud Bare Metal Servers zur Aufnahme der folgenden Komponenten:
- IBM Spectrum Protect mit IBM Spectrum Protect for Virtual Environments. Weitere Informationen finden Sie unter IBM Spectrum Protect Cloud Blueprints.
- IBM Spectrum Protect Plus vSnap Server. Weitere Informationen finden Sie unter IBM Spectrum Protect Plus Blueprints.
-
Predatar Virtual Appliance - Besteht aus:
- VM - Eine vom Kunden bereitgestellte Microsoft Windows 2012 oder höher VM, die zum Hosten des Predatar-Agenten verwendet wird.
- Predatar Agent - ein kleiner Client, der auf der VM des Kunden gehostet wird und Abfragen an einen oder mehrere IBM Spectrum Protect/Spectrum Protect Plus Server sendet und die Abfragen an die Predatar Cloud weiterleitet.
-
Predatar CleanRoom- Der Predatar CleanRoom ist ein patentiertes Konzept, das virtualisierte Rechen-, Speicher- und Netzwerkfunktionen zu einem Wiederherstellungsziel zusammenführt, das sowohl automatisierte Wiederherstellungstests als auch orchestrierte Malware-Scans unterstützt. Die vCenter Server-Instanz mit VMware vSphere und NSX-T stellt die virtualisierten Rechen-, Speicher- und Netzwerkfunktionen bereit.
Wie man Cyber Recovery mit Predatar nutzt
Sie können ein separates IBM Cloud-Konto für die Bereitstellung Ihrer Predatar CleanRoom-Instanz verwenden. Dieser Prozess fördert die Trennung von Aufgaben zwischen dem Eigentumsrecht an einer anderen Produktions oder Disaster Recovery Lösung, die Sie in IBM Cloudhosten können.
Die Mindestanzahl der Hosts in einem konsolidierten Cluster beträgt drei, und die Mindestkonfiguration der Hosts ist 128 GB RAM und 20 Kerne mit 2.2 GHz, was insgesamt 384 GB RAM und 132 GHz im Cluster für Management- und Kunden-Workloads ergibt. Die Anzahl der Cluster, die Anzahl der Hosts im Cluster sowie die Kerne und der Arbeitsspeicher in den Hosts können skaliert werden. Siehe CPU-Modell und RAM.
- Für vSAN Storage, siehe vSAN Storage.
- Für NFS Speicher, siehe NFS Speicher.
Der kleinste IBM Cloud Classic Bare Metal Server für den IBM Spectrum Protect Plus vSnap Server besteht aus 4 x 1 TB Festplatten, was 2 TB in RAID 6 ergibt. Der größte Einzelserver besteht aus 34 x 12-TB-Festplatten, was 384 TB in RAID 6 ergibt.
Weitere Informationen zu kleinen, mittleren und großen Konfigurationen mit Direct-to-Cloud- oder Disk-to-Cloud-Tiering-Modellen finden Sie unter IBM Spectrum Protect Cloud Blueprints.
Um Ihren Predatar CleanRoom auf der Grundlage einer VCF for Classic – Automated-Instanz zu erstellen, folgen Sie dem Verfahren zur Bestellung von vCenter Server-Instanzen:
- In Schritt 4 wählen Sie Primär.
- In Schritt 6 bestellen Sie Private Netzwerke.
- In Schritt 7 bestellen Sie einen Edge-Gateway-Cluster mit der von Ihnen bevorzugten Firewall-Option:
- Wenn Sie Juniper vSRX, auswählen, siehe Bestellung von Juniper vSRX.
- Wenn Sie FortiGate, wählen, siehe Bestellung von FortiGate Virtual Appliance.
- Wenn Sie sich für die Option "Bring Your Own Gateway Appliance" entscheiden, lesen Sie die Installationsanweisungen, die Sie von Ihrem Firewall-Anbieter erhalten.
- Wenn Sie FortiGate Security Appliance wählen, siehe Create FortiGate Security Appliance 10 Gbps.
Nach der Bereitstellung Ihrer vCenter Serverinstanz:
-
Konfigurieren Sie Ihre Firewalls, indem Sie die Dokumentation des Herstellers als Leitfaden und die folgenden Informationen verwenden:
-
Stellen Sie eine Windows-VM bereit.
-
Setzen Sie den Predatar-Agenten ein.
Um IBM Cloud Classic Bare Metal Server zu bestellen, siehe Bau eines kundenspezifischen Bare Metal Servers.
- Wählen Sie als Hersteller des Betriebssystems Red Hat und als Version 8.x (64 bit).
- Wählen Sie das gewünschte Serverprofil aus.
- Wählen Sie die gewünschte Anzahl und Größe der Festplatten.
- Stellen Sie sicher, dass Sie dasselbe private VLAN auswählen, in dem die vCenter Serverinstanz bereitgestellt wird.