文 张大成|某大型IT公司数据存储安全技术专家

近年来，随着数据价值的不断挖掘，针对数据的攻击事件频发。在这个大趋势下，存储行业已将数据安全视为构建核心能力的关键方向。目前市场反馈显示，存储侧的勒索病毒防护方案逐渐被用户接纳。其中，存储加密方案作为一个合规方案，因业务免改造，性能高的优点，正日益获得用户的认可；通过不可变快照、备份副本来保证关键数据可恢复，更被看成存储的看家本领。在当前业界的安全防护体系中，尽管网络和主机的安全依然占据核心地位，但存储安全方案重要性日益凸显，成为整个网络安全纵深防御体系中不可或缺的一部分。

那么，未来存储的数据安全应该往哪里走？如何充分发挥存储技术的固有优势，在数据价值日益凸显的时代背景下，为用户的数据安全保障方案注入更多活力与效能？带着这些问题，笔者将一些工作中的碎片化的思考整理成简单的随笔，希望跟大家进行交流。

根据splunk，checkpoint等安全公司的报告，近年来，随着数据价值的不断挖掘，针对数据的攻击正在成为网络攻击的的主流。2022年，每个组织每周遭到攻击同比增长38%。其中大量的攻击是针对数据的，79%的企业曾经两年内遭受到勒索病毒攻击，35%造成数据和业务的影响。从攻击案例逐年增长趋势的来看，网络和主机侧构建的安全方案在面对日益增长的复杂攻击手段落于下风。

在这个大趋势下，存储的数据安全潜力不断被发掘，如：保护数据机密性的落盘加密方案，保护数据可用性和完整性的勒索检测和恢复技术，以及WORM、安全快照、灾备、归档技术等。落盘加密，可以解决存储介质被盗取后，数据泄露的问题。防勒索方案，则根据数据统计特征（如熵值变化、重删压缩率）的异常变化，来判断数据是否正在被大批加密。相对网络和主机侧的安全方案，存储系统在保护落盘数据时，拥有独到优势。

然而，也有一些用户在交流中，对存储安全方案的价值表达过质疑。例如，部分用户认为存储往往部署在网络深处，其安全能力仅作用在杀伤链的最后一个环节，即所谓的“最后一道防线”。存储中的数据受到攻击，意味着攻击者已经渗透到网络深层，并且取得了关键节点（如服务器或业务系统）上的执行权限。按照杀伤链理论，在杀伤链靠前的位置阻断攻击，收益越明显。因为越靠前阻断，攻击者对系统的侵入最小；而越靠后，则意味着攻击者对用户网络系统渗透越深入，破坏更多，损失也更大。

用户的疑问基于传统纵深防御体系，这在历史上是正确的。另一方面，这也造成了历史上业界重网络防护、轻数据防护的做法，这就好比一个家庭只用防盗门做了大门的安全改造，但家里的财宝却没有做任何保护、放在桌子上，任由侵入室内的小偷轻松获取所有财宝。然而，随着数据成为核心资产和生产要素，我们的安全设计理念正在悄然变革。数据安全的一个关键特点，是从数据生命周期的角度出发，确保数据在其全生命周期中都能得到与其价值相匹配的安全策略保护。鉴于数据易于修改和复制的特性，数据生命周期中，任何环节的安全防护不足，都可能导致数据资产的损失。因此，存储作为数据落盘的“容器”，其对数据安全的价值需要重新评估。根据零信任理论，攻击可能来自网络边界，也可能来自组织内部。当前，一些存储厂商开始将以往仅在高安全系统上使用的安全方案应用到存储设备上，例如金库模式（该模式要求对存储关键配置的修改必须得到多个管理员的同时确认）。这也反映了业界正在重新审视存储的定位，并强化存储在数据安全中的作用。

综上，未来的数据安全将更加注重数据全生命周期的保护，强化存储设备的安全措施，以更好地保护用户的数据资产，确保数据的安全和完整性。

下面是笔者对存储数据安全后续发力方向的一些思考：

方向一：存储安全方案边界外扩

在杀伤链更前端的位置开始，提供数据攻击的检测防护。主机与网络的安全能力结合，争取在数据被实际破坏前，对数据提供保护。为了达成这个目标有两种可行的思路：

思路1：更加深入的融入到用户安全纵深防御体系中，构建网存算一体的安全分析能力，将源自于网络、主机和存储的安全信息，进行整合分析并且进行联动。

存储将存储侧的检测结果上报给安全态势感知系统进行分析。同时，当安全态势感知系统发现网络侧或者主机侧的潜在攻击行为后，也可以通知存储提前通过快照、备份等方式对关键数据进行保护，或者断开备份系统与生产系统的网络链接，防止备份系统被入侵。当前，北美的存储厂商纷纷通过构建网存算一体的安全能力生态，存储侧与网络侧、主机侧的安全方案结合，提供更大范围的网络安全态势感知和DLP（数据防泄漏）等安全解决方案。

思路2：在主机上部署存储的私有客户端，将存储对攻击的检测能力扩展到主机侧。私有客户端采集到主机侧的信息（如进程对数据的访问行为）后，将该数据发送给存储用以建立进程的行为基线，结合存储上的数据特征变化侦测，构建更加精细的安全监测机制。

当发现主机侧出现了潜在攻击风险时，存储可以提前应对，如：通过安全快照、IO级CDP等业务无感的方式，对数据进行保护，同时通知管理员进行排查。事实上，有一些厂商已经开始了这个方面的探索。比如，在存储的备份方案中，往往需要在主机侧部署agent来执行备份操作。进一步的，一些备份厂商复用这个备份agent，对主机的安全状态进行监控，甚至在主机侧部署诱饵文件，加强对主机上的攻击行为的检测力度。

方向二：继续挖掘存储数据内生安全潜力

当前，存储保护方案主要侧重于确保数据的完整性和可用性。一旦遭受攻击，用户能够依赖备份和归档机制迅速恢复数据访问，从而最大限度地减少攻击造成的损失。然而，在保护数据机密性方面，现有方案显得相对薄弱。尽管存储落盘加密能够有效防止因介质丢失而导致的数据泄露，但在当前数据攻击场景下，数据泄露或破坏更多地源于网络、主机操作系统（OS）及业务访问控制的被突破。攻击者一旦获得权限，便能以合法身份从存储系统中提取数据。

针对这种问题，笔者有以下2个思路：

思路1：构建一套不依赖主机ACL的独立的鉴权机制。具体而言，可以考虑在存储中构建一套ABAC（基于属性的访问控制）机制，可以结合数据访问时间窗口、服务器的远程证明结果，甚至网络丢包率、报文延迟等信息，来综合判定是否允许对数据的访问。进一步，如果结合主机侧部署客户端agent的方案，我们可以进行更精细的访问控制，比如针对敏感数据提供更细粒度的访问控制，或者将特定目录的访问跟应用绑定起来。

思路2：更完善的攻击检测方案。目前，存储构建了防勒索的检测方案，并围绕检测能力构建了包括响应和恢复在内的一整套存储防勒索方案。未来，可以考虑将这种攻击检测能力向更广阔的攻击种类扩展，包括挖掘存储中可以预示攻击的数据特征，扩展检测算法等，来对内鬼的行为进行分析。同时，结合之前提到的方向一存储安全方案边界外扩的思路，对主机和网络侧的攻击行为进行更多维度的分析，特别是加强对数据窃取行为的检测。

方向三：提升存储系统安全方案，提升数据安全方案自身的抗攻击能力

当前，存储系统面临的主流攻击模式主要聚焦于攻破主机和服务器，攻击者一旦获取这些设备的权限，就能利用合法的读写操作来破坏存储中的数据。然而，随着存储安全防护技术的不断进步，攻击者未来在攻破主机和服务器后，将难以像以前那样能够轻松地对数据进行破坏。

为了应对这一挑战，攻击者可能会采取更为复杂的策略，比如在成功入侵主机或服务器后，他们会通过进一步渗透存储系统，试图破坏存储本身的安全防护机制，从而为后续的数据破坏行为扫清障碍。

针对这种预判，我们应重新审视存储系统自身的安全设计理念，即针对高安数据的安全保护机制要能在存储系统遭到一定破坏的情况下（比如攻击者获取存储系统的特权账户）仍能发挥作用。由于这类高安保护机制往往需要结合硬件特性，会对读写性能造成不可忽略的影响，所以全面覆盖所有数据提供全量的高安保护是不太现实的。我们需要从存储安全架构和系统架构出发，设计数据分类分级保护方案。最理想的情况是根据数据的分类分级和安全风险，对系统里的数据进行分门别类的保护，为高价值数据和业务提供抗攻击能力。

另外一个提升存储自身抗攻击的思路就是在盘上做文章。可以假想一下，在存储软件被攻破，攻击者获得所有权限的情况下，只要盘拒绝执行恶意操作，数据就是安全的。业界有厂商已经推出了防勒索检测盘，就是这个方向的一个尝试。

以上仅为个人的一些思考，后续有机会继续与大家分享