為防止伺服器和資料庫因勒索病毒攻擊導致資料被加密、泄露或丟失,Security Center提供了一個集事前攔截、事中誘捕、事後恢複於一體的縱深防禦體系。防勒索服務(資料備份)是保障資料安全的最後一道防線,與雲備份深度整合,通過歷史備份快速恢複核心資料,最大限度地減少業務中斷和資料損失。
核心功能
根據防護對象的不同,防勒索(資料備份)功能分為伺服器防勒索和資料庫防勒索。
對比維度 | 服务器防勒索 | 数据库防勒索 |
防護對象 | 伺服器上的業務檔案和目錄。 重要 請勿將“服务器防勒索”用於備份資料庫檔案,此模式無法保證資料庫資料一致性。 | 部署在伺服器上的自建資料庫,例如在ECS上安裝的MySQL、Oracle、SQL Server等。 |
防護原理 | 對指定的關鍵檔案和目錄進行周期性備份。 | 調用資料庫原生API介面進行備份,能夠保障備份資料的應用級一致性。 |
核心價值 | 保護關鍵業務檔案、應用程式、設定檔等非結構化資料。 | 為自建資料庫提供可靠、一致的備份與恢複能力,是保護核心交易資料的最佳實務。 |
關鍵限制 | 不支援防護掛載路徑(例如將OSS、NAS掛載到ECS上的地址)。 |
|
工作流程
防勒索(資料備份)工作流程分為以下四個階段:
開通與授權
購買防勒索容量並完成服務授權,系統會自動開通關聯的雲備份服務。具體操作,請參見開通併購買防勒索服務。
說明雲備份服務的開通和儲存費用均已包含在購買的防勒索容量中,無需額外收費。
配置備份策略
根據的業務情境,為需要保護的伺服器或資料庫建立相應的防護策略,設定備份周期和範圍。具體操作,請參見建立服務。
說明阿里雲ECS伺服器:系統可自動識別伺服器所在地區,自動篩選並展示支援地區內的伺服器資產,確保服務精準匹配。
非阿里雲伺服器(IDC、其他雲廠商等):在配置防護策略時,需手動選擇伺服器實際所在的地區。
自動執行備份
配置完成後,防勒索用戶端將根據設定的策略,在指定時間內自動將資料安全地傳輸至雲備份服務端
說明備份過程將消耗少量伺服器資源。
緊急恢複資料
在遭遇勒索病毒攻擊後,可通過建立恢複任務,使用最近的備份副本快速恢複被加密的資料。具體操作,請參見建立伺服器恢複任務、建立資料庫恢複任務。
適用範圍
通用限制
地區限制:部分地區不可用,支援範圍請參見支援的地區。
備份恢複限制:服務不支援將被勒索軟體加密後的檔案恢複到未加密狀態。
数据库防勒索限制
雲資料庫服務限制:不支援防護託管類的雲資料庫產品(如 RDS、PolarDB 等)。
網路環境限制:不支援部署在傳統網路環境下的ECS伺服器。
服务器防勒索限制
部署環境限制:不直接支援對容器(Container)內部目錄的防護。如需防護,必須先將容器內的目錄映射到宿主機伺服器上。
作業系統限制:僅在指定的作業系統版本上提供支援,支援範圍請參見支援的作業系統(伺服器防勒索)。
資源消耗與規劃
資源消耗說明:
資料庫防勒索:資源佔用可忽略不計。
伺服器防勒索:備份進程會佔用一定CPU和記憶體,資源消耗隨檔案數量和大小浮動,通常不會影響核心業務。
最低配置建議:
備份資料量
CPU
記憶體
10萬個檔案
雙核
4 GB
100萬個檔案,8 TB總量
雙核
8 GB
1,000萬個檔案
四核
16 GB
資源控制最佳化:如果希望嚴格控製備份任務的資源消耗,可以通過以下方式進行調優。
調整備份速率:平衡備份速度與資源佔用。具體操作,請參見備份及恢複速率
限制記憶體使用量:為備份用戶端設定記憶體上限,防止OOM問題。具體操作,請參見如何解決備份用戶端OOM問題。
計費說明
成本主要由購買的“防勒索容量”決定,與需要備份的檔案大小和備份保留周期相關,而非伺服器數量。
雲備份服務的開通和儲存費用均已包含,無需額外收費。
若誤將NAS/OSS等網路路徑加入防護,可能導致產生額外的來源站點訪問費用,請謹慎操作,更多內容請參見設定網路路徑防護(如 OSS/NAS)。
使用建議
構建多層恢複體系
建議:對於核心商務服務器,建議同時配置“ECS 快照”和“防勒索(資料備份)”。
說明:勒索病毒可能會破壞伺服器作業系統,導致防勒索用戶端損壞或離線,使資料恢複任務失敗。在這種極端情況下,最佳復原路徑:
使用快照恢複系統:立即使用最近的可用 ECS 快照 復原伺服器,將伺服器的作業系統和運行環境恢複到健康狀態。此操作也會恢複防勒索用戶端至正常工作狀態。
使用防勒索恢複資料:系統復原後,再使用防勒索(資料備份)功能,將您的核心業務檔案恢複到比快照時間點更新的、最近的備份版本。
避免備份工具衝突
建議:請勿將本產品與其他任何備份工具(如第三方軟體、自訂指令碼等)同時運行。
說明:並行作業會引發檔案讀寫衝突,極易導致備份任務失敗或產生無法恢複的損壞資料。
設定網路路徑防護(如 OSS/NAS)
建議:請勿將掛載的網路路徑(例如,將 OSS、NAS 掛載到伺服器上的目錄)添加到防勒索的防護目錄中。
說明:備份此類路徑會頻繁訪問源服務(OSS/NAS),可能導致產生高額的額外流量或請求費用。針對此類情境,建議直接使用雲備份相關功能,具體操作,請參見快速入門-OSS備份、快速入門-本地NAS備份。
設定資料庫檔案專屬防護
建議:伺服器中的資料庫檔案(如
.mdf,.ibd等)請使用“数据库防勒索”功能進行防護。說明:直接備份資料庫檔案無法保證資料的一致性和可恢複性,資料庫防勒索功能採用專業方式確保備份的有效性。
設定容器防護
建議:若需要防護容器中的目錄,則需要將該目錄映射到伺服器中。
說明:
防勒索(資料備份)功能是通過防護宿主機目錄來實現保護。因此,不直接支援備份位於容器內部、未映射的資料庫或檔案。
可使用
docker run命令的-v參數,建立宿主機與容器的目錄串連。命令格式:
docker run -v <宿主機目錄>:<容器內目錄> <鏡像名稱>樣本:
將容器內的
/app/data目錄映射到宿主機的/home/user/data目錄:docker run -v /home/user/data:/app/data your-image-name
附錄
支援的地區
功能名稱 | 地區 | 支援的地區 |
伺服器防勒索 | 中國內地 |
|
亞太地區 | 印尼(雅加達)、日本(東京)、馬來西亞(吉隆坡)、中國香港、新加坡、菲律賓(馬尼拉) | |
歐美地區 | 美國(矽谷)、美國(維吉尼亞)、德國(法蘭克福)、英國(倫敦) | |
中東 | 沙特(利雅得) | |
資料庫防勒索 | 中國內地 |
|
亞太地區 | 中國香港、新加坡 |
支援的作業系統(服务器防勒索)
服务器防勒索功能僅支援在下表所列的作業系統上安裝防勒索用戶端。
系統 | 支援的版本 |
Windows | 7、8、10、11 |
Windows Server | 2008 R2、2012、2012 R2、2016、2019、2022 |
RHEL | 7.0、7.2、7.4、7.5、7.6、7.7、7.8、8.0、8.1、8.2 |
CentOS | 6.5、6.9、7.2、7.3、7.4、7.5、7.6、7.7、7.8、7.9、8.2、8.3 |
Ubuntu | 14.04、16.04、18.04、20.04 |
SUSE Linux Enterprise Server | 11、12、15 |
Rocky Linux | 8.7 |
支援的資料庫和作業系統版本(数据库防勒索)
数据库防勒索功能僅支援在以下表格中的資料庫以及作業系統中安裝防勒索用戶端。
資料庫類型 | 支援的資料庫的版本 | 支援的作業系統的版本 |
Oracle | 9i |
|
10g |
| |
11g |
| |
12c |
| |
18c |
| |
19c | Oracle Enterprise Linux 7.0 | |
Oracle RAC | 9i | SUSE 9.3、RHEL |
10g | Windows 2008 R2 | |
11g |
| |
12c |
| |
18c | Windows 2008 R2 | |
19c | RHEL 7.6 | |
Oracle Data Guard | 11g |
|
12c | Oracle Enterprise Linux6 | |
MySQL | 5.0 |
|
5.1 |
| |
5.4 |
| |
5.5 |
| |
5.6 |
| |
5.7 |
| |
8.0~8.0.32 |
| |
SQL Server | 2005 | Windows 2008 R2 SP1 |
2008 | Windows 2008 R2、Windows 2008 R2 SP1 | |
2008 R2 | Windows 2008 R2 | |
2012 | Windows 2012 RC | |
2014 | Windows 2008 R2 SP1、Windows 2016 | |
2016(RTM) | Windows 2012 R2 | |
2017 | Windows 2012、Windows 2016 | |
2019 | Windows 2016 | |
SQL Server Always On | 2012、2016、2017 | Windows 2012 R2 |
網路存取點
存取點類型說明:
管理面:用於防勒索用戶端和雲備份服務端傳輸控制訊號。
資料面:用於傳輸備份資料。
阿里雲伺服器
防護策略為V2.0存取點
地區 | 類型 | 公網存取點網域名稱 | VPC網路存取點網域名稱 |
華東1(杭州) | 管理面 | post-cn-mp90rcien05.mqtt.aliyuncs.com | post-cn-mp90rcien05-internal.mqtt.aliyuncs.com |
資料面 | *.oss-cn-hangzhou.aliyuncs.com | *.oss-cn-hangzhou-internal.aliyuncs.com | |
華東2(上海) | 管理面 | post-cn-4590rcihm02.mqtt.aliyuncs.com | post-cn-4590rcihm02-internal.mqtt.aliyuncs.com |
資料面 | *.oss-cn-shanghai.aliyuncs.com | *.oss-cn-shanghai-internal.aliyuncs.com | |
華北1(青島) | 管理面 | post-cn-n6w1oj5j506.mqtt.aliyuncs.com | post-cn-n6w1oj5j506-internal-vpc.mqtt.aliyuncs.com |
資料面 | *.oss-cn-qingdao.aliyuncs.com | *.oss-cn-qingdao-internal.aliyuncs.com | |
華北2(北京) | 管理面 | post-cn-mp90rcibd04.mqtt.aliyuncs.com | post-cn-mp90rcibd04-internal.mqtt.aliyuncs.com |
資料面 | *.oss-cn-beijing.aliyuncs.com | *.oss-cn-beijing-internal.aliyuncs.com | |
華北3(張家口) | 管理面 | post-cn-45917akja09.mqtt.aliyuncs.com | post-cn-45917akja09-internal.mqtt.aliyuncs.com |
資料面 | *.oss-cn-zhangjiakou.aliyuncs.com | *.oss-cn-zhangjiakou-internal.aliyuncs.com | |
華北5(呼和浩特) | 管理面 | post-cn-0pp1epkb50h.mqtt.aliyuncs.com | post-cn-0pp1epkb50h-internal.mqtt.aliyuncs.com |
資料面 | *.oss-cn-huhehaote.aliyuncs.com | *.oss-cn-huhehaote-internal.aliyuncs.com | |
華南1(深圳) | 管理面 | post-cn-v0h0rcijv04.mqtt.aliyuncs.com | post-cn-v0h0rcijv04-internal.mqtt.aliyuncs.com |
資料面 | *.oss-cn-shenzhen.aliyuncs.com | *.oss-cn-shenzhen-internal.aliyuncs.com | |
西南1(成都) | 管理面 | post-cn-st21piid30e.mqtt.aliyuncs.com | post-cn-st21piid30e-internal-vpc.mqtt.aliyuncs.com |
資料面 | *.oss-cn-chengdu.aliyuncs.com | *.oss-cn-chengdu-internal.aliyuncs.com | |
中國(香港) | 管理面 | mqtt-cn-v0h1cmss401.mqtt.aliyuncs.com | mqtt-cn-v0h1cmss401-internal.mqtt.aliyuncs.com |
資料面 | *.oss-cn-hongkong.aliyuncs.com | *.oss-cn-hongkong-internal.aliyuncs.com | |
新加坡 | 管理面 | post-cn-4590unarx01.mqtt.aliyuncs.com | post-cn-4590unarx01-internal.mqtt.aliyuncs.com |
資料面 | *.oss-ap-southeast-1.aliyuncs.com | *.oss-ap-southeast-1-internal.aliyuncs.com | |
馬來西亞(吉隆坡) | 管理面 | mqtt-cn-v0h1k5d7707.mqtt.aliyuncs.com | mqtt-cn-v0h1k5d7707-internal.mqtt.aliyuncs.com |
資料面 | *.oss-ap-southeast-3.aliyuncs.com | *.oss-ap-southeast-3-internal.aliyuncs.com | |
印尼(雅加達) | 管理面 | post-cn-4591ee94i03.mqtt.aliyuncs.com | post-cn-4591ee94i03-internal.mqtt.aliyuncs.com |
資料面 | *.oss-ap-southeast-5.aliyuncs.com | *.oss-ap-southeast-5-internal.aliyuncs.com | |
日本(東京) | 管理面 | post-cn-mp91kij0p01.mqtt.aliyuncs.com | post-cn-mp91kij0p01-internal-vpc.mqtt.aliyuncs.com |
資料面 | *.oss-ap-northeast-1.aliyuncs.com | *.oss-ap-northeast-1-internal.aliyuncs.com | |
德國(法蘭克福) | 管理面 | post-cn-mp91ki6sl0k.mqtt.aliyuncs.com | post-cn-mp91ki6sl0k-internal.mqtt.aliyuncs.com |
資料面 | *.oss-eu-central-1.aliyuncs.com | *.oss-eu-central-1-internal.aliyuncs.com | |
美國(矽谷) | 管理面 | mqtt-cn-mp91j6gou03.mqtt.aliyuncs.com | mqtt-cn-mp91j6gou03-internal.mqtt.aliyuncs.com |
資料面 | *.oss-us-west-1.aliyuncs.com | *.oss-us-west-1-internal.aliyuncs.com | |
美國(維吉尼亞) | 管理面 | post-cn-oew1qqlw309.mqtt.aliyuncs.com | post-cn-oew1qqlw309-internal-vpc.mqtt.aliyuncs.com |
資料面 | *.oss-us-east-1.aliyuncs.com | *.oss-us-east-1-internal.aliyuncs.com | |
阿聯酋(杜拜) | 管理面 | post-cn-oew1tb52204.mqtt.aliyuncs.com | post-cn-oew1tb52204-internal-vpc.mqtt.aliyuncs.com |
資料面 | *.oss-me-east-1.aliyuncs.com | *.oss-me-east-1-internal.aliyuncs.com | |
沙特(利雅得) | 管理面 | mqtt-cn-7pp2urf8g04.mqtt.aliyuncs.com | mqtt-cn-7pp2urf8g04-internal-vpc.mqtt.aliyuncs.com |
資料面 | *.oss-me-central-1.aliyuncs.com | *.oss-me-central-1-internal.aliyuncs.com |
防護策略為V1.0存取點
地區 | 類型 | 公網存取點網域名稱 | VPC網路存取點網域名稱 |
華東1(杭州) | 管理面 | post-cn-mp90rcien05.mqtt.aliyuncs.com | post-cn-mp90rcien05-internal.mqtt.aliyuncs.com |
hbr.cn-hangzhou.aliyuncs.com | hbr-vpc.cn-hangzhou.aliyuncs.com | ||
資料面 | *.oss-cn-hangzhou.aliyuncs.com | *.oss-cn-hangzhou-internal.aliyuncs.com | |
華東2(上海) | 管理面 | post-cn-4590rcihm02.mqtt.aliyuncs.com | post-cn-4590rcihm02-internal.mqtt.aliyuncs.com |
hbr.cn-shanghai.aliyuncs.com | hbr-vpc.cn-shanghai.aliyuncs.com | ||
資料面 | *.oss-cn-shanghai.aliyuncs.com | *.oss-cn-shanghai-internal.aliyuncs.com | |
華北1(青島) | 管理面 | post-cn-n6w1oj5j506.mqtt.aliyuncs.com | post-cn-n6w1oj5j506-internal-vpc.mqtt.aliyuncs.com |
hbr.cn-qingdao.aliyuncs.com | hbr-vpc.cn-qingdao.aliyuncs.com | ||
資料面 | *.oss-cn-qingdao.aliyuncs.com | *.oss-cn-qingdao-internal.aliyuncs.com | |
華北2(北京) | 管理面 | post-cn-mp90rcibd04.mqtt.aliyuncs.com | post-cn-mp90rcibd04-internal.mqtt.aliyuncs.com |
hbr.cn-beijing.aliyuncs.com | hbr-vpc.cn-beijing.aliyuncs.com | ||
資料面 | *.oss-cn-beijing.aliyuncs.com | *.oss-cn-beijing-internal.aliyuncs.com | |
華北3(張家口) | 管理面 | post-cn-45917akja09.mqtt.aliyuncs.com | post-cn-45917akja09-internal.mqtt.aliyuncs.com |
hbr.cn-zhangjiakou.aliyuncs.com | hbr-vpc.cn-zhangjiakou.aliyuncs.com | ||
資料面 | *.oss-cn-zhangjiakou.aliyuncs.com | *.oss-cn-zhangjiakou-internal.aliyuncs.com | |
華北5(呼和浩特) | 管理面 | post-cn-0pp1epkb50h.mqtt.aliyuncs.com | post-cn-0pp1epkb50h-internal.mqtt.aliyuncs.com |
hbr.cn-huhehaote.aliyuncs.com | hbr-vpc.cn-huhehaote.aliyuncs.com | ||
資料面 | *.oss-cn-huhehaote.aliyuncs.com | *.oss-cn-huhehaote-internal.aliyuncs.com | |
華南1(深圳) | 管理面 | post-cn-v0h0rcijv04.mqtt.aliyuncs.com | post-cn-v0h0rcijv04-internal.mqtt.aliyuncs.com |
hbr.cn-shenzhen.aliyuncs.com | hbr-vpc.cn-shenzhen.aliyuncs.com | ||
資料面 | *.oss-cn-shenzhen.aliyuncs.com | *.oss-cn-shenzhen-internal.aliyuncs.com | |
西南1(成都) | 管理面 | post-cn-st21piid30e.mqtt.aliyuncs.com | post-cn-st21piid30e-internal-vpc.mqtt.aliyuncs.com |
hbr.cn-chengdu.aliyuncs.com | hbr-vpc.cn-chengdu.aliyuncs.com | ||
資料面 | *.oss-cn-chengdu.aliyuncs.com | *.oss-cn-chengdu-internal.aliyuncs.com | |
中國(香港) | 管理面 | mqtt-cn-v0h1cmss401.mqtt.aliyuncs.com | mqtt-cn-v0h1cmss401-internal.mqtt.aliyuncs.com |
hbr.cn-hongkong.aliyuncs.com | hbr-vpc.cn-hongkong.aliyuncs.com | ||
資料面 | *.oss-cn-hongkong.aliyuncs.com | *.oss-cn-hongkong-internal.aliyuncs.com | |
新加坡 | 管理面 | post-cn-4590unarx01.mqtt.aliyuncs.com | post-cn-4590unarx01-internal.mqtt.aliyuncs.com |
hbr.ap-southeast-1.aliyuncs.com | hbr-internal.ap-southeast-1.aliyuncs.com | ||
資料面 | *.oss-ap-southeast-1.aliyuncs.com | *.oss-ap-southeast-1-internal.aliyuncs.com | |
馬來西亞(吉隆坡) | 管理面 | mqtt-cn-v0h1k5d7707.mqtt.aliyuncs.com | mqtt-cn-v0h1k5d7707-internal.mqtt.aliyuncs.com |
hbr.ap-southeast-3.aliyuncs.com | hbr.ap-southeast-3.aliyuncs.com | ||
資料面 | *.oss-ap-southeast-3.aliyuncs.com | *.oss-ap-southeast-3-internal.aliyuncs.com | |
印尼(雅加達) | 管理面 | post-cn-4591ee94i03.mqtt.aliyuncs.com | post-cn-4591ee94i03-internal.mqtt.aliyuncs.com |
hbr.ap-southeast-5.aliyuncs.com | hbr-vpc.ap-southeast-5.aliyuncs.com | ||
資料面 | *.oss-ap-southeast-5.aliyuncs.com | *.oss-ap-southeast-5-internal.aliyuncs.com | |
日本(東京) | 管理面 | post-cn-mp91kij0p01.mqtt.aliyuncs.com | post-cn-mp91kij0p01-internal-vpc.mqtt.aliyuncs.com |
hbr.ap-northeast-1.aliyuncs.com | hbr.ap-northeast-1.aliyuncs.com | ||
資料面 | *.oss-ap-northeast-1.aliyuncs.com | *.oss-ap-northeast-1-internal.aliyuncs.com | |
德國(法蘭克福) | 管理面 | post-cn-mp91ki6sl0k.mqtt.aliyuncs.com | post-cn-mp91ki6sl0k-internal.mqtt.aliyuncs.com |
hbr.eu-central-1.aliyuncs.com | hbr.eu-central-1.aliyuncs.com | ||
資料面 | *.oss-eu-central-1.aliyuncs.com | *.oss-eu-central-1-internal.aliyuncs.com | |
美國(矽谷) | 管理面 | mqtt-cn-mp91j6gou03.mqtt.aliyuncs.com | mqtt-cn-mp91j6gou03-internal.mqtt.aliyuncs.com |
hbr.us-west-1.aliyuncs.com | hbr.us-west-1.aliyuncs.com | ||
資料面 | *.oss-us-west-1.aliyuncs.com | *.oss-us-west-1-internal.aliyuncs.com | |
美國(維吉尼亞) | 管理面 | post-cn-oew1qqlw309.mqtt.aliyuncs.com | post-cn-oew1qqlw309-internal-vpc.mqtt.aliyuncs.com |
hbr.us-east-1.aliyuncs.com | hbr.us-east-1.aliyuncs.com | ||
資料面 | *.oss-us-east-1.aliyuncs.com | *.oss-us-east-1-internal.aliyuncs.com | |
阿聯酋(杜拜) | 管理面 | post-cn-oew1tb52204.mqtt.aliyuncs.com | post-cn-oew1tb52204-internal-vpc.mqtt.aliyuncs.com |
hbr.me-east-1.aliyuncs.com | hbr-vpc.me-east-1.aliyuncs.com | ||
資料面 | *.oss-me-east-1.aliyuncs.com | *.oss-me-east-1-internal.aliyuncs.com | |
沙特(利雅得) | 管理面 | mqtt-cn-7pp2urf8g04.mqtt.aliyuncs.com | mqtt-cn-7pp2urf8g04-internal-vpc.mqtt.aliyuncs.com |
hbr.me-central-1.aliyuncs.com | hbr-vpc.me-central-1.aliyuncs.com | ||
資料面 | *.oss-me-central-1.aliyuncs.com | *.oss-me-central-1-internal.aliyuncs.com |
非阿里雲伺服器
地區 | 類型 | 存取點網域名稱 |
華東1(杭州) | 管理面 | 100.103.8.175 |
post-cn-mp90rcien05-internal.mqtt.aliyuncs.com | ||
資料面 | *.oss-cn-hangzhou-internal.aliyuncs.com | |
華東2(上海) | 管理面 | 100.103.83.79 |
post-cn-4590rcihm02-internal.mqtt.aliyuncs.com | ||
資料面 | *.oss-cn-shanghai-internal.aliyuncs.com | |
華北1(青島) | 管理面 | 100.100.0.111 |
post-cn-n6w1oj5j506-internal-vpc.mqtt.aliyuncs.com | ||
資料面 | *.oss-cn-qingdao-internal.aliyuncs.com | |
華北2(北京) | 管理面 | 100.103.83.105 |
post-cn-mp90rcibd04-internal.mqtt.aliyuncs.com | ||
資料面 | *.oss-cn-beijing-internal.aliyuncs.com | |
華北3(張家口) | 管理面 | 100.100.1.236 |
post-cn-45917akja09-internal.mqtt.aliyuncs.com | ||
資料面 | *.oss-cn-zhangjiakou-internal.aliyuncs.com | |
華北5(呼和浩特) | 管理面 | 100.100.0.123 |
post-cn-0pp1epkb50h-internal.mqtt.aliyuncs.com | ||
資料面 | *.oss-cn-huhehaote.aliyuncs.com | |
華南1(深圳) | 管理面 | 100.103.31.50 |
post-cn-v0h0rcijv04-internal.mqtt.aliyuncs.com | ||
資料面 | *.oss-cn-shenzhen-internal.aliyuncs.com | |
西南1(成都) | 管理面 | 100.100.0.12 |
post-cn-st21piid30e-internal-vpc.mqtt.aliyuncs.com | ||
資料面 | *.oss-cn-chengdu-internal.aliyuncs.com | |
中國(香港) | 管理面 | 100.103.30.213 |
mqtt-cn-v0h1cmss401-internal.mqtt.aliyuncs.com | ||
資料面 | *.oss-cn-hongkong-internal.aliyuncs.com | |
新加坡 | 管理面 | 100.103.10.114 |
post-cn-4590unarx01-internal.mqtt.aliyuncs.com | ||
資料面 | *.oss-ap-southeast-1-internal.aliyuncs.com | |
馬來西亞(吉隆坡) | 管理面 | 100.100.0.225 |
mqtt-cn-v0h1k5d7707-internal.mqtt.aliyuncs.com | ||
資料面 | *.oss-ap-southeast-3-internal.aliyuncs.com |
常見問題
產品選型問題
防勒索(資料備份)與Elastic Compute Service快照有什麼區別?如何選擇?
對比區別:
ECS快照:對整個雲端硬碟進行區塊層級備份,適合整機災難恢複(系統崩潰、磁碟損壞),恢複粒度粗,恢復較長。
防勒索(資料備份):專註於檔案和資料庫級備份,粒度細(可恢複單檔案/資料庫),支援應用級資料一致性,恢複速度更快。
方案選擇:兩者是互補關係,而非替代關係。建議組合使用以獲得最全面的保護。
ECS快照作為系統級的災備方案。
防勒索功能應用於核心業務檔案和資料庫的精細化、高頻次防護。
什麼是誘餌捕獲功能?誘餌檔案能否手動刪除?
誘餌捕獲是Security Center高版本提供的一項主動防禦功能。它通過在您的伺服器中部署“蜜罐”檔案,提前識別並阻斷新型勒索病毒,從而保護真實資料安全。
工作原理
部署誘餌:在伺服器的多個關鍵目錄下(如
/home、/root、C/D盤根目錄等)建立隱藏的“誘餌檔案”。識別攻擊:當新型勒索病毒掃描並試圖加密這些充當“蜜罐”的檔案時,其惡意行為會被立即識別。
即時阻斷:Security Center會立刻阻斷該惡意進程,阻止其繼續破壞真實檔案。
重要提示:這些檔案是正常的安全防護檔案,無需手動刪除。更多內容,請參見主機防護設定。
功能支援問題
数据库防勒索功能支援阿里雲RDS資料庫嗎?
不支援。資料庫防勒索功能專為部署在Elastic Compute Service等IaaS環境中的自建資料庫設計。對於RDS、PolarDB等雲資料庫服務,請直接使用其內建的高可靠備份與恢複功能。
防勒索功能能否能主動防禦病毒還是只做備份恢複?
防勒索服務功能聚焦於事後恢複階段,即資料備份與恢複,完整的勒索防護體系還包括主動防禦(事前攔截和事中誘捕),三者共同構成縱深防禦體系。
主動防禦
說明主動防禦的功能需升級Security Center至防病毒版及以上。更多內容,請參見主機防護設定。
事前攔截:惡意主機行為防禦
雲端式上威脅情報,在病毒感染伺服器前,即時識別並攔截已知的勒索病毒家族,
事中誘捕:防勒索(誘餌捕獲)
通過在伺服器中部署陷阱檔案(誘餌),即時捕捉並攔截未知的勒索病毒。一旦檢測到針對誘餌的加密行為,系統會立即終止可疑進程,從而保護伺服器上的真實資料。
被動恢複
防勒索服務(資料備份)是最後的安全保證,在防禦系統被繞過等極端情況下,確保核心資料可以被快速恢複。
容量與計費問題
購買的“防勒索容量”是什嗎?如果超出容量會怎麼樣?
定義:勒索防護容量是為
防勒索(資料備份)功能購買的儲存空間,用於存放備份資料。其計費與需要備份的資料總量和備份保留周期相關,而非伺服器數量。超額後果:容量超過80%會收到警示。如果容量完全用滿,新的備份任務將會失敗,導致新產生的資料無法得到保護。已有的備份版本仍然可以用於恢複。
恢複與效能問題
恢複資料需要多長時間(RTO)?
恢復(RTO)取決於資料總量、網路頻寬、伺服器效能等因素,少量檔案通常在分鐘級完成,TB級大量資料可能需要數小時。
說明建議定期執行恢複演練,以擷取符合您業務情境的實際RTO指標。
防勒索服務可以恢複被加密的檔案嗎?
防勒索服務僅能恢複未被加密的歷史備份檔案。如果檔案已被加密,則無法通過防勒索功能直接恢複。推薦處理方案:
及時備份檔案,保持最新的備份版本
使用Security Center主機防護功能阻斷勒索病毒。