利用 BMC AMI Cloud Vault 和 亚马逊云科技 保护大型机免受网络威胁

作者：Gil Peleg，产品管理高级总监 — BMC AMI Cloud 作者 ：D inesh R
aveendran，高级合作伙伴解决方案架构师 — 亚马逊云科技 作者：Sunil Bemarkar，高级合作伙伴解决方案架构师 — 亚马逊云科技

BMC Software

银行交易、旅行预订、计费系统等的关键任务数据通常由 Global 2000 公司保存在大型机上。这些组织曾经将大型机作为托管场所，因为他们被认为不太容易受到网络攻击，但在过去的十年中，这种观点发生了变化。

安全与技术研究所的 勒索软件工作组 报告称，2021年，受害者支付的勒索软件费用 比上年 增加了70％ 。这涉及多个领域，包括但不限于金融公司、医疗保健和教育。这种影响会影响供应链、环境和经济。

大型机可以很好地抵御计划外中断和诸如存储中断或数据中心停电之类的事件。大型机采用的一种机制是同步数据复制和共享集群的复杂手段。

但是，正是持续可用性技术使大型机成为零停机计算的代名词，也使其更容易受到勒索软件等逻辑损坏事件的影响。一个大型机分区上损坏的数据将在几毫秒内与所有其他共享数据库和集群（又名并行 Sysplex）成员共享。

由于大型机数据对许多组织至关重要，因此单个大型机漏洞可能导致重大漏洞、重大财务损失、痛苦的声誉损害以及更具挑战性的恢复。许多大型机商店已开始研究第三数据拷贝解决方案，这些解决方案可以按定义的时间间隔创建异步数据副本，这些副本可以隔离，从而降低数据污染的风险。

该领域的所有现有解决方案都基于专有的 FICON 存储技术，这种技术成本高昂且管理起来很复杂。无法访问第二个数据中心，加上能够维护虚拟磁带库 (VTL) 和物理机器人的员工的技能储备，这些障碍限制了组织充分保护自己的能力。

随着云计算的到来，公司不再局限于这些传统的数据解决方案，而是可以获得更简单、更便宜的托管服务。通常，利用亚马逊网络服务 (亚马逊云科技) 提供数据存储服务的组织还利用人工智能 (AI) 和机器学习 (ML) 服务来提取业务见解，从而可能增加收入。

在Known和亚马逊云科技进行的一项调查中，发现 65％的企业 采用了托管数据，并发现较低的成本导致存储利用率的提高，业务灵活性的提高导致组织收入的增加。

BMC AMI Cloud Vault 利用 亚马逊简单存储服务 （Amazon S3）来创建大型机数据的多个副本，并从本质上确保所有副本都受到保护。在通过线路传输第一个字节之前，对数据进行端到端的压缩和加密。当发送到 Amazon S3 时，数据也可以处于气隙状态，这意味着额外的副本与网络隔离，可以完全抵御任何恶意攻击。

BMC Softwar e 是 具有迁移和现代化能力的 亚马逊云科技 专业化合作伙伴 ，可帮助企业从云经济中受益，同时加速数字化转型和混合云架构的采用。

数据提取：BMC AMI 云保管库如何将数据移至 亚马逊云科技

图 1 中的图形 说明了该解决方案的架构视图，在该视图中，我们看到一个代理在运行 z/OS 的大型机上的一个或多个逻辑分区 (LPAR) 中运行。该代理从应用程序、数据库、直接访问存储设备 (DASD) 和磁带/VTL 备份中收集单个数据集或完整卷转储，以便传输到 Amazon S3。

该解决方案支持各种大型机源格式，这些格式可以以源格式存储，也可以选择从 EBCDIC 转换为 ASCII 和 JSON 或 CSV 等格式，以便在 AI/ML 分析应用程序中使用。

数据由 BMC AMI Cloud 代理在传输层安全性 (TLS) 中使用用户选择的加密算法进行加密，并在 BMC AMI 云管理服务器登录 S3 存储桶后解密。

图 1 — 数据采集架构。

数据摄取过程主要在大型机上的 ZiIP 引擎上运行，对大型机造成的开销很小，这反过来又降低了成本。大型机数据从大型机磁盘或磁带子系统并行读取，然后通过 TCP/IP 以大型高度并行化的区块形式移动到 亚马逊云科技。

图 2 — BMC AMI 云并行处理。

在提取过程中，BMC AMI Cloud Vault 会分析大型机数据的逻辑结构，并在数据结构损坏时提醒用户。虽然大型机数据安全地存储在云中，但客户可以灵活地将整个备份数据复制到额外的对象存储桶中，以便对上述数据进行网络取证。

进入亚马逊云科技后，可以使用任何特定于S3的加密机制对静态数据进行加密。为了使大型机数据不可更改，BMC AMI Cloud Vault 利用 Amazon S3 对象锁定 ，它可以在固定时间内或无限期地防止对象版本被删除或覆盖，因此可以强制执行保留策略，作为额外的数据保护层和监管合规性。

可以在对象和存储桶级别配置 Amazon S3 对象锁定，以防止删除对象版本。无论对象版本属于哪个存储类别，在存储类别之间的 S3 生命周期过渡期间，其保护都会得到维护。

每个 BMC AMI Cloud Vault 管理任务（例如备份或恢复策略定义、检查错误、收集压缩信息以及吞吐量性能）都可通过 BMC AMI 云管理服务器轻松管理，该服务器是在 亚马逊 弹性计算云 (Amazon EC2) 实例中运行的容器化应用程序。

检测逻辑损坏和网络取证

可以分析发送到云端进行保护的大型机特定数据集的逻辑数据结构是否存在逻辑损坏。这种方法与基于存储的数据保护解决方案有根本的不同，后者依赖闪存拷贝技术，闪存拷贝技术可以复制任何数据，无论数据是否损坏。

相比之下，BMC AMI Cloud 代理分析大型机数据集的数据结构。在摄取过程中，代理根据预定义的数据结构读取大型机数据。如果数据集由于逻辑损坏而不再符合特定数据类型（例如 VSAM 或 PDS/E）的标准数据结构，则 BMC AMI Cloud 代理将停止上传操作。

一旦数据进入 亚马逊云科技，也可以利用对专有大型机数据的相同内在理解来实现网络取证。BMC AMI Cloud 可以将大型机数据转换为 JSON 等云原生格式，以使 亚马逊云科技 上托管的网络取证工具可以访问大型机数据。

最后，定期进行可恢复性检查，以验证云中的备份确实可以恢复。这一点至关重要，因为越来越多的网络攻击首先以备份数据为目标。

洁净室和裸机回收

一旦大型机数据在 Amazon S3 中得到保护，只要有足够快的 IP 连接可用，就可以利用云的灵活性从世界上几乎任何地方恢复整个大型机安装。

通常，构建此类第三方副本解决方案的组织将拥有通往 S3 存储桶的优化路由，例如 亚马逊云科技 Direct Connect 。

下面， 图 3 分三个步骤 描述了恢复架构：

1. 启动初始程序加载 (IPL) 或通过大型机的硬件管理控制台 (HMC) 启动一体式系统。
2. 恢复系统完成 iPL 后，通过 BMC AMI 云代理连接到 S3，以便从云端恢复数据。
3. 利用 图 3 中概述的 BMC AMI Cloud 数据传输的并行架构从云中恢复所有大型机数据。

图 3 — 数据恢复架构。

结论

亚马逊云科技 和 BMC AMI Cloud 提供了一种基于最佳实践的方法，可保护大型机数据免受勒索软件攻击或任何其他逻辑数据损坏来源。利用 亚马逊云科技 的规模、性能和创新，使大型机客户能够比使用本地解决方案更快、更高效地实现网络弹性。

软件定义的云解决方案本质上比需要采购和安装的本地硬件更灵活，后者需要定期维护并最终更换。另一方面，基于云的对象存储解决方案可以在几分钟内向上或向下扩展；分层可以即时调整，复杂的维护成为过去的残余。

为企业的网络解决方案提供独特的基础架构还可以降低熟悉大型机解决方案常见漏洞、设计缺陷和错误配置的对手发动攻击的可能性。

第三次数据副本是万不得已的工具，并不能消除基于整体零信任概念制定可靠的网络安全解决方案的必要性。BMC AMI Cloud Vault和亚马逊云科技可以将本地网络安全架构扩展到混合云模式，与市场上的其他解决方案相比，该模式可以为企业提供更好、更快的保护，同时以更低的总拥有成本 (TCO) 提供更大的灵活性。

请访问 BMC 网站 了解更多信息并设置演示。

。

。

BMC 软件 — 亚马逊云科技 合作伙伴聚焦

BMC 是 亚马逊云科技 专业化合作伙伴 ，可帮助企业从云经济中受益，同时加速数字化转型和混合云架构的采用。

联系 BMC 软件 | 合作伙伴概述