人工智能 IT 自动化

利用 IBM Cloud Object Storage 和 IBM Storage Defender Data Protect 增强网络弹性

出版 08 十月 2025
一个人的手使用笔记本电脑,明亮的数字云图标盘旋在前面

作者

Jordan Freedman

Product Manager - IBM Cloud Object Storage (COS)

勒索软件、内部威胁和数据渗漏事件正变得越来越频繁,也日益复杂。传统模型在本地部署存储备份——通常与它们所要保护的生产环境处于同一网络——让网络攻击者有机可乘,可能导致整个机构瘫痪。当备份数据与生产数据存放在同一环境时,攻击者可以加密或删除这些备份,使恢复选项彻底失效。

为应对此挑战,企业正日益转向云端以提供异地备份与数据保护。然而,即便企业转向混合与多云环境,许多组织仍难以有效地保护和隔离其数据。这通常是由于:

  • 缺乏云安全架构方面的专业知识;
  • 检测与响应网络事件的控制措施不足;
  • 过度依赖传统备份系统,未充分考虑静态数据保护;以及
  • 云环境中数据完整性的可见性和监控有限。

最终导致数据保护策略与实际网络弹性之间的差距越来越大。

解决方案:IBM Cloud Object Storage Cyber Vault for IBM Storage Defender Data Protect

IBM 通过集成解决方案应对此挑战,即将配置为 Cyber Vault 的 IBM Cloud Object Storage (COS) 与 IBM Storage Defender Data Protect 相结合,提供集中化网络弹性管理及异地隔离数据保护。这种组合为保护核心数据抵御不断演变的网络威胁提供了强大的现代化方案。

为什么要对归档和备份进行异地云存储?

将备份与归档数据存储在 IBM Cloud Object Storage 等异地隔离目标中,可确保对网络威胁的最大弹性。通过将副本保存在生产环境之外的不可篡改的隔离存储空间中,组织可以保护关键数据免受勒索软件、内部威胁和意外删除的影响。主数据副本和次数据副本的分离提供了最后一道防线,即使生产环境遭高级网络攻击破坏,仍能确保数据可恢复性。

IBM Storage Defender 的主要功能

IBM Storage Defender 是下一代数据保护和网络弹性解决方案,利用 AI 和自动化来实现网络攻击的防护、检测与恢复。主要功能包括:

  • 数据弹性与合规性: 自信地恢复洁净备份,使用合规性功能保护数据,并跨存储、备份和多云环境进行扩展。
  • 早期威胁检测: 通过 AI 驱动的异常检测、软硬件协同洞察及无缝 SIEM 集成,更快地检测复杂威胁,实现快速响应。
  • 快速安全恢复: 利用异地存储的安全且经过验证的不可篡改备份,加速关键应用程序的恢复,从而最大限度地保护数据

IBM Storage Defender Data Protect 提供全面的数据备份和恢复, 可将安全的备份副本定向到基于 IBM Cloud Object Storage 构建的隔离网络保险库,实现长期保留与恢复。

IBM Cloud Object Storage 充当网络保险库的 5 种方式

IBM Cloud Object Storage (COS) 为存储非结构化数据提供了高度可扩展、安全和弹性的基础。当配置为网络保险库时,它将成为网络弹性策略的重要组成部分。具体方法如下:

1. 通过对象锁实现不可篡改性

IBM COS 支持对象锁(也称为一次写入多次读取 (WORM)),它允许您在指定的保留期内使数据不可篡改。一旦锁定,对象就无法修改或删除,从而保护您的数据免受恶意行为者和意外删除。

此功能对于防御勒索软件攻击至关重要,因为它可以确保备份副本保持不可篡改且可恢复,即使主系统遭到入侵也是如此。

2. 通过 IBM 基于上下文的限制 (CBR) 保障网络安全

基于上下文的限制让您可以为 COS 存储桶定义细粒度的网络访问控制。使用 CBR,您可以限制对存储桶的访问权限:

  • 特定 IP 地址或范围
  • 特定 VPN 或 VPC
  • 地理位置
  • 云服务和用户角色

这有助于确保只有授权的系统和用户才能访问保险库,从而实现零信任安全状况。

3. 使用 IBM Key Protect 进行加密密钥管理

IBM COS 中的静态数据是加密的,客户可以使用IBM Key Protect管理自己的加密密钥。这使您能够:

  • 控制谁可以访问加密数据
  • 定期轮换加密密钥
  • 强制遵守行业特定法规(例如 HIPAA、GDPR)

Key Protect 与 COS 无缝集成,使您能够精细控制存储数据的加密保护。

4. 使用 IBM Cloud IAM 进行访问管理

IBM Cloud Identity and Access Management (IAM)允许您管理谁可以访问您的存储空间及其可以执行的操作。借助 IAM,您可以:

  • 按角色(读取者、写入者、管理员等)定义访问策略
  • 通过 SSO 与企业身份提供商集成
  • 在用户和服务中应用最小权限原则

IAM 确保只有正确的用户和服务才能访问关键数据,从而降低内部威胁或错误配置的风险。

5. 使用 IBM Cloud Logs 进行监控和审计

使用 IBM Cloud Logs,您可以监控与 COS 存储桶相关的所有活动。其中包括:

  • 上传/下载操作
  • 访问请求(成功和拒绝)
  • 配置变更
  • 对象锁状态更新

实时监控和审计日志对于检测可疑行为和证明合规性至关重要。

制定整体网络保险库策略的 5 大优点

通过将 IBM Storage Defender 与基于 IBM Cloud Object Storage 构建的保险库集成,组织可以获得:

  1. 隔离性: 将备份数据存储在逻辑或物理隔离的环境中
  2. 不可篡改性:通过对象锁防止篡改或删除
  3. 可观察性:通过云日志持续监控并发出警报
  4. 细粒度访问控制:通过 CBR 和 Key Protect 实现强大的 IAM 和网络控制
  5. 快速恢复:遭遇攻击时,由 Storage Defender 启动编排恢复工作流

这种架构将备份环境转化为具备弹性、合规且可恢复的最后防线。

保护您的数据,无论数据存储于何处

网络威胁不会消失。借助 IBM Storage Defender 和 IBM Cloud Object Storage 的组合,您可以超越传统备份策略,采用网络保险库方法,让企业在对抗勒索软件和数据丢失时获得真正的优势。

无论您是企业 IT 领导者还是云架构师,现在都是时候在智能保护和安全、不可篡改的存储空间基础上构建弹性策略了。

开始使用 Cloud Object Storage

了解更多 浏览解决方案简介