Veeam 终端保护云平台解决方案 Veem BaaS – Mars Zhang @ 云端数据管理

温馨提示：本文大约4000字，阅读时间约为20分钟

摘要

由于近年来病毒与勒索软件频繁且具有破坏性攻击成几何趋势蔓延,加上终端用户的安全技能并没有因此而提高，终端节点的安全解决方案急需升级，其中最具变化性的是从基于LAN管理的终端节点安全解决方案，到云交付式的安全解决方案的转变。

CWPP(Cloud Workload Protection Platform) 或是 CEP (Cloud Endpoint Platform) 已经成为当今企业用户终端节点保护的热议话题。终端保护云平台解决方案，利用云的弹性构建了利于终端用户数据保护的解决方案，通过云化产品交付, CWPP 或 CEP 产品解决了EPP（Endpoint Protection Platform) 解决方案运维的负担，尤其是保持了备份数据最新版本这一项目重要的任务，在过往的经验中，终端客户遭受损失的原因是他们根本没有时间进行最新的备份。Veeam 创新的利用了现代化云交付解决方案及架构优势，充分考虑了终端用户的适应性和可扩展性的要求，帮助企业来应对不断变化的威胁。

本文关键章节

1 行业趋势: 从终端保护到终端保护云平台
2 Veeam 终端保护云平台解决方案介绍
3 企业用户终端电脑保护最佳实践
- 3.1 终端保护云平台端租户参数配置
- 3.2 终端关键的数据到VCC云备份与恢复
- 3.3 终端整个系统到VCC云备份与恢复
- 3.4 建立建立快速恢复介质
- 3.5 U盘备份与恢复系统
4 快速恢复终端设备到云
- 4.1 即虚拟机恢复到 VMware
- 4.2 即时虚拟机恢复AWS、Azure
- 4.3 关于远程桌面发布与安全性的考量
5 集中的终端数据资源池,助力企业安防现代化
6 利用 VSPC 进行终端保护云平台下备份代理管理
推荐阅读
欢迎下载与试用

1. 行业趋势: 从终端保护到终端保护云平台

作者观察：

在 Gartner 最新的终端保护平台魔力象限报告中，有如下预测：到2025年，云交付的EPP解决方案将从往年的新交易20％增长到95％。这样强势的市场增速，使我们更加有兴趣将 Veeam 终端保护云平台解决方案做一详述。

《Gartner 终端保护平台魔力象限报告》
https://www.gartner.com/doc/reprints?id=1-1OCBC1P5&ct=190731&st=sb

2.Veeam 终端保护云平台解决方案介绍

随着 Veeam Cloud Connect 的广泛应用，越来越多的用户开始利用 Veeam BaaS 备份即服务这一项目为企业关键业务工作负载所打造的云端平台进行终端数据的保护。每当有人问我 Veeam BaaS 有什么特性时，我总是说简单、灵活、可靠，开箱即用。因为Veeam 的 BaaS 确实简约不简单，无需VPN，能上网就可连接，多租户，存储管理，打表计费，Restful- API 对接，一样都不缺。Veeam 可以提供强大、可靠的特性和功能，帮助企业规避灾难性数据丢失风险。借助 Veeam Cloud Connect的，您将能够实现：

数据集中备份与上收
如下图，在我们的用例中，您可以看到企业使用终端设备的用户和工厂的 OT 端设备通过将数据上传到云端在灾备中心方式可以达成日常的数据备份。这里有一个活用的方式，比如在工厂不太可能将所有的 OT 端都安装数据传输的 Agent ,所以我们可以将要收集的日志信息先上传到 OT 端设备的 Gateway上，再通过Gateway进行数据上传。
简化网络连接与加速
在数据传输到云端灾备中心时，终端用户不需要通过 VPN 之类的网络连通方式，只要能上网就可以将数据上传到云端灾备中心的 VCC （Veeam Cloud Connect）, VCC 是多租户的架构，可以保护多个租户数据安全的同时，确保用户之间的数据利用互相不被干扰，通过云中的存储层 Cloud Tier ，Veeam可以帮助客户进行数据长期而安全的保留。
中央集成管理与监控
在云端我们还有 VSPC （Veeeam Service Provider Console）进行统一的管理与监控。VSPC 的作用包括管理 Agent、安装Agent，激活许可和下发任务等等。还包括，监控用户的备份任务执行的情况，如，是否已经达成了SLA、目前还有多少主机存在没有备份的情况，客户处的许可使用是否合理等。当然，VSPC 也可以直接管理 VBR 与 VCC。
数据灵活导入与利用
在云端或是客户自己的数据创新中心，通过 VBR 将云存储的数据进行导入，这一点非常方便，只要VBR可以访问云中的对象存储，就可以方便的进行数据的导入和再利用，从而实现企业的数据创新。通过 VBR 可以进行数据活用的方式包括：直接恢复虚拟机到AWS、Azure、直接恢复虚拟机到 Hyper-V 、数据实验室等，当然还有我们今日的重点数据集成 API （Data integration API）。

关于Veeam BaaS的解决方案请各参照 Mars 之前撰写的 BaaS 1 与 BaaS 2

3. 企业用户终端电脑保护最佳实践

当企业进行终端电脑保护规划时，通常会将企业的环境分成两部分，一部分就是客户环境，包括不同的终端电脑与用户状态，如：在家办公、出差在外、在办公室等，另一部分是灾备托管环境，可以企业自建或是通过Veeam的云服务提供商来进行托管,适用于多种云环境。，我们提到的这个案例就是在阿里云上架设的。每一个终端用户就是云平台一个租户，通过管理人员在云平台进行资源的分配，从而得到备备份的目标端，通过 Veeam Agent 向云端进行数据备份，如下图。

Veeam 终端保护云平台

如上图，在备份场景设计时，我们应该考虑到由于用户在备份的时候经常出现在不同的地点。
一方面，如果用户在家里或出差，这时用户就会使用公共的网络进行连接，这个时候的数据传输、备份与恢复，完全都是通过公网而进行的，在这个时候我们去分配云网关时，就要为客户指定一个可以通过公网连接的网关。做企业架构设计时可以为这个网关去注册域名，或是去注册公网IP。
另一方面，如果用户在办公室 我们就需要给客户设定一个内部云网关资源池，这样的话客户就可以去快速的去完成主机的备份，保证他的数据时效性。

我们来思考一下用户的实际需要，比如用户的系统分成了系统与数据盘，并且他有些经常更新的重要文件要进行备份，考虑3-2-1的原则，他就需要对系统备份的同时，也备份这些重要文件。假如他的终端主机被勒索病毒攻击了，目前需要马上恢复主机，那么他首先应该用自己的U盘进行恢复，这可以让他的最快的恢复到一个比较近的时间点，再从云端恢复重要的文件到最新版本，完美完成即时恢复的需要。对此我们主要研究以下3个场景，任务配置完成效果图如下：

用例编号	场景	备份目的	备份周期	备份现场要求
1	终端整个系统备份到云	云端数据的长期保留	每日增量，每周全备，长期保留	网络比较稳定的条件下
2	将关键的数据备份到云	数据的快速备份恢复	每日增量，每周全备，长期保留	出差时也可以备份
3	U盘备份整个系统	整机恢复兜底方案	全备后每周增量1次，保留半年	无需考虑网络环境

3.1 终端保护云平台租户参数配置

终端用户（租户）的参数配置，需要登录到 Veeam Cloud Connect 云管理平台上进行，或是依赖云托管的服务商去设置，工作目的主要是针对于终端租户的备份目标资源的定义，包括租户的用户名密码，带宽，配置并行任务与云网关，万网加速器，云存储的空间，等等。

1，建立租户，指定用户名密码

2，指定带宽、并行任务，与云网关，可以在此指定万网加速器
配置租户资源

3，指定云存储以及存储的空间，注意防止删除的设定
配置租户资源

注意: 如下图，当租户有多台设备要进行备份，并将其分组在多个子租户帐户时，他们可以将备份存储在相同的云存储库中，共享相同的配额，但它们并不能访问彼此的备份。

子租户

3.2 终端关键的数据到 VCC 云备份与恢复

备份重要文件到云端

选择备份到 VCC

选择备份到云端VCSP，给定的 URL

备份完成后查看备份报告

如下图，全备份 2 小时，增量备份 3 分钟，对于我们做重要文件的备份是非常有效了

重要文件备份到云全备

重要文件备份到云增量

细粒度的恢复数据
用 Veeam Explorer 可以方便的做到细粒文件恢复

3.3 终端整个系统到 VCC 云备份与恢复

备份整个系统到云端

选择VCC的云端存储库，将整个系统备份至云端。

VCC的云端存储库

输入VCC Cloud Gateway 的服务端点

连接到Gateway

输入已经从服务商处得到的租户名与密码
输入租户名与密码

查看云端备份目标端的资源

终端备份的保护方案经常会遇到网络条件不具备就无法连接到云端的进行备份的情况，Veeam 创新的使用 Backup Cache 功能，在网络条件不具备的情况下可以先将数据备份到本地，这样就可以保证备份工作的顺利进行，一旦连接到网络，备份便以更高效率的方式传输到云端，以解决我们长期难以解决的不能触网就不能备份的问题。

Backup Cache

设定备份周期，按计划执行备份任务

设定备份周期

备份完成后查看备份报告
我们可以看到一次全备份到云端，用时1小时27分钟。而一次增量备份用时6分42秒，我们这个项目使用的测试链路就是家庭的联通宽带，这种效果是完全可以接受的。

查看全备报告

查看增量备份报告

3.4 建立建立快速恢复介质

通过创建快速恢复介质，Veeam 可以快速建立一个 ISO 或是启动U盘作为快速恢复介质，为了体验最佳实践效果，我这里选用了一个128GB的U盘，这个 128G 的空间会被 Veeam启动介质占用掉32G，我们把剩余的空间做成了系统的备份目标，如图我们把这个系统分成了 Veean Recovery Media 区域和备份的区域。

整机备份到U盘
通过Veeam的备份向导，我们可以把备份作业指向这个U盘，对整体系统进行备份。

整机备份到U盘

3.5 利用快速恢复介质，从本地或云端恢复整个系统

友情提示：以下图片过于丑陋，但也反应了真实情况，不喜勿喷！

从 U盘备份恢复整个系统

U盘启动后，界面如下，选择 Bare Metal Recovery
U盘启动界面

选择从U盘的存储恢复数据
从U盘恢复数据

选择最近的还原点，进行还原

查看还原报告，整机恢复仅为16分钟

查看还原报告

备份完成后查看备份报告

从云端恢复到本地
虽然从云端直接恢复到本地的场景不会很多，但我们依然对从 VCC云端恢复整机进行了测试。
在没有启用WAN网加速的前提下，整机从网络恢复，用时5个多小时，从目前网络效率的角度来讲，这是一个非常优秀的结果。

从云端恢复数据与从本地恢复一样，都是从U盘快速启动，选择从网络恢复数据
从云端恢复整机

在没有启用WAN网加速的前提下，整机从网络恢复，用时5个多小时。

从云端恢复整机结果

4. 终端电脑的快速恢复到云

我们经常遇到这种情况，企业的老板在嚷嚷着说我的电脑坏了，赶紧帮我恢复，可是怎么能快速的给他恢复他的电脑呢？有的时候，一时间找不到合适的电脑给他用，这就成为了让企业IT人员头疼的问题，他要是出差了就更麻烦了，Veeams 可以帮助我们的企业用户提供如下快速手段。

人员在企业内部，利用即虚拟机功能，恢复到 VMware、Hyper-V
人员在企业外部，利用直接恢复云功能，恢复到 AWS、Azure 云
再通过第三方发布远程桌面或是通过RDP访问终端桌面即可

终端电脑的快速恢复到云

5. 集中的终端数据资源池,助力企业安防现代化

目前由于全球 APT 高危持续性攻击不断发现，黑客以窃取企业核心资产为目的攻击和侵袭行为正在引起企业数据保护的关注。APT攻击大多从终端开始渗透，最终会导致企业的数据的渗出。对于研究APT攻击手法的特点，以及各种攻击行迹。目前企业的安全防御能力已经从规则走向面向威胁的方式，Veeam 自适应的安全架构数据资源池，可以利用数据集成API，增强预测环节的数据供给，对主动持续学习识别未知的异常进行支持。利用备份数据挖掘潜在的未暴露的安全威胁与风险，支持生成多时间点威胁报告，为客户呈现渗透路径与趋势，在下个星期 Mars 将与您分享数据集成API的强大之处。

数据分析 API

6. 利用 VSPC 进行终端保护云平台下 Veeam Agent 的管理

如何能进行集中的管控，是现代化企业保护终端设备的主要问题。我们可以利用 VSPC（Veeam Service Provider Console）进行云平台下所有终端的管理,包括安装 Veeam备份代理，并执行各种类型的配置和管理操作，如配置备份作业设置、启动和停止备份作业等,有关 VSPC 的请参考如下链接。

利用VAC管理 Veeam Agent

欢迎下载与试用

本文中所提到的内容与应用场景只是简单的举例，我们希望您可以亲自尝试，并把您的感受与经验分享给我们，以下是试用的链接。

试用链接：Veeam Backup & Replication v10

Veeam Backup & Replication v10

https://www.veeam.com/cn/downloads.html

最后，还是希望与您多多讨论，详细内容也可以参考Veeam的官方手册查看详细内容，今后还会计划推出更多精彩内容。请长按下并关注，为了让更多的人看到请点下右下角“在看”啊！;-)

一	二	三	四	五	六	日
		1	2	3	4	5
6	7	8	9	10	11	12
13	14	15	16	17	18	19
20	21	22	23	24	25	26
27	28	29	30	31

摘要