WatchStor.com — 领先的中文存储网络媒体 | 51CTO旗下网站

技术文档 > 混合云 > 正文
混合云环境中的数据保护
作者: Paul Tien 2018-05-09 14:57 【企业网D1Net】

在“数据就是新石油”的信息时代,企业保护自己的业务数据是其存储策略的关键要素。以下是企业如何确保客户的信息以及自己的业务安全无虞的策略和措施。

保证数据安全至关重要,无论是客户数据还是企业自己的知识产权,都具有非常深刻的教育意义。数据保护本身涵盖了广泛的范围:

● 物理数据保护

● 防止设备故障

● 防止数据丢失和违规

数据安全对企业的成功和声誉非常重要,但也可能是在安全事件发生时的IT团队所面临的挑战,这意味着工作人员的职业生涯处在关键时期。因此,企业需要其存储架构可以更好地完成维护数据存储完整性的任务。

混合云架构提供了保护存储数据的安全手段

混合云存储架构是中小型企业(SME)在安全性至关重要时可以利用的最佳潜在解决方案之一。它提供了一种安全的端到端体系结构,该体系结构可提供云计算的灵活性以及内部部署解决方案的性能,同时仍可将数据流从一个站点加密传输到另一个站点。

人们可能会问这个问题:为什么企业的数据中心不能像云平台一样安全和容错?显然是可能的,但是这样做成本很高,虽然对于大型企业来说是可以承受的,但这个选择已经超出了中小企业的承受能力。凭借其规模,云计算提供商可以负担数据中心设施的冗余设计、网络安全、网络运营方面的专家费用,并开发优化的产品和流程。公共云数据中心通常遵循SOC-2,ISO 27001和PCI-DSS合规性,并遵循美国的联邦合规标准。

公共云提供商开始应用大数据和人工智能技术来监控他们的云操作、寻找泄漏和配置错误。只有规模庞大的组织才能负担得起或获得这种专业知识。公共云提供商依靠自己的资源和能力保护自己的业务,并进行相应的投资,而许多企业的首席信息官和IT管理人员只会将数据中心的IT运营视为一个成本中心。混合云存储使中小型企业能够获得云计算规模和效率的好处,包括专业技术的优势和卓越运营。

物理数据的保护

云计算的防护始于物理安全,需要防止盗窃、丢失、意外事故、电力故障和自然灾害。云计算数据中心更需要物理安全,其选址通常位于偏远地区,具有冗余的备用电源和网络连接,具有安全的建筑物物理安全和受控访问,以及它们的大小规模和存储管理性质使得几乎无法确定物理位置,或存储任何组织数据的设备。相比之下,许多企业往往只有一个数据中心,而中小型企业可能只有一个服务器机房或小型数据中心。规模非常小的公司可能只有一个在现场不受保护的网络附属存储(NAS)设备。

为防止物理数据丢失,必须拥有物理上独立的非现场的备份副本。这并不奇怪,简单的数据备份到云端是最基本的应用程序,直到云计算大数据的出现,成为了最大的云存储消耗因素之一。

为了实施物理分离,云存储分为冗余或可用区域。用户可以从一个数据中心内的多个区域进行选择(本地冗余),或者可以在区域内不同位置(区域冗余)或不同区域(地理冗余)内的不同数据中心复制数据。与传统存储分层或异地备份不同,基于云计算的存储分布在冗余区域中,并由云存储系统软件透明地向用户处理。

防止设备故障

下一阶段是防止设备故障导致的数据丢失。其无论存储介质是什么,总是存在设备故障的风险,并且随着不可避免的使用机械硬盘,SSD硬盘中使用的闪存设备也会耗损。RAID技术是为防止硬盘驱动器故障而开发的,尽管可以使用容量非常大的硬盘,但RAID的效率越来越低。对于传统存储技术而言,业界采用的最佳实践是遵循3-2-1备份策略,采用不同的存储介质,备份到两个以上存储设备中,然后将一个数据备份运送到异地存储。这使得维护存储硬件、IT时间,以及可能花费在战略业务计划上的时间变得代价高昂。

数据丢失的另一种情况是无意或有意的数据删除。随着时间的推移,用户甚至是IT经理利用Dropbox和Office 365等文件托管和协作解决方案,并且已经习惯了云端可靠性,他们认为文件始终可用。但是,如果文件被删除,它只能在短时间内恢复。EMC公司在 2015年进行的一项研究发现,数据丢失的主要原因是意外删除(41%),迁移错误(31%)和意外覆盖(26%)。为防止这种情况发生,几款提供云备份的新产品特别适用于Office 365。

数据也可能因病毒或勒索软件的攻击而丢失。根据威瑞森公司关于2018年的业务风险的调查研究,勒索软件是当今最流行的恶意软件事件,这其中包括WannaCry大规模网络攻击。此外,最近亚特兰大市政系统遭遇了大规模勒索软件攻击,此次攻击严重影响了亚特兰大市的市政运营,其影响范围从工资单到公共交通。

企业可以通过使用混合云架构,将关键数据存储位于云中,并且获得云存储的所有优势,同时仍然提供了传统的本地文件管理器界面,将会获得额外的优势,即文件管理器现在不再是关键部分。由于文件管理器仅仅是云数据的缓存,如果它被替换,它只会补充简单访问过的大多数活动文件。

云存储中的数据分布在多个硬盘驱动器上,云计算服务提供商在其整个生命周期中管理数据,以防止数据丢失,并使用户更换故障驱动器。如上所述,也可以将数据保存在地理位置冗余的位置以获得最大程度的保护。

为了获得额外的保护,云对象存储可以配置版本控制并且不可更改,这意味着数据只能写入而不被擦除,尽管实际上可以在启用擦除时设置时间限制。这可以确保任何保存的文件版本都可用于恢复。

灾难恢复/文件级恢复

使用基于硬盘的传统网络附属存储(NAS)设备,人们知道这些硬盘驱动器将不可避免地出现故障,数据恢复只是时间问题。作为可用的最基本的保护机制之一,灾难恢复是一项存储功能,每个人都认为它是实施的重要基准。但是,如今许多企业正在利用两种不同的存储备份和灾难恢复(DR)策略。他们有一个用作主存储的系统,另一个用于备份和恢复。

利用混合云模型显著简化了这一过程,因为中小型企业对主存储和备份/灾难恢复都使用相同的云存储服务。混合云存储架构将文件整合到单个存储中。这对于具有多个站点的组织尤其有利,因为它避免了将多个副本存储在单独的文件服务器上,用于随之而来的复制成本、活动版本问题和开销的访问。随着云存储的可扩展性和成本下降,结合完整的命名空间可见性和缓存云文件管理器,在任何时候保持云中可用的文件都是有意义的。

混合云存储服务支持文件级恢复与版本控制相结合,使用户可以找到其文件的先前版本,这意味着企业可以在不必处理整个数据存储的情况下恢复/备份单个文件。所有这些都具有高性能网络连接,以作为加速内部部署的一部分。

防止数据丢失和泄露

数据保护的第三部分是通过人类行为而引起的数据泄露防护。许多数据违规,甚至勒索事件都是通过社交工程钓鱼攻击开始的。文件托管解决方案的另一个问题是影子IT,其中员工将受限数据上传到未经授权的个人云文件托管应用程序,例如Google Drive,OneDrive或Dropbox。

其中很多不提供加密的端到端流量,尽管这可能来自更多面向消费者的服务。更大的问题是所有这些服务都可以方便地进行文件共享,而现在IT人员不知道哪些文件已经共享,以及与谁共享。这很容易违反CJIS(美国刑事司法信息服务),FERPA(美国家庭教育权利和隐私法),HIPAA(美国健康保险便携性和责任法),MPAA(美国电影协会)和GDPR(欧盟通用数据保护条例)等行业规范和法规。

数据泄露仍然是一个重大的IT问题,主要是人为错误的结果。虽然最好的预防是培训、系统和流程,但一个持续的挑战是人们意识到违规已经发生。企业可以通过避免采用影子IT,投资审计工具,使用Azure AD等身份管理与设备管理相结合,以及在空闲和传输时加密文件,更好地避免和确定何时发生违规。

直到最近还没有规定要求企业举报违规行为,而且通常只是在新闻曝光后才对外公开。欧盟的GDPR(通用数据保护条例)对此规则进行了修改,并使违规报告成为企业的强制性要求。2018年5月25日生效的GDPR法规不仅适用于欧盟境内的组织,而且还适用于欧盟境外的组织,如果它们向欧盟境外提供商品或服务,或者监测欧盟数据主体的行为的话。GDPR法规适用于所有处理和持有居住在欧盟的数据主体的个人数据的公司,无论其位置在哪里。

尽管大多数主要云计算供应商(AWS、Azure等)表示完全遵循GDPR法规,但企业的IT组织必须确保其本地和全局文件系统共同构成一个兼容的存储架构。

通过采用具有用于访问的安全本地文件服务器的混合云架构,利用身份和设备管理和审核功能,防止影子IT和限制谁共享文件以及如何共享文件,可以将违规问题降到最低程序。而如果发生违规事件,所具备的准确的日志文件,不可变数据和版本控制将加速取证和恢复。

持续保持安全 - 审计/审查

当然,一旦企业最终确保了混合云存储架构的安全,就不能保证它会保持这种状态。企业需要时刻保持警惕,并定期检查其存储平台,以确保它仍然处于需要的位置。因此,企业应该定期执行云合规审计,以确保所有事情都应该属实。这些审计可以跨越企业的云存储提供商(或提供商)以及企业自己的内部部署架构。

在很多方面,保护企业业务的数据已成为其IT组织最关键的角色。随着这个充满活力的市场将会产生更复杂的攻击和明显的漏洞,IT部门有责任保持技术领先。混合云存储体系结构这条路径应该更加通畅。


标签:混合云 

LecVideo