三步驟建立資料管理的零信任機制

資料是企業營運的核心，資料管理的目標則是資料的收集、保護與災難應變，因此，針對資料管理建立的零信任機制，重點在於確保資料管理平台的安全性、完整性及可回復性，避免成為企業最脆弱的環節。

資料管理平台主要由備份軟體與儲存設備構成，負責執行備份及回復作業，目標是提升服務效能和可用性，產品本身並不具備資安功能，自我防護機制趨近於零。為了避免這個環節面臨高風險，資褓儲存建議採取三步驟作法來建立資料管理平台的零信任機制。

身分識別、日常監控與應變回復

第一步是身分識別

在使用者帳密之外，提供第二套甚至第三套可信的身分識別機制，例如：多因素驗證（MFA）、IDP（ID Provider）第三方平台綁定動態密碼或生物辨識，有效阻擋駭客竊取身分、取得最高權限並在企業系統為所欲為。

第二步是日常監控

以備份軟體而言，監控是著重在備份來源資料及備份環境的安全性，進行異常行為的收集、分析和稽核，確保日常的維運、服務、管理作業都納入認證及稽核。

第三步是快速應變回復

在身分識別與日常監控都已完備的前提下，仍遭到攻擊並造成資料或系統毀損時，要具備因應問題的可回復性，可行的作法是參考CISA或NIST關於資料恢復的準則，將資料管理平台建立為高可用性、可快速回復，資料可安全存放的環境。

以專業服務整合備份軟體與第三方工具

除了遵循備份321準則，也就是3份備份/2種儲存媒體/1份異地備援，資褓儲存指出，更積極的作法是3211，在上述機制之外增建一份離線保存資料或資料鎖，確保資料以離線保護，完全隔離在日常運營環境之外。

針對上述三大步驟，資褓儲存以Commvault做為資料平台並進行第三方整合，身分識別搭配IDP來提供第三方驗證機制；針對監控管理和稽核維運，使用小紅傘等工具檔案系統預先掃描，確保備份資料的乾淨無虞；至於快速應變回復的離線機制，則可使用Commvault的內建功能。

由於Commvault是軟體定義的架構，與第三方資安工具的整合並非難事，資褓儲存的團隊也可協助企業整合其原有的資安環境，逐步執行上述三大步驟，確保資料管理零信任機制的建立與落實。