بررسی ذخیرهساز HPE Alletra MP B10000؛ معماری جامع امنیت سایبری بر پایه استاندارد NIST
- مقاومت همهجانبه: ترکیب ذخیرهساز B10000 با ابزارهایی نظیر Zerto، StoreOnce و VM Essentials برای ایجاد یک سپر دفاعی کامل.
- تشخیص سریع در سطح بلاک: موتور ضد باجافزار داخلی که میتواند در کمتر از ۵ دقیقه حملات را شناسایی کرده و اسنپشات (نسخه پشتیبان فوری) بگیرد.
- اسنپشاتهای غیرقابل تغییر: فناوری Virtual Lock از پاک شدن بکاپها حتی در صورت هک شدن حساب مدیر سیستم جلوگیری میکند.
- بازیابی ۴ لایه: امکان برگرداندن اطلاعات از طریق ۴ مسیر مختلف (از سریعترین تا امنترین روش) برای مقابله با هر نوع بحرانی.
- آماده برای قوانین جدید: سازگاری کامل با استانداردهای سختگیرانه اروپایی (مانند DORA و NIS2) از طریق ارسال لاگهای امنیتی به سیستمهای SIEM.
شرکت HPE یک معماری هماهنگ و قدرتمند برای مقاومت سایبری پیرامون ذخیرهساز Alletra Storage MP B10000 ایجاد کرده است. این معماری، قابلیتهای امنیتی خود پلتفرم را از طریق یک مجموعه یکپارچه گسترش میدهد؛ مجموعهای که شامل مجازیسازی با Morpheus و VM Essentials، محافظت مداوم از دادهها با Zerto، نگهداری طولانیمدت بکاپها با StoreOnce، و نظارت همهجانبه از طریق اتصال به سیستمهای امنیتی (SIEM) است.
تمام این طراحی به گونهای انجام شده که دقیقاً با چارچوب امنیت سایبری NIST CSF 2.0 همخوانی داشته باشد و B10000 به عنوان مرکز عملیاتی در تمام بخشهای این استاندارد عمل کند. هدف نهایی این معماری پاسخ به دو سوال کلیدی است که هر متخصص امنیتی میپرسد: آیا این زیرساخت هنوز تحت کنترل ماست؟ و آیا دادههای روی آن همچنان امن هستند؟
چرا امنیت ذخیرهسازها دیگر یک موضوع حاشیهای نیست؟
در گذشته، ذخیرهسازهای سازمانی (Enterprise Storage) معمولاً جایی در بحثهای کلان امنیتی نداشتند. در بیشتر سازمانها، مدیر امنیت اطلاعات (CISO) بیشتر نگران یک لپتاپ آپدیتنشده یا یک روتر تنظیمنشده بود و توجه چندانی به دستگاه ذخیرهساز داخل دیتاسنتر نداشت. ذخیرهساز پشت لایههای مختلفی از فایروالها قرار داشت، تنها چند مدیر محدود به آن دسترسی داشتند و روی کاغذ، امنترین دارایی سازمان محسوب میشد.
اما امروزه این تصور دیگر درست نیست. گروههای باجافزاری مدرن یاد گرفتهاند که ذخیرهساز، ارزشمندترین هدف در دیتاسنتر است. کامپیوترها و سرورها را میتوان دوباره نصب کرد، اما دادههای اصلی روی ذخیرهساز قرار دارند. هکری که کنترل ذخیرهساز را به دست بگیرد، میتواند دادهها را رمزنگاری کند، اسنپشاتها (نسخههای پشتیبان فوری) را پاک کند و بکاپها را در یک حرکت از بین ببرد. در این مرحله، سازمان دیگر با یک مشکل ساده روبرو نیست؛ بلکه باید برای بقای خود مذاکره کند.
علاوه بر این، قوانین جدید در آمریکا و اروپا (مانند DORA و NIS2) امنیت زیرساخت را از یک «کار خوب» به یک «الزام قانونی» تبدیل کردهاند. سازمانهایی مثل بانکها، بیمارستانها و سرویسدهندگان ابری باید بتوانند ثابت کنند که ابزارهای لازم برای تشخیص، بازیابی و گزارش حوادث را دارند. معماری جدید HPE دقیقاً برای پر کردن فاصله بین تیمهای ذخیرهسازی و تیمهای امنیتی طراحی شده است.
نگاهی به نمای کلی معماری در آزمایشگاه HPE
تیم HPE برای نشان دادن قابلیتهای این سیستم، یک محیط کاربردی در آزمایشگاه فورت کالینز (Fort Collins) خود ایجاد کرد. در مرکز این محیط، یک کلاستر سه نودی از HPE VM Essentials (VME) روی سرورهای ProLiant DL325 Gen 11 قرار داشت که وظیفه پردازش را بر عهده داشت.
در داخل این کلاستر، ماشینهای مجازی HPE Zerto نصب شده بودند که وظیفه بکاپگیری و محافظت لحظهای را بر عهده داشتند. همچنین یک سایت ثانویه در شهر بریستول انگلستان از طریق شبکه (WAN) به این سیستم متصل بود تا قابلیت انتقال دادهها بین دو دیتاسنتر مجزا (Disaster Recovery) را شبیهسازی کند.
اتصالات ذخیرهسازی در این محیط بین شبکههای IP و Fibre Channel (FC) تقسیم شده بود. شبکه FC سرورها را مستقیماً به پلتفرم HPE Alletra MP B10000 متصل میکرد. برای زیرساخت بکاپ طولانیمدت، از یک نسخه مجازی StoreOnce (VSA) استفاده شد. البته HPE تاکید میکند که برای محیطهای واقعی و حساس، استفاده از دستگاه فیزیکی StoreOnce امنیت بیشتری دارد؛ زیرا اگر هکرها به لایه مجازیسازی نفوذ کنند، بکاپهای روی دستگاه فیزیکی همچنان در امان خواهند بود.
حاکمیت (Govern): اجرای دقیق استراتژی امنیتی
شرکت HPE برای شما سیاست امنیتی نمینویسد؛ بلکه این کار وظیفه سازمان و تیم حقوقی شماست. اما HPE ابزارهایی (مانند API، محیط خط فرمان و کنسول ابری) را در اختیارتان میگذارد تا بتوانید آن سیاستها را پیادهسازی و اثبات کنید.
در ذخیرهساز B10000، هر اقدام مدیریتی ثبت (Log) میشود. اگر یک بازرس امنیتی بپرسد «چه کسی در فلان تاریخ سیاست رمز عبور را تغییر داد؟»، جواب به راحتی در سیستم مانیتورینگ سازمان (SIEM) قابل مشاهده است. این قابلیت به مدیران ارشد کمک میکند تا به راحتی به قوانین سختگیرانهای مانند NIS2 پایبند باشند و نظارت کاملی روی ریسکهای سازمان داشته باشند.
شناسایی (Identify): اعتماد به سلامت پلتفرم
بخش «شناسایی» در استاندارد NIST به این معناست که بدانید تجهیزاتتان از کجا آمده و چه ریسکهایی دارند. برای یک ذخیرهساز، این یعنی اطمینان از سلامت زنجیره تامین سختافزار و نرمافزار. قطعات B10000 از مسیرهای کاملاً بازرسیشده تامین میشوند، فریمور (Firmware) دستگاه دارای امضای دیجیتال است و بستهبندیها به گونهای هستند که هرگونه دستکاری در طول مسیر مشخص میشود.
محافظت (Protect): حفظ وضعیت امنیتی و اسنپشاتها
سیستم محافظت در B10000 بر چهار پایه استوار است:
- اسنپشاتهای غیرقابل تغییر (Virtual Lock): این اسنپشاتها به صورت مستقیم توسط خود ذخیرهساز گرفته میشوند و تا زمان انقضا، کاملاً قفل شده و فقط خواندنی (Read-only) هستند. حتی مدیر سیستم هم نمیتواند آنها را پاک کند.
- تفاوت اسنپشات VME و B10000: اسنپشاتهایی که توسط سیستم مجازیساز (VME) گرفته میشوند، قابل ویرایش هستند تا کارهای روزمره انجام شود. اما اگر هکری به مجازیساز نفوذ کند، نمیتواند به اسنپشاتهای لایه پایینتر (Virtual Lock) دسترسی پیدا کند.
- تکثیر دادهها (Replication): انتقال مداوم دادهها به سایت ثانویه از طریق Zerto باعث میشود تا در صورت خرابی کامل دیتاسنتر اول، اطلاعات به سرعت در دیتاسنتر دوم بالا بیایند.
- تشخیص تغییر تنظیمات: اگر تنظیمات امنیتی (مانند رمز عبور یا سطوح دسترسی) تغییر کنند، سیستم بلافاصله به ابزار مانیتورینگ هشدار میدهد.
تشخیص (Detect): دیدهبانی و هشدار زودهنگام باجافزارها
ذخیرهساز B10000 دارای یک موتور تشخیص باجافزار داخلی است که نحوه نوشتن دادهها روی دیسک را در لحظه بررسی میکند. این موتور در برابر بیش از ۱۰۰ نوع باجافزار مختلف تست و تایید شده است. زمانی که یک باجافزار شروع به رمزنگاری فایلها میکند، ساختار دادهها بسیار نامنظم (دارای آنتروپی بالا) میشود. موتور B10000 این نامنظمی را تشخیص داده و هشدار میدهد.
این ویژگی هم از طریق سیستم مجازیساز و هم از طریق خود پنل ذخیرهساز قابل فعالسازی است. لازم به ذکر است که این سیستم جایگزین آنتیویروس سرورها نمیشود، بلکه به عنوان «آخرین خط دفاعی» عمل میکند تا چیزی که آنتیویروس نتوانسته بگیرد را متوقف کند.
پاسخ (Respond): از هشدار تا اقدام خودکار
وقتی موتور تشخیص باجافزار چیزی پیدا کند، پلتفرم B10000 به طور خودکار وارد عمل میشود. در همان لحظه، یک اسنپشات غیرقابل تغییر از حجم داده درگیر میگیرد و وضعیت آن را روی «تخریبشده» تنظیم میکند.
در تستهای انجام شده با یک باجافزار شبیهسازیشده، ذخیرهساز توانست ظرف مدت ۴ تا ۵ دقیقه حمله را تشخیص دهد. این زمان آنقدر کوتاه است که اسنپشات گرفته شده، تصویری بسیار تمیز و سالم از دادهها، پیش از نابودی کاملشان ارائه میدهد.
این اسنپشات خودکار برای بازگردانی اطلاعات نیست، بلکه برای تحلیل قانونی (Forensics) نگهداری میشود تا متخصصان امنیت بتوانند نحوه نفوذ را بررسی کنند. ذخیرهساز ارتباط با دادهها را قطع نمیکند، بلکه تصمیمگیری نهایی را بر عهده تیم امنیتی میگذارد.
بازیابی (Recover): بازگردانی چهارلایه و تاییدشده
در صورت بروز حادثه، استراتژی بازگردانی اطلاعات (Recovery) در این معماری به چهار لایه یا “Tier” تقسیم میشود تا در هر شرایطی راهی برای نجات وجود داشته باشد:
| لایه بازیابی (Tier) | ابزار مورد استفاده | کاربرد و ویژگی اصلی |
|---|---|---|
| لایه ۱ (Tier 1) | HPE Zerto | برای بازگردانی اطلاعات در حد چند ثانیه قبل از حمله (نزدیکترین RPO). مناسب برای واکنشهای بسیار سریع. |
| لایه ۲ (Tier 2) | VME Snapshots | برای بازگردانی ماشینهای مجازی در کارهای روزمره. اگر لایه ۱ در دسترس نبود، از این لایه استفاده میشود. |
| لایه ۳ (Tier 3) | Virtual Lock (B10000) | مهمترین لایه ضد باجافزار؛ استفاده از اسنپشاتهای قفلشده و غیرقابل دستکاری که در سطح خود سختافزار ذخیرهساز گرفته شدهاند. |
| لایه ۴ (Tier 4) | StoreOnce Catalyst | نگهداری بکاپهای قدیمی (هفتهها یا ماهها پیش). برای زمانی که باجافزار مدتها در سیستم پنهان بوده و بکاپهای جدید آلوده هستند. |
تحلیل اختصاصی آلفاتک: ذخیرهسازها در خط مقدم نبرد سایبری
سالها بود که ذخیرهسازها به عنوان یک جعبه سیاه در گوشه دیتاسنتر در نظر گرفته میشدند. اما بررسی معماری Alletra B10000 نشان میدهد که این نگاه کاملاً تغییر کرده است. چیزی که این راهحل HPE را متمایز میکند، قدرت بالای خود B10000 به تنهایی نیست؛ بلکه توانایی HPE در ارائه یک پکیج کامل از ذخیرهساز، مجازیساز، نرمافزار بکاپ (Zerto و StoreOnce) و اتصال آنها به سیستمهای امنیتی (SIEM) است.
در دنیای امروز که هکرها مستقیماً به سراغ پاک کردن بکاپها میروند، داشتن اسنپشاتهایی که در سطح سختافزار قفل شدهاند (Virtual Lock) و حتی مدیر سیستم هم نمیتواند آنها را پاک کند، یک مزیت حیاتی است. تشخیص حمله در سطح «بلاک داده» ظرف ۵ دقیقه، به سازمانها اجازه میدهد تا پیش از فلج شدن کامل سیستم، واکنش نشان دهند. HPE ثابت کرده است که ذخیرهساز دیگر نباید یک قطعه منفعل باشد، بلکه باید به عنوان یک شرکتکننده فعال در تشخیص و مقابله با حملات سایبری ایفای نقش کند.
