近期微盟恶意删库事件,在业内一片哗然,企业安全部门核实员工操作权限以及数据安全方案等等。对于云上客户大量的咨询云上各个产品,如果数据被删除,云上自恢复能力,一线同学活着各种数据被删除如果或者假如。所以这里想统一和大家聊聊,如果咱们业务都使用了云上数据存储产品,万一被恶意删除了,云上怎么恢复数据,如何预防意外。
一、如果云上的数据被恶意删除,我们怎么办呢?
一般云上常用的数据存储类产品主要有以下三类:
- 存储类:CBS、COS、CFS
- 数据库类:CDB、REDIS、MongoDB
- 中间件类:ckafka
1.存储类
a)云硬盘CBS
云硬盘启动定时快照,最小频率是每小时定时做一次快照。如果云银盘数据被恶意删除,如果开启定时快照,同时备份时间周期是一小时,这里最多丢失一个小时增量数据。如果没有开启快照功能,恭喜你,数据可能找不回来了(依赖于删除手段多恶劣)。另外快照如果被删除了,也是无法找回的。
重要话说三遍:核心业务记得做快照,做快照,做定时快照。
b)云存储COS
版本控制功能会防止恶意删除。只要COS开启这个功能,被删除的数据通过历史版本可以找回,当然没有开启的话,删除的数据就没有了
另外,所有历史版本的同名文件将会被视为独立的对象处理,独占存储空间并产生存储容量费用,这句话怎么怎么理解呢。COS存储我们知道一个对象名对应一个对象。如果开启版本控制,删除一个123.jpg,同时有上传123.jpg。就会出现同名文件,这里会单独计费,因为这两个资源都在,存在不同版本里,如下图:
c)文件存储CFS
CFS目前暂没有备份能力,如果客户端被恶意删除文件,文件就没有了。这里建议:通过CVM定时从CFS同步数据到CBS盘,CBS定时做快照来实现备份。
2.数据库类
a)CDB(mysql)
云上CDB都有回档能力,如果库被删除了,咱们能恢复到7天内任意时间点,很稳,同时回档速度目前能力也是1T/h。同时云上的CDB冷备和binlog,默认保存7天,用户都是无法删除的。这里最极端情况,一个库被删除后,如果业务7天内没有被发现,估计数据找不回来了。
b)MongoDB
云上MongoDB都有回档能力,如果库被删除了,咱们能恢复到7天内任意时间点,很稳.
c)REDIS
云上redis每日都自动备份,默认7天,如果数据被删除了,可以恢复到前一天备份的数据,当天增量数据没有了,这里对于业务敏感的业务,redis建议做缓存,而不是存储。
3.中间件CKafka
Ckfaka支持topic粒度消息拷贝到cos功能,如果被恶意删除,可以从cos里恢复数据,多说一嘴,如果cos开启版本控制,就能稳妥了。
二、如果不给恶人作恶的权限,是不是会更好?
访问管理CAM为云上资产建立好类权限控制制度,使用腾讯云CAM权限系统进行云资源管理,严格执行分级授权和最小集群限制制度,对高危险动作执行二次授权制度。
关于删除操作进行严格账户授权和最小集群限制。
详见产品功能介绍:https://cloud.tencent.com/document/product/598/10588
读到这里,如果微盟的数据存储使用了云上的产品,数据恢复还需要七天七夜么?大家都心知肚明了吧。所以自建的数据存储业务都迁移上云吧,为了您的企业,同时也为了您的客户。