Security Center的防勒索服務通過為伺服器和資料庫建立加密的隔離備份,來確保在遭遇勒索攻擊後,能夠快速恢複資料,保障商務持續性。本文將介紹如何進行容量規劃、購買防勒索容量、完成授權以全面啟用防勒索能力。
選擇計費方式
防勒索服務是獨立於Security Center基礎版本的增值服務,需要單獨購買。按購買的防勒索容量(用於儲存備份資料的專用儲存空間)計費,而非按防護的伺服器台數。支援兩種計費方式:
計費方式 | 適用情境 | 優點 |
訂用帳戶 | 適用於業務量穩定、需要長期進行資料備份的生產環境。 | 相比隨用隨付有更大的價格優惠,成本可預測。 |
隨用隨付 | 適用於業務有彈性波動、臨時測試或短期備份需求的情境。 | 按實際使用量付費,靈活啟停,無需預先投入。 |
評估所需容量
合理規劃容量,是確保資料持續受保護、同時避免資源浪費的關鍵。
容量估算方法:備份容量主要受四大因素影響:來源資料大小、資料壓縮率、備份保留周期和資料變動率。
首次備份:任務首次執行時為全量備份。備份資料經壓縮後,實際佔用容量通常為源檔案大小的 60% ~ 80%。
後續備份:之後均為增量備份,僅備份發生變化的資料部分。
推薦購買容量估算公式:推薦容量 =(來源資料總量 × 壓縮比) +(日均資料增量 × 備份保留天數)。
重要為預留業務增長和資料波動空間,建議購買略高於計算值的容量。
估算樣本:
假設有一台Web伺服器,網站檔案和資料庫共 20GB,每日資料增量約 1GB,希望保留最近 7天的備份。
推薦容量 ≈ (20GB × 70%)+ (1GB × 7天)= 14GB + 7GB = 21GB。
購買防勒索容量
訂用帳戶
登入並訪問購買頁
訪問Security Center控制台-防護設定-主機防護-防勒索,在頁面左側頂部,選擇需防護資產所在的地區:中國內地或非中國內地。
單擊立即購買,進入訂單升級頁面。
說明也可使用阿里雲帳號直接登入並訪問Security Center購買,其中購買方式選擇訂用帳戶。更多資訊,請參見購買Security Center。
配置防勒索容量
在防勒索地區,將是否選購置為是,並根據業務用量,選擇購買數量(資料備份容量)。
單擊立即購買並完成支付。
關於購買參數的更多資訊,請參見購買Security Center。
隨用隨付
登入控制台
訪問Security Center控制台-防護設定-主機防護-防勒索,在頁面左側頂部,選擇需防護資產所在的地區:中國內地或非中國內地。
開通隨用隨付
在隨用隨付開通彈窗中,單擊開通隨用隨付。
重要若勾選設定推薦策略,將自動對現有伺服器的重要檔案路徑做定期備份,如需調整請進入防勒索頁面修改策略,具體操作請參見修改伺服器防勒索、修改資料庫防勒索策略。
單擊立即購買並完成支付。
完成服務授權
為確保Security Center防勒索服務能夠正常運行,需要獲得訪問雲上資產(如ECS伺服器)並執行自動化備份與恢複任務的許可權。根據使用情境,授權分為首次開通和為新增地區補齊授權兩種情況。
首次開通服務授權
在首次購買或開通防勒索服務時,系統會引導完成一次性授權。
操作步驟:在防勒索服務頁面,根據提示單擊去授權按鈕。
系統行為:系統將自動為建立所有必需的服務關聯角色,並授予服務運行所需的基礎許可權。
為新增地區補充授權
自2024年12月20日起,Security Center防勒索備份服務新增支援華北6(烏蘭察布)與華南2(河源)地區的ECS伺服器,此地區內的資料需要額外許可權。
重要若未完成授權,將導致上述地區的伺服器無法使用防勒索備份服務。
操作步驟:請參考首次開通服務授權的指引,在控制台再次確認並完成授權流程,系統會智能判斷並補充缺失的許可權。
系統行為:系統將自動建立服務關聯角色
AliyunServiceRoleForHbrMagpieBridge,並授予服務運行所需的最小許可權。
角色詳解
服務關聯角色
關聯服務
主要職能
AliyunServiceRoleForSasSecurity Center
提供基礎服務許可權,允許防勒索功能與Security Center進行聯動。
AliyunServiceRoleForHbrMagpieBridge雲備份
負責執行實際的資料備份和恢複操作,是實現防勒索保護的關鍵。
更多內容,請參見Security Center服務關聯角色。
配置防護策略
購買防勒索容量後需建立並啟用防護策略,待備份任務成功執行後,您的資料才能真正擁有可恢複的備份副本。
建立防護策略:定義要保護的資產(伺服器或資料庫)、要備份的具體內容(檔案目錄或資料庫執行個體)和備份計劃(執行頻率和資料保留天數)。
伺服器防勒索:建立防護策略及用戶端
資料庫防勒索:建立防護策略。
驗證備份狀態:策略建立並運行後,請在防勒索頁面的備份工作清單頁簽中,確認備份任務是否成功執行。
常見問題
容量與計費
購買的容量是所有伺服器共用的嗎?
是的。單個地區(Region)內購買的容量,由該地區下所有受保護的資產(伺服器和資料庫)共同使用。
如果備份時容量不足會發生什嗎?
備份任務將失敗,相關的防護策略會被系統自動禁用。Security Center會通過站內信或簡訊通知您容量預警。在擴容或清理出足夠空間前,資料將無法得到新的備份保護。
如何清理備份資料釋放容量?
在防勒索頁面的容量統計後單擊釋放。支援的擇釋放方式如下:
刪除可恢複資料版本。
備份策略中將防護機器移除,具體操作請參見管理防護策略中的伺服器。
刪除防護策略,具體操作請參見管理伺服器防勒索策略、管理資料庫防勒索策略。
Security Center進階版/企業版包含免費的防勒索容量嗎?
不包含。防勒索容量是一項獨立的增值服務,需要單獨購買。無論您使用免費版、進階版還是企業版,都需購買此服務。
故障排查與恢複
伺服器中毒後,防勒索用戶端顯示“異常”或“離線”,導致恢複失敗怎麼辦?
這是勒索病毒破壞了伺服器作業系統或安全軟體導致的常見情況。此時,由於用戶端無法正常工作,直接恢複資料可能會失敗。
推薦恢複流程(最佳實務):
使用快照恢複系統:立即使用最近的可用 ECS 快照 復原伺服器,將伺服器的作業系統和運行環境恢複到健康狀態。此操作也會恢複防勒索用戶端至正常工作狀態。
使用防勒索恢複資料:系統復原後,再使用防勒索(資料備份)功能,將您的核心業務檔案恢複到比快照時間點更新的、最近的備份版本。
為什麼我開通了防勒索服務,伺服器還是中毒了?
配置錯誤:未正確建立防護策略或未將伺服器加入防護,請儘快配置防護策略。
用戶端離線:防勒索用戶端損壞或離線,無法提供保護,解決方案請參考防勒索用戶端和備份任務異常狀態排查。
未購買主機防護服務: 若僅購買備份空間,則不包含主動防禦功能,無法提供事前和事中的防勒索服務,更多內容請參見主機防護設定。