云安全中心的防勒索服务通过为服务器和数据库创建加密的隔离备份,来确保在遭遇勒索攻击后,能够快速恢复数据,保障业务连续性。本文将介绍如何进行容量规划、购买防勒索容量、完成授权以全面启用防勒索能力。
选择计费方式
防勒索服务是独立于云安全中心基础版本的增值服务,需要单独购买。按购买的防勒索容量(用于存储备份数据的专用存储空间)计费,而非按防护的服务器台数。支持两种计费方式:
|
计费方式 |
适用场景 |
优点 |
|
包年包月 |
适用于业务量稳定、需要长期进行数据备份的生产环境。 |
相比按量付费有更大的价格优惠,成本可预测。 |
|
按量付费 |
适用于业务有弹性波动、临时测试或短期备份需求的场景。 |
按实际使用量付费,灵活启停,无需预先投入。 |
评估所需容量
合理规划容量,是确保数据持续受保护、同时避免资源浪费的关键。
-
容量估算方法:备份容量主要受四大因素影响:源数据大小、数据压缩率、备份保留周期和数据变化率。
-
首次备份:任务首次执行时为全量备份。备份数据经压缩后,实际占用容量通常为源文件大小的 60% ~ 80%。
-
后续备份:之后均为增量备份,仅备份发生变化的数据部分。
-
-
推荐购买容量估算公式:推荐容量 =(源数据总量 × 压缩比) +(日均数据增量 × 备份保留天数)。
重要为预留业务增长和数据波动空间,建议购买略高于计算值的容量。
-
估算示例:
假设有一台 Web 服务器,网站文件和数据库共 20GB ,每日数据增量约 1GB ,希望保留最近 7 天的备份。
推荐容量 ≈ ( 20GB × 70%)+ ( 1GB × 7 天)= 14GB + 7GB = 21GB 。
购买防勒索容量
包年包月
-
登录并访问购买页
-
访问云安全中心控制台-防护设置-主机防护-防勒索,在页面左侧顶部,选择需防护资产所在的区域:中国内地或非中国内地。
-
单击立即购买,进入订单升级页面。
-
-
配置防勒索容量
在防勒索区域,将是否选购置为是,并根据业务用量,选择购买数量(数据备份容量)。
-
配置防勒索托管服务(可选):
重要防勒索托管服务已于 2025 年 11 月 30 日停止新购,仅支持已购买用户的续费(未及时续费导致服务停止的,将会被视为新用户,无法再新购或续费)。
如需获取配置指导、策略检测与应急响应等服务,请开通防勒索托管服务。更多信息,请参见防勒索托管服务。购买配置说明如下:
-
开启服务:将防勒索托管服务选项置为是。
-
完成授权:单击创建服务关联角色,系统将自动为云安全中心创建
AliyunServiceRoleForAntiRansomwareMssp角色,并配置所需的最小权限,以确保服务正常运行并安全访问相关云服务资源。说明该步骤仅适用于已购买托管服务的用户。
-
-
单击立即购买并完成支付。
按量付费
-
登录控制台
访问云安全中心控制台-防护设置-主机防护-防勒索,在页面左侧顶部,选择需防护资产所在的区域:中国内地或非中国内地。
-
开通按量付费
在按量付费开通弹窗中,单击开通按量付费。
重要若勾选设置推荐策略,将自动对现有服务器的重要文件路径做定期备份,如需调整请进入防勒索页面修改策略,具体操作请参见修改服务器防勒索、修改数据库防勒索策略。
-
单击立即购买并完成支付。
完成服务授权
为确保云安全中心防勒索服务能够正常运行,需要获得访问云上资产(如 ECS 服务器)并执行自动化备份与恢复任务的权限。根据使用场景,授权分为首次开通和为新增地域补齐授权两种情况。
-
首次开通服务授权
在首次购买或开通防勒索服务时,系统会引导完成一次性授权。
-
操作步骤:在防勒索服务页面,根据提示单击立即授权按钮。
-
系统行为:系统将自动创建所有必需的服务关联角色,并授予服务运行所需的基础权限。
-
-
为新增地域补充授权
自 2024 年 12 月 20 日起,云安全中心防勒索备份服务新增支持华北 6 (乌兰察布)与华南 2 (河源)地域的 ECS 服务器,此地域内的数据需要额外权限。
重要若未完成授权,将导致上述地域的服务器无法使用防勒索备份服务。
-
操作步骤:请参考首次开通服务授权的指引,在控制台再次确认并完成授权流程,系统会自动检测并补充缺失的权限。
-
系统行为:系统将自动创建服务关联角色
AliyunServiceRoleForHbrMagpieBridge,并授予服务运行所需的最小权限。
-
-
角色详解
服务关联角色
关联服务
主要职能
AliyunServiceRoleForSas云安全中心
提供基础服务权限,允许防勒索功能与云安全中心进行联动。
AliyunServiceRoleForHbrMagpieBridge云备份
负责执行实际的数据备份和恢复操作,是实现防勒索保护的关键。
AliyunServiceRoleForAntiRansomwareMssp防勒索托管服务
授权托管服务专家访问相关资源,用于监控备份任务状态、排查问题,确保服务持续正常运行。
说明-
该角色仅适用于已购买防勒索托管服务的用户。
-
防勒索托管服务已于 2025 年 11 月 30 日停止新购,仅支持已购买用户的续费(未及时续费导致服务停止的,将会被视为新用户,无法再新购或续费)。
-
更多内容,请参见云安全中心服务关联角色。
配置防护策略
购买防勒索容量后需创建并启用防护策略,待备份任务成功执行后,数据才能真正拥有可恢复的备份副本。
-
创建防护策略:定义要保护的资产(服务器或数据库)、要备份的具体内容(文件目录或数据库实例)和备份计划(执行频率和数据保留天数)。
-
服务器防勒索:创建防护策略及客户端
-
数据库防勒索:创建防护策略。
-
-
验证备份状态:策略创建并运行后,请在防勒索页面的备份任务列表页签中,确认备份任务是否成功执行。
常见问题
容量与计费
-
购买的容量是所有服务器共享的吗?
是的。单个地域( Region )内购买的容量,由该地域下所有受保护的资产(服务器和数据库)共同使用。
-
如果备份时容量不足会发生什么?
备份任务将失败,相关的防护策略会被系统自动禁用。云安全中心会通过站内信或短信发送容量预警通知。在扩容或清理出足够空间前,数据将无法得到新的备份保护。
-
如何清理备份数据释放容量?
在防勒索页面的服务器已使用容量后单击释放。支持的释放方式如下:
-
删除可恢复数据版本。
-
备份策略中将防护机器移除,具体操作请参见管理防护策略中的服务器。
-
删除防护策略,具体操作请参见管理服务器防勒索策略、管理数据库防勒索策略。
-
-
云安全中心高级版/企业版包含免费的防勒索容量吗?
不包含。防勒索容量是一项独立的增值服务,需要单独购买。无论使用免费版、高级版还是企业版,都需购买此服务。
-
防勒索服务的计费模式是什么?按备份容量还是实例数计费?
防勒索服务按购买的防勒索容量(即存储备份数据的专用空间)计费,而非按防护的服务器或数据库实例台数。支持包年包月和按量付费两种计费方式。
故障排查与恢复
-
为什么未购买数据库防勒索服务,控制台会显示有未防护的数据库实例?
云安全中心会自动检测账号下的数据库实例(如 RDS、MongoDB 等),并在控制台展示其防护状态。
未购买数据库防勒索或未对数据库配置防护策略时,这些实例会显示为"未防护"状态。这是正常的资产盘点展示行为,并非异常告警。
如果需要防护这些数据库实例,可以购买防勒索容量并创建数据库防护策略,具体操作请参见创建防护策略。
-
服务器中毒后,防勒索客户端显示“异常”或“离线”,导致恢复失败怎么办?
这是勒索病毒破坏了服务器操作系统或安全软件导致的常见情况。此时,由于客户端无法正常工作,直接恢复数据可能会失败。
推荐恢复流程(最佳实践):
-
使用快照恢复系统:立即使用最近的可用 ECS 快照 回滚服务器,将服务器的操作系统和运行环境恢复到健康状态。此操作也会恢复防勒索客户端至正常工作状态。
-
使用防勒索恢复数据:系统恢复后,再使用防勒索(数据备份)功能,将核心业务文件恢复到比快照时间点更新的、最近的备份版本。
-
-
为什么我开通了防勒索服务,服务器还是中毒了?