勒索病毒已经成为网络安全最大的威胁,云安全中心针对勒索病毒提供防御、告警和数据备份的能力,可预防勒索病毒入侵您的服务器。您可以为您的服务器创建勒索病毒防护策略,备份您服务器上的数据。本文介绍如何创建防护策略。

前提条件

已购买防勒索容量并完成授权。更多信息请参见开通服务

背景信息

  • 为您的服务器创建防护策略后,云安全中心会自动备份您服务器防护目录下的数据。如果您的服务器数据被勒索病毒感染,您可以随时恢复已备份的数据,避免勒索病毒对您的业务产生影响。
  • 为保证您的防护容量得到合理和有效地利用,每台服务器只支持添加到一个防护策略中。每个防护策略中,最多只能添加100台服务器。
  • 防勒索数据备份通过在您的ECS服务器上安装的防勒索客户端进行,防勒索客户端为正常状态才能进行数据备份。创建防护策略后,建议您重点关注防勒索客户端的状态,及时处理防勒索客户端的异常状态。更多信息请参见相关操作的查看防勒索客户端状态
说明
  • 仅基础杀毒版、高级版和企业版支持创建勒索防护策略,基础版需要升级到基础杀毒版、高级版或企业版才能创建勒索防护策略。
  • 可创建防护策略的服务器需要满足一定的限制条件。详细限制条件请参见限制条件

支持的地域

防勒索数据备份功能现已支持西南1(成都)、华东2金融云(上海)、华北2阿里政务云、华东2(上海)、华东1(杭州)、华北2(北京)、华南1(深圳)、华北3(张家口)、华北5(呼和浩特)、华北1(青岛)、中国香港、新加坡、印度尼西亚(雅加达)、澳大利亚(悉尼)、美国(硅谷)、美国(弗吉尼亚)、德国(法兰克福)、日本(东京)和印度(孟买)地域。

限制条件

使用防勒索功能的服务器需要同时满足以下限制条件:

  • 您的服务器为阿里云ECS服务器。防勒索功能仅支持备份阿里云ECS服务器数据,不支持备份非阿里云服务器数据。您只能为您的阿里云ECS服务器创建防护策略。
  • 您的ECS服务器使用VPC(专有网络)。目前,仅支持使用VPC(专有网络)的ECS服务器进行防勒索备份,暂不支持使用经典网络的ECS服务器进行防勒索备份。
  • 您的服务器操作系统版本在支持范围内。不在支持范围内的服务器将无法进行数据备份。支持的操作系统详情请参见防勒索支持的操作系统

数据备份说明

  • 防勒索数据备份采用增量备份的方式。防护策略创建后,初次进行数据备份时由于要全量备份防护目录下的数据,会消耗一定量的CPU和内存资源。为避免对您的业务造成影响,建议您选择业务量较小的时段进行数据备份。后续再次进行备份时,云安全中心只备份有变化(修改、增加或删除)的文件,为您降低服务器资源消耗同时避免消耗过多的防勒索容量。
  • 根据您防护策略中设置的备份目录不同,云安全中心会自动启动不同数量的备份任务。以下是相关说明:
    • 备份全部目录
      • Linux系统:只生成一个备份任务。
      • Windows系统:一个数据盘会生成一个数据备份任务。例如您的Windows服务器上有C、D两个数据盘,云安全中心将生成两个数据备份任务,这两个任务会同时启动,消耗的CPU和内存资源会高于Linux服务器。
        注意 建议您根据Windows服务器的CPU和内存资源使用情况,合理安排数据备份的时间。
    • 备份指定目录
      对防护策略中每个目录地址,云安全中心会启动相应的数据备份任务。目前多个数据备份任务会同时进行,可能会占用较多的CPU和内存资源。建议您根据实际情况,设置合理数量的备份目录。
      说明 云安全中心正在优化现有的备份流程,后续一个客户端将只启动一个数据备份任务,为您进一步降低数据备份带来的CPU和内存资源消耗。敬请期待。

创建防护策略

创建防护策略时您可以选择推荐策略快速创建防护策略,也可以根据实际情况选择自定义策略。参考以下步骤创建防护策略:

  1. 登录云安全中心控制台
  2. 在左侧导航栏单击主动防御 > 病毒防御
  3. 病毒防御页面单击添加防勒索策略
  4. 通用防勒索解决方案页面单击创建防护策略
    您也可以单击未防护的服务器下的数字进入创建防护策略页面。未保护服务器入口
  5. 创建防护策略页面,配置防护策略相关参数。
    创建防护策略您可以参考以下表格中的参数说明配置防护策略。
    参数 说明
    策略名称 输入防护策略的名称。
    选择资产 支持选中单台资产、跨组选中多台资产或者选中资产分组。 执行以下操作选择需要防护的资产:
    • 资产分组区域选择某一资产分组,系统将自动选择该分组下的所有资产。您可在右侧资产模块下,取消选中不需要的防护的资产。
    • 资产模块下输入资产名称(支持模糊查询),单击搜索框的搜索按钮后会为您展示相关资产,您可选中需要防护的资产。
    说明
    • 为保证您的防护容量得到合理和有效地利用,每台服务器只支持添加到一个防护策略中。每个防护策略中,最多只能添加100台服务器。
    • 防勒索功能仅支持备份阿里云ECS服务器数据,不支持备份非阿里云服务器数据。您只能为您的阿里云ECS服务器创建防护策略。
    • 防勒索数据备份功能现已支持西南1(成都)、华东2金融云(上海)、华北2阿里政务云、华东2(上海)、华东1(杭州)、华北2(北京)、华南1(深圳)、华北3(张家口)、华北5(呼和浩特)、华北1(青岛)、中国香港、新加坡、印度尼西亚(雅加达)、澳大利亚(悉尼)、美国(硅谷)、美国(弗吉尼亚)、德国(法兰克福)、日本(东京)和印度(孟买)地域。其他地域暂不支持。目前您只能选择防勒索支持的地域下的ECS服务器。
    防护策略 支持选择以下策略:
    • 推荐策略
      选择推荐策略后,默认选择以下配置:
      • 防护目录:全部目录(排除系统目录)
      • 防护文件类型:全部文件类型
      • 数据备份开始时间:00:00~03:00的任一时刻
      • 备份策略执行间隔:一天
      • 备份数据保留时间:七天
      • 备份网络带宽限制(MB/s):5 MB/s
    • 自定义策略

      选择自定义策略后,您需要自定义防护策略的防护目录、防护文件类型、数据备份开始时间、备份策略执行间隔、备份数据保留时间、备份网络带宽限制(MB/s)等参数。

    防护目录 选择需要进行防护的目录,支持选择以下类型:
    • 指定目录:防护已选中资产的指定目录。您需要在目录地址文本框中输入需要防护的目录地址。
    • 全部目录:防护已选中资产的全部目录。 您需要在是否排除系统目录处选择是否排除系统目录。
      说明 为防止出现系统冲突,选择全部目录后,建议您在设置是否排除系统目录时选择排除
    是否排除系统目录 选择排除不排除系统目录。以下是选择排除后Windows和Linux系统的排除目录:
    • Windows
      • Windows\
      • python27\
      • Program Files (x86)\
      • Program Files\
      • ProgramData\
      • Boot\
      • $RECYCLE.BIN\
      • System Volume Information\
      • Users\Administrator\NTUSER.DAT
      • pagefile.sys
    • Linux
      • /bin/
      • /usr/bin/
      • /sbin/
      • /boot/
      • /proc/
      • /sys/
      • /srv/
      • /lib/
      • /selinux/
      • /usr/sbin/
      • /run/
      • /lib32/
      • /lib64/
      • /lost+found/
      • /var/lib/kubelet/
    目录地址 输入需要防护的目录地址。如果有多个目录需要防护,您可以单击新增增加目录地址。如果不需要防护某条目录,您可以单击删除来删除该目录地址。
    说明
    • 仅在防护目录选择指定目录时需要配置该参数。
    • 对防护策略中每个目录地址,云安全中心会启动相应的数据备份任务。目前多个数据备份任务会同时进行,可能会占用较多的CPU和内存资源。建议您根据实际情况,设置合理数量的备份目录。
    防护文件类型 选择需要进行防护的文件类型,支持选择以下类型:
    • 指定类型:防护指定类型的文件。您需要在选择文件类型中选择需要防护的具体文件类型。
    • 全部文件类型:防护所有类型的文件。
    选择文件类型 支持选择以下文件类型:
    • 文档类
    • 图片类
    • 压缩包类
    • 数据库类
    • 音频视频类
    • 脚本代码类
    说明
    • 仅在防护文件类型选择指定文件类型时需要配置该参数。
    • 支持同时选中多个文件类型。云安全中心仅防护您资产中此处选中类型的文件。
    数据备份开始时间 设置数据备份开始时间。数据备份可能会占用少量CPU和内存,建议您将数据备份开始时间设置为业务量较小的时段,例如00:00。
    说明 防护策略创建后,初次进行数据备份时由于要全量备份防护目录下的数据,会消耗一定量的CPU和内存资源。为避免对您的业务造成影响,建议您选择业务量较小的时段进行数据备份。
    备份策略执行间隔 设置备份策略执行间隔,默认为一天。支持选择以下时间:
    • 半天
    • 一天
    • 三天
    • 七天
    备份数据保留时间 设置备份数据保留时间,默认为7天。支持选择以下时间:
    • 7天
    • 30天
    • 半年
    • 一年
    • 永久
    备份网络带宽限制(MB/s) 受防勒索保护的备份数据占用的带宽流量阈值。可以设置的范围:1 MB/s~不限流量。
    说明 建议您根据服务器的带宽,设置合理的流量阈值,避免备份占用过多带宽对您业务产生影响。
  6. 单击确定
    创建并启用防护策略后,云安全中心将自动在您的ECS服务器上安装防勒索客户端,并根据防护策略中设置的备份条件对生效服务器的防护目录进行数据备份。

后续步骤

创建策略后还需要在防护策略列表中开启该策略,云安全中心才会备份该策略中设置的文件目录。详细操作步骤请参见启用或停用防护策略开启防护策略

相关操作

  • 查看防勒索客户端状态
    创建防护策略完成后,您需要在通用防勒索解决方案页面查看防勒索客户端的状态。只有备份客户端的状态为客户端在线(正常状态),才能正常备份服务器数据。如果备份客户端状态为未安装安装失败服务器异常,则防护策略无法进行正常备份。您需要排查异常状态原因并处理防勒索客户端的异常。您可以通过以下方式排查异常: 混合云备份客户端正常状态
  • 安装防勒索客户端
    创建防护策略后,云安全中心将自动在您的ECS服务器上安装防勒索客户端。您的ECS服务器未启动或配置了特定的防火墙策略可能会导致系统自动安装失败。防勒索客户端安装失败后,您需要先排查并处理安装失败原因,然后在通用防勒索解决方案页面手动安装防勒索客户端。手动安装防勒索客户端的操作步骤请参见在防护策略中管理服务器安装混合云备份客户端
  • 卸载防勒索客户端
    注意
    • 防勒索客户端卸载后,云安全中心将删除该客户端已备份的服务器数据。备份数据删除后将无法找回,建议您谨慎进行卸载客户端操作。
    • 云安全中心删除该客户端已备份的服务器数据后,会为您释放相应的勒索防护容量。勒索防护容量释放存在12~48小时的延时,建议您等待足够时间后再重新查看勒索防护容量。
    如果防勒索客户端需要升级版本时,您可以在通用防勒索解决方案卸载防勒索客户端后,再重新安装。卸载混合云备份客户端