提升实例防勒索能力的指南

整体思路

操作指引

1. 开通防勒索服务并购买防勒索容量

   要使用云安全中心提供的防勒索功能，您需要开通防勒索服务并购买防勒索容量，相关操作，请参见开通并购买服务。

   说明

   您可以根据自身的实际情况及业务需求选择购买防勒索相关服务。

2. 创建防护策略

   开通服务后，您需创建防护策略。请参考以下操作步骤，以完成防护策略的创建。

   创建防护策略

   创建策略前，请确保您服务器的操作系统版本在支持范围内，不在支持范围内的服务器将无法进行数据备份。服务器防勒索功能支持的操作系统详情，请参见服务器防勒索支持的操作系统版本。

   1. 登录云安全中心控制台。在控制台左上角，选择需防护资产所在的区域：中国或全球（不含中国）。

   2. 在左侧导航栏，选择防护配置 > 主机防护 > 防勒索。

   3. 在防勒索页面的服务器防勒索页签下，单击创建防护策略。

   4. 在创建防护策略面板，输入策略名称，选择服务器类型和资产。

      配置项	说明
      策略名称	设置防护策略的名称。
      服务器类型	选择防护策略生效的服务器类型。
      备份路线	仅服务器类型选择非阿里云服务器时，需要配置备份数据使用的通信方式。可选项： 公网：选择公网进行数据备份传输，可能会产生一定的公网带宽费用。 私网：选择私网进行数据备份传输时，您需要使用阿里云专有网络VPC、物理专线、云企业网CEN等方式，连通非阿里云服务器与所选地域下的防勒索网络接入点之间的通信。
      地域	仅服务器类型选择非阿里云服务器时，需要选择服务器所在的地域或和防勒索网络接入点网络畅通的地域。这里选择的地域用来指定接入防勒索服务的网络接入点。为了成功备份数据，您需要确保服务器和所选择地域下的防勒索网络接入点网络互通。更多信息，请参见防勒索网络接入点。
      选择资产：	支持选中单台资产、跨组选中多台资产或者选中资产分组。执行以下操作选择需要防护的资产： 在资产分组区域选择某一资产分组，系统将自动选择该分组下的所有资产。您可在右侧资产模块下，取消选中不需要的防护的资产。 在资产模块下输入资产名称（支持模糊查询），单击搜索框的搜索按钮后会为您展示相关资产，您可选中需要防护的资产。 说明 选择资产时，阿里云服务器支持单个策略内配置多个地域的服务器，非阿里云服务器仅支持单个策略中配置同一地域的服务器。 为保证您的防护容量得到合理和有效利用，每台服务器只支持添加到一条防护策略中。

   5. 在创建防护策略面板，设置数据备份的具体策略，并单击确定。

      支持选择推荐策略或自定义策略。

      • 推荐策略：推荐策略为云安全中心内置的防护策略，不支持修改，配置简单。具体规则如下：

        • 防护目录：全部目录（排除系统目录）

        • 排除指定目录：显示排除目录的列表

        • 非本地挂载路径：排除非本地挂载路径（即排除OSS、NAS等非本地挂载路径）

        • 防护文件类型：全部文件类型

        • 数据备份开始时间：00:00~03:00的任意时刻

        • 备份策略执行间隔：1天

        • 备份数据保留时间：7天

        • 备份网络带宽限制：

          • 阿里云服务器：0 MB/s

            说明

            0 MB/s代表不限制备份网络带宽。

          • 非阿里云服务器：5 MB/s

      • 自定义策略：用户自行定义策略的具体规则，灵活性较高。支持指定防护目录、排除指定目录、防护文件类型、数据备份开始时间、备份策略执行间隔、备份数据保留时间和备份网络带宽限制（MB/s）。以下是参数配置说明。

        配置项	说明
        防护目录：	选择需要进行备份的目录，支持选择以下类型： 指定目录：即备份已选中资产的指定目录。您需要在防护目录地址中新增需要备份的目录地址。配置示例： Windows：C:\Program Files (x86)\ Linux：/usr/bin/ 最多可添加20条防护目录地址。云安全中心会串行执行各个防护目录地址的备份任务。如果一个防护目录地址下的文件较多，可能会消耗较多的服务器资源（CPU和内存）。您可以将一个目录拆分为多个防护目录地址，通过串行执行备份任务，有效地降低备份占用的服务器资源。 全部目录：即备份已选中资产的全部目录。
        排除指定目录：	指定不需要备份的目录。云安全中心提供了默认的不需要备份的目录，您可以在此基础上修改这些目录。
        非本地挂载路径	选择是否排除非本地挂载路径。非本地挂载路径是指OSS、NAS等挂载路径。
        防护文件类型：	选择需要进行防护的文件类型，支持选择以下类型： 全部文件类型：即针对所有类型的文件进行备份防护。 指定文件类型：即针对指定文件进行备份防护。支持选择文档类、图片类等。 重要 支持同时选中多个文件类型。云安全中心仅备份您资产中此处选中的文件类型。
        数据备份开始时间：	设置数据备份开始时间。 重要 防护策略创建后，初次进行数据备份时由于要全量备份防护目录下的数据，会消耗一定量的CPU和内存资源。为避免对您的业务造成影响，建议您选择业务量较小的时段进行数据备份。
        备份策略执行间隔：	设置备份策略执行间隔，默认为1天。
        备份数据保留时间：	设置备份数据保留时间，默认为7天。 重要 超过备份数据保留时间后，备份数据会被自动清理，建议您根据业务需求合理设置备份数据保留时间。 支持选择以下保存方式： 永久：备份数据将一直保留，直到云安全中心服务到期或您删除防护策略或防护策略下的服务器。 自定义：自定义保存天数，最小可设置1天，最大支持设置65535天。
        备份网络带宽限制：	设置备份数据可占用的网络带宽阈值。取值范围：0 MB/s~不限流量。 阿里云服务器备份数据时仅占用私网带宽，不影响公网带宽。非阿里云服务器在备份数据时需要占用公网或私网带宽。您可以在此处设置备份可占用的网络带宽阈值，避免备份占用过多带宽对您业务产生影响。 阿里云服务器默认为0 MB/s。 说明 0 MB/s代表不限制备份网络带宽。 非阿里云服务器默认为5 MB/s。

3. （条件可选）通过云安全中心的有效备份恢复数据。

   1. 为遭遇勒索病毒的实例系统盘及数据盘创建快照。关于创建快照的具体操作，请参见创建快照。

   2. 如果您遭遇了勒索病毒攻击，那么您可以使用云安全中心的备份快速恢复业务，请参考如下操作步骤，以完成数据恢复。

      创建恢复任务

      1. 登录云安全中心控制台。在控制台左上角，选择需防护资产所在的区域：中国或全球（不含中国）。

      2. 在左侧导航栏，选择防护配置 > 主机防护 > 防勒索。

      3. 在服务器防勒索页签下的防护策略列表中，定位到要创建恢复任务的服务器。

         您可使用策略列表上方提供的搜索功能，通过策略名称或服务器名称快速查找到目标服务器。

      4. 单击目标服务器操作列的恢复。

      5. 在创建恢复任务面板，选择待恢复的版本及文件，输入恢复目录地址以及恢复的目标服务器。

      6. 单击确定。

         恢复任务创建成功后，您会收到恢复任务创建成功的提示。您可以前往恢复的目标服务器上查看已恢复的备份数据。

整体思路

操作指引

通过快照为实例创建备份，是为了在遭遇勒索病毒之后，尽可能地恢复数据。需注意此方案仅提供事后恢复能力，不能替代主动防护措施。

1. 为实例创建快照策略，相关操作，请参见创建自动快照策略。

2. （条件可选）通过遭遇勒索前的有效快照恢复数据。

   1. 为遭遇勒索病毒的实例系统盘及数据盘创建快照。关于创建快照的具体操作，请参见创建快照。

      重要

      回滚云盘是不可逆操作，从快照创建时间点到回滚云盘这段时间内的数据会丢失。为避免误操作，建议您在回滚前为云盘创建快照备份数据。

   2. 关于初始化实例系统盘的相关操作，请参见重新初始化系统盘（重置操作系统）。

   3. 关于使用指定快照恢复实例系统盘或数据盘数据的相关操作，请参见使用快照回滚云盘。

整体思路

操作指引

通过安全组、防火墙等安全策略可以在一定程度上提升实例的勒索病毒防护能力，但是需要您具备网络安全等相关的技术能力。

1. 有关安全组、防火墙策略相关的实践，请参见ECS安全组实践（入方向规则），Windows系统防火墙策略配置指南。

2. （条件可选）通过第三方公司进行勒索数据的解密与恢复。

   1. 为遭遇勒索病毒的实例系统盘及数据盘创建快照。关于创建快照的具体操作，请参见创建快照。

   2. 关于初始化实例系统盘的相关操作，请参见重新初始化系统盘（重置操作系统）。

   3. 在完成遭遇勒索的实例的系统盘初始化之后，如果您未事先对重要数据进行备份或创建快照，您可以选择联系第三方公司以进行勒索数据的解密与恢复。

      警告

      第三方公司所提供的遭遇勒索病毒后的数据解密能力，与阿里云无关。阿里云对于数据恢复的程度及可能发生的数据损坏不承担任何责任。