利用自带设备进行网络恢复

网络恢复是 NIST 网络安全框架中描述的五项功能之一。 其定义是制定和实施适当的活动，以维持恢复能力计划，并恢复因网络安全事件而受损的任何能力或服务。 其他四项功能是识别、保护、检测和响应。

本文档描述了一个高级架构，可用于协助满足您的自定义网络恢复要求。 解决方案架构使用一个 VMware Cloud Foundation for Classic - Automated 实例，并可选择自带具有不可变数据存储功能的数据移动器。

如果您想通过隔离恢复环境扩展自己的备份解决方案，同时最大限度地降低成本，那么该解决方案就非常适合您。

{: caption="网络恢复隔离环境架构，自带数据移动器和不可变存储" caption-side="bottom"}

解决方案架构的关键要素包括

• VCF for Classic - Automated 实例仅用于网络恢复任务，部署在仅限于网络恢复活动的 IBM Cloud 账户中。 有关详细信息，请参阅 VMware Solutions。

• VCF for Classic - Automated 实例可以使用 VMware vSAN 或使用 NFS 数据存储，请参阅 物理存储设计。

• VCF for Classic - Automated 实例不托管生产或灾难恢复工作负载。

• VCF for Classic - Automated实例包括一个网关群集，用于托管以下任一设备，以保护VCF for Classic - Automated实例网络。 它还在生产环境和隔离恢复环境之间提供了一个网络空隙：

  • 瞻博网络® vSRX设备
  • FortiGate® 安全设备
  • FortiGate® 虚拟设备
  • 自带网关设备

• 该解决方案架构不排除任何 vCenter 服务器选项，如 Caveonix、Entrust 和 VMware Aria® Operations™。

• 您可以选择使用 Hyper Protect Crypto Services、Key Protect 和 VMware KMIP 服务进行加密。 更多信息，请参阅 KMIP的 VMware 概述。

• BYO（自带）数据移动器和不可变存储库是您希望在隔离恢复环境中实例化的备份技术。

• 管理虚拟机是您的自动化服务器，可用于自动执行大量网络任务，如

  • 打开和关闭气隙
  • 自动安装备份和网络工具集扫描
  • 创建沙盒

• 可通过使用 VMware NSX-T™ 叠加网段、逻辑路由、分布式防火墙和网络地址转换来配置沙箱，以提供网络隔离区，挂载网络恢复备份，供网络工具集检查。

• Cybertoolsets 是客户提供的工具，可在隔离恢复环境中作为虚拟机运行，并访问网络备份进行验证和分析。

• 网络管理员是有权访问隔离恢复环境的客户人员，应与管理生产环境和灾难恢复环境的管理员不同，以促进职责分离。

• 跳转服务器用于网络管理员访问隔离恢复环境。

• 只有在需要时，气隙才能实现生产环境与隔离恢复环境之间的网络连接。

• 解决方案架构与生产环境的位置无关。 不过，生产环境与网络恢复站点之间需要网络连接。