IBM Cloud Docs
Cyberwiederherstellung mit Predatar

Cyberwiederherstellung mit Predatar

Eine VMware vCenter Server-Instanz kann Predatar ® Cyber Recovery Orchestration und ein Predatar CleanRoom™hosten.

Predatar Cyber Recovery Orchestration automatisiert und koordiniert die Wiederherstellung und das Scannen von Malware von Sicherungen in einem Predatar CleanRoom. Dieser Prozess ermöglicht Unternehmen zu verstehen, welche ihrer virtuellen Maschinen (VMs) ihre erforderlichen Ziele nicht erfüllen und eine schnelle Wiederherstellung nach einem Cyberangriff gefährden könnte. Weitere Informationen finden Sie unter Daten vor Ransomware-Angriffen schützen.

Diese Architektur eignet sich für Clients, die eines oder beide der folgenden Elemente in der Quellenumgebung verwenden:

  • IBM Spectrum Protect mit IBM Spectrum Protect for Virtual Environments.
  • IBM Spectrum Protect Plus.

Die folgenden IBM Cloud®-Produkte können zum Hosten der Predatar Cyber Recovery Orchestration und des Predatar CleanRoomverwendet werden:

  • Eine IBM Cloud vCenter Server-Instanz wird mit den folgenden Add-on-Services bestellt:
    • Edge-Gateway-Das Edge-Gateway hostet die Firewall-Appliances.
    • Es wird eine Firewall unterstützt-Juniper ®, Fortigate ® oder Bring Your Own Firewall.
  • Mindestens ein Bare-Metal-Server mit Red Hat Enterprise Linux (RHEL) IBM Cloud wird wie folgt bestellt und verwendet:
    • IBM Spectrum Protect mit IBM Spectrum Protect for Virtual Environments.
    • IBM Spectrum Protect Plus vSnap-Server.

Wenn Sie einen Instant Mount aus Objektspeicher ausführen, wird vSnap zum Zwischenspeichern von Lese-und Schreibvorgängen verwendet, sodass eine VM, die auf der vCenter Server-Instanz gehostet wird, verwendet werden kann.

Übersicht über Cyberwiederherstellung mit Predatar

Das folgende Diagramm zeigt die allgemeine Architektur:

Übersicht über Predatar on VMware Solutions
Abbildung 1. Übersicht über Predatar on VMware Solutions

  1. VMs mit VMware-Tools, einschließlich des installierten Thin Agent (auch Gastintrospektion genannt), werden auf den Quellensicherungsservern gesichert.
  2. Sicherungsdaten werden von den Quellensicherungsservern auf den von IBM Cloud gehosteten tertiären Sicherungsservern repliziert.
  3. Metadaten werden von den Quellensicherungsservern und den tertiären Sicherungsservern von den Predatar-Agenten erfasst und an die Predatar-Cloud gesendet.
  4. Predatar Cyber Recovery Orchestration wird verwendet, um die Wiederherstellung und Tests der VMs zu automatisieren und stellt Berichte und Benachrichtigungen bereit.
  5. Im CleanRoomverwenden Wiederherstellungstests den Instant Mount-Zurückschreibungstyp vom vSnap-Server, um die Sicherungsdateien an die ESXi-Hosts zu streamen und die VM schnell zurückzuschreiben. Wiederherstellungstests können mit oder ohne Orchestrierung eines Malware-Scans durchgeführt werden. Wenn Sie IBM Spectrum Protect mit IBM Spectrum Protect for Virtual Environmentsverwenden, stammen die Wiederherstellungen aus dem VMware-Datenspeicher.
  6. Wenn ein Wiederherstellungstest einen Malware-Scan umfasst, werden agentenlose EDR-Tools (End-Point Detection Response) verwendet, um wiederhergestellte Workloads zu scannen und zu bereinigen. Die EDR-Tools sind aus den EDR-Plattformen von Gartner oben rechts ausgewählt und verwenden eine Kombination aus Scannen von Dateisignaturen, maschinellem Lernen, speicherinterner Analyse (zur Identifizierung von dateiloser Malware), Variantenschutz, Verhaltensanalyse und Überwachung für Scripts, Injektion und Ransomware, um nach aktiven oder ruhenden Bedrohungen in wiederhergestellten Workloads zu suchen.
  7. Die EDR-Komponenten werden kontinuierlich aktualisiert und zum automatischen Schutz korreliert.
  8. Nach Abschluss des Wiederherstellungstests werden die Metriken für diese VM gespeichert und für die Berichterstellung verfügbar.

Cyberwiederherstellung mit Predatar-Architektur

Das folgende Diagramm zeigt weitere Details zur Architektur der Instanz von vCenter Server:

Architektur von Predatar auf VMware Solutions
Abbildung 2. Architektur von Predatar auf VMware Solutions

Primäres oder sekundäres Rechenzentrum:

  • Quellen-VMs-Die Client-VMs, die durch den Predatar-Service geschützt werden müssen Für die VMs sind VMware Tools Thin Agents erforderlich, die Teil von VMware Endpoint Protection sind (auch als Gastintrospektion bezeichnet), die auf ihnen installiert sind, damit sie nach ihrer Wiederherstellung im CleanRoom gescannt werden können. Die VMware-Gastintrospektion ist kostenlos für alle vorhandenen VMware-Instanzen. Weitere Informationen finden Sie unter Endpunktschutz.
  • Thin Agent-Der Thin Agent, auch bekannt als File Introspection-Treiber, ist der Dateiintrospektionsagent, der in der VM ausgeführt wird, die Teil von VMware Tools ist. Es handelt sich um einen generischen und einfachen Agenten, der das Auslagern von Dateien und Prozessen für das Scannen erleichtert.
  • Quellensicherungsserver-Diese Server sind Teil der IBM Spectrum Protect with IBM Spectrum Protect for Virtual Environments-oder IBM Spectrum Protect Plus-Umgebung des Clients und für die Replikation von Sicherungen auf den tertiären Sicherungsserver konfiguriert.
  • Predatar Virtual Appliance-Besteht aus:
    • VM-Eine vom Kunden bereitgestellte VM von Microsoft Windows 2012 oder höher, die zum Hosten des Predatar Agent verwendet wird.
    • Predatar Agent-Ein Client mit geringem Speicherbedarf, der auf der VM des Kunden gehostet wird und Abfragen an einen oder mehrere IBM Spectrum Protect/Spectrum Protect Plus-Server sendet und die Abfragen an die Predatar Cloud sendet.

Predatar-Cloud:

  • Predatar Cloud-Predatar ist eine SaaS-Cloudlösung, die in der Predatar Cloud gehostet wird. Predatar hat derzeit Wolken in Dallas, London und Frankfurt. Sie werden alle von IBM Cloud bereitgestellt und dienen zur Speicherung der IBM Spectrum Protect-und Protect Plus-Metadaten des Kunden.
  • Metadata-Predatar speichert eine unbegrenzte Menge an Metadatenhistorie in seinem Multi-Tenant-Data Lake. Diese Daten werden von Predatar verwendet, um die Analyse-und Machine-Learning-Funktionen der Plattform zu unterstützen.
  • Clientzugriff-Rollenbasierte Zugriffssteuerung (RBAC) wird verwendet, um den Zugriff auf Daten zu steuern, und kann auf differenzierter Ebene für Kunden konfiguriert werden.

Konto IBM Cloud:

  • vCenter-Serverinstanz-nur für Cyber-Wiederherstellungstasks verwendet, bereitgestellt in einem IBM Cloud-Konto, beschränkt auf Cyber-Wiederherstellungsaktivitäten. Weitere Informationen zu vCenter Server Instanzen finden Sie unter Übersicht über VMware Solutions.

Die vCenter Server-Instanz:

  • Kann VMware vSAN oder NFS-Datenspeicher verwenden. Weitere Informationen finden Sie unter Physical storage design.

  • Hostet keine Produktions-oder Disaster-Recovery-Workloads, sondern wird vorübergehend verwendet, um eine infizierte Maschine wiederherzustellen und anschließend im CleanRoomzu bereinigen.

  • Schließt einen Edge-Cluster ein, um eine der folgenden Optionen zum Schutz von vCenter Server-Instanznetzen zu hosten:

    • Juniper vSRX-Appliances.
    • FortiGate Security Appliance
    • FortiGate Virtual Appliance.
    • Verwenden Sie Ihre eigene Gateway-Appliance.

  • Kann alle Optionen von vCenter Server enthalten, wie z. B. Caveonix, Entrust und VMware vRealize Operations.

  • Optional können Sie die Verschlüsselung mit Hyper Protect Crypto Services, Key Protect und dem VMware KMIP Service verwenden. Weitere Informationen finden Sie unter KMIP for VMware Übersicht.

  • Tertiäre Sicherungsserver-Mindestens einer der permanent gespeicherten Red Hat Enterprise Linux IBM Cloud Bare Metal Servers zum Hosten der folgenden Komponenten:

  • Predatar Virtual Appliance-Besteht aus:

    • VM-Eine vom Kunden bereitgestellte VM Microsoft Windows 2012 oder höher, die zum Hosten des Predatar-Agenten verwendet wird.
    • Predatar Agent-Ein Client mit geringem Speicherbedarf, der auf der VM des Kunden gehostet wird und Abfragen an einen oder mehrere IBM Spectrum Protect/Spectrum Protect Plus-Server sendet und die Abfragen an die Predatar Cloud sendet.

  • Predatar CleanRoom-Der Predatar CleanRoom ist ein patentiertes Konzept, das virtualisierte Rechenleistung, Speicher und Netzbetrieb zu einem Wiederherstellungsziel vereint, das sowohl automatisierte Wiederherstellungstests als auch koordinierte Malwarescans unterstützt. Die vCenter-Serverinstanz mit VMware vSphere und NSX-T stellt die virtualisierte Rechenleistung, den Speicher und den Netzbetrieb bereit.

Verwendung von Cyber Recovery mit Predatar

Sie können ein separates IBM Cloud-Konto verwenden, um Ihre Predatar CleanRoom-Instanz in bereitzustellen. Dieser Prozess fördert die Trennung von Aufgaben zwischen dem Eigentumsrecht an einer anderen Produktions oder Disaster Recovery Lösung, die Sie in IBM Cloudhosten können.

Die minimale Anzahl von Hosts in einem konsolidierten Cluster beträgt drei und die minimale Hostkonfiguration beträgt 128 GB RAM und 20 Kerne mit 2.2 GHz. Dies ergibt 384 GB RAM und 132 GHz im Cluster für Management-und Kundenworkloads. Die Anzahl der Cluster, die Anzahl der Hosts im Cluster sowie die Kerne und RAM in den Hosts können skaliert werden. Siehe CPU-Modell und RAM.

  • Informationen zu vSAN Storage finden Sie unter vSAN Storage.
  • Informationen zum NFS-Speicher finden Sie unter NFS Storage.

Der kleinste Bare-Metal-Server IBM Cloud Classic für den IBM Spectrum Protect Plus vSnap-Server wäre 4 x 1 TB Platten, was 2 TB in RAID 6 ergibt. Der größte Einzelserver wäre 34 x 12 TB Platten, was 384 TB in RAID 6 ergibt.

Weitere Informationen zu kleinen, mittleren und großen Konfigurationen mit Direct-to-Cloud-oder Disk-to-Cloud-Tiering-Modellen finden Sie unter IBM Spectrum Protect Cloud Blueprints.

Um Ihren Predatar- CleanRoom auf der Basis einer VMware vCenter Server-Instanz zu erstellen, befolgen Sie die Prozedur zum Bestellen von vCenter Server-Instanzen:

  1. Wählen Sie in Schritt 4 Primär aus.
  2. Bestellen Sie in Schritt 6 Private Netze.
  3. Bestellen Sie in Schritt 7 einen Edge-Gateway-Cluster mit Ihrer bevorzugten Firewalloption:
    • Wenn Sie Juniper vSRXauswählen, finden Sie weitere Informationen unter Juniper vSRX.
    • Wenn Sie FortiGateauswählen, finden Sie weitere Informationen unter FortiGate Virtual Appliance bestellen.
    • Wenn Sie "Bring Your Own Gateway Appliance" auswählen, lesen Sie die Installationsanweisungen, die von Ihrem Firewallanbieter bereitgestellt werden.
    • Wenn Sie FortiGate Security Appliance auswählen, finden Sie weitere Informationen unter FortiGate Security Appliance 10 Gb/s erstellen.

Nach der Bereitstellung Ihrer vCenter Serverinstanz:

  1. Konfigurieren Sie Ihre Firewalls anhand der Dokumentation des Anbieters als Leitfaden und der folgenden Informationen:

  2. Implementieren Sie eine Windows-VM.

  3. Implementieren Sie den Predatar-Agenten.

Informationen zur Bestellung von IBM Cloud Classic Bare-Metal-Servern finden Sie unter Angepassten Bare-Metal-Server erstellen.

  1. Wählen Sie als Betriebssystemanbieter Red Hat und als Version 8.x (64 Bit) aus.
  2. Wählen Sie das erforderliche Serverprofil aus.
  3. Wählen Sie die erforderliche Anzahl und Größe der Platten aus.
  4. Stellen Sie sicher, dass Sie dasselbe private VLAN auswählen, in dem die vCenter Server-Instanz bereitgestellt wird.