數(shù)據(jù)保護(hù)要怎么做

前言：IT技術(shù)架構(gòu)迭代速度快，作為保障IT運(yùn)行的數(shù)據(jù)保護(hù)方案自然要與時(shí)俱進(jìn)，更大的數(shù)據(jù)量，云邊端以及容器都讓IT架構(gòu)發(fā)生了巨大變化，數(shù)據(jù)保護(hù)要怎么做呢？現(xiàn)代人都會(huì)有一種或者多種保險(xiǎn)，保險(xiǎn)本是一種風(fēng)險(xiǎn)管理方式，幫人面對(duì)未來的不確定性。然而，由于保險(xiǎn)有過于復(fù)雜的邏輯，導(dǎo)致很多人看不清，也看不懂，一些人心生抗拒。而且，保險(xiǎn)只有在意外發(fā)生時(shí)才生效，但意外是小概率事件，這又使得一些人產(chǎn)生了僥幸心理。有人說，越是生活富足的人越不喜歡不確定性，有人說，越是風(fēng)險(xiǎn)抵抗能力差的人越需要買保險(xiǎn)，說的好像處于中間的大多數(shù)人不需要買保險(xiǎn)一樣。耐心找的話，總會(huì)找到幾個(gè)適合大多數(shù)人的保險(xiǎn)方案，而且不難發(fā)現(xiàn)，有些方案動(dòng)輒十年八年都不會(huì)有根本性的變化。數(shù)據(jù)保護(hù)也面臨著與保險(xiǎn)非常類似的尷尬，不過，它面臨的問題更嚴(yán)峻。作為一種重資金投入的，且并不帶來直接收益的特殊存在，數(shù)據(jù)保護(hù)本身并不討喜，而且，由于它本身也較為復(fù)雜，容易讓人看不懂。更可怕的是，由于有摩爾定律的推動(dòng)，IT基礎(chǔ)設(shè)施很快就從以前的平房變成節(jié)節(jié)高的摩天大樓，變化速度非?？?。所以，數(shù)據(jù)保護(hù)方案也得變了。數(shù)據(jù)保護(hù)的變化與挑戰(zhàn)以前沒聽說過的刪庫(kù)跑路，現(xiàn)在好像成了熱點(diǎn)新聞保留節(jié)目，以前沒聽說過的勒索病毒，現(xiàn)在都快成了黑客致富的最佳路徑，疫情當(dāng)前，當(dāng)辦公和學(xué)習(xí)都轉(zhuǎn)到線上的同時(shí)，黑客也把更多目光投射到了網(wǎng)絡(luò)空間。如果說這些威脅還有一些偶然性，但凡是沒有碰到就始終覺得有點(diǎn)遙遠(yuǎn)，那么，其實(shí)還有很多新變化，令所有企業(yè)都會(huì)深有體會(huì)。具體而言，首先是數(shù)據(jù)變多了，增加了數(shù)據(jù)保護(hù)的難度。從個(gè)人的手機(jī)存儲(chǔ)空間的變化就會(huì)有切身感受，那么，數(shù)據(jù)多了以后怎么做保護(hù)，是挑重點(diǎn)保護(hù)，還是大量數(shù)據(jù)做基礎(chǔ)的保護(hù)，兩者是否都要做，又或者是按照別的什么原則？其次，平臺(tái)的延伸讓數(shù)據(jù)保護(hù)變得復(fù)雜。最早是傳統(tǒng)的Unix主機(jī)平臺(tái)時(shí)代，而后來是局域網(wǎng)/互聯(lián)網(wǎng)、客戶端/服務(wù)器、PC為特征的第二平臺(tái)，現(xiàn)在則是以云計(jì)算、大數(shù)據(jù)、移動(dòng)化和社交化為特征的第三平臺(tái)。平臺(tái)變得非常復(fù)雜，數(shù)據(jù)散落在各個(gè)平臺(tái)上，如何做數(shù)據(jù)保護(hù)？再有，新技術(shù)的出現(xiàn)為數(shù)據(jù)保護(hù)帶來新挑戰(zhàn)。繼虛擬化技術(shù)之后，以容器技術(shù)為代表的云原生時(shí)代登場(chǎng)了，應(yīng)用的存在形式變了；如今的數(shù)據(jù)庫(kù)再不是以前單純的關(guān)系型數(shù)據(jù)庫(kù)時(shí)代了，到處是NoSQL、MongoDB、Redis；如今也不是學(xué)會(huì)C++和JAVA就能走天下的時(shí)代了，各種新編程語言所代表的應(yīng)用也各有特色，比如，2020年最貴的程序員是那些會(huì)用Go語言的。成熟方案應(yīng)對(duì)新變化數(shù)據(jù)的增長(zhǎng)是量變，數(shù)據(jù)備份最怕的就是等，數(shù)據(jù)越大要等的越久，應(yīng)對(duì)思路就是提升處理的效率，如何在規(guī)定的備份窗口完成任務(wù)，從而不影響生產(chǎn)呢?戴爾科技集團(tuán)大中華區(qū)數(shù)據(jù)保護(hù)產(chǎn)品技術(shù)總監(jiān)李巖介紹數(shù)據(jù)保護(hù)難題的應(yīng)對(duì)方式。提升效率首先能想到的還是消除重復(fù)數(shù)據(jù)，比較高級(jí)的版本是常用在Avamar和DataDomain上的可變長(zhǎng)消重（Variable-LengthDeduplication）算法，它按照一定規(guī)則將文件打散成不同大小的數(shù)據(jù)塊后，記錄數(shù)據(jù)塊的哈希值，在較大的維度下，如果出現(xiàn)同樣哈希值的數(shù)據(jù)塊就觸發(fā)消重，以此來減少需要備份、傳輸和恢復(fù)的數(shù)據(jù)。作為高級(jí)的數(shù)據(jù)消重技術(shù)，可變長(zhǎng)消重（Variable-LengthDeduplication）的效率更高一些，可以大大減少實(shí)際需要備份的數(shù)據(jù)量，該技術(shù)現(xiàn)在是戴爾的專利技術(shù)。提升效率還能想到的是直接提升性能。戴爾的直接備份技術(shù)，可以把數(shù)據(jù)從數(shù)據(jù)庫(kù)（像Oracle、SQLServer）或者SAP等企業(yè)級(jí)核心應(yīng)用直接備份到備份存儲(chǔ)，避免了備份軟件，減少了數(shù)據(jù)傳輸量的同時(shí)，也減少了在備份軟件上的投入。李巖介紹介紹說，在面對(duì)100TB左右的大型數(shù)據(jù)庫(kù)的時(shí)，直接備份技術(shù)相對(duì)于傳統(tǒng)備份方式，性能提升了20倍。面對(duì)大量數(shù)據(jù)，必須考慮的還有分層技術(shù)，出于性能的考慮，需要將常用數(shù)據(jù)的放在更容易訪問的高性能存儲(chǔ)介質(zhì)上，出于成本的考慮，不常用的數(shù)據(jù)放在成本更低的大容量量存儲(chǔ)介質(zhì)上。數(shù)據(jù)保護(hù)系統(tǒng)一般操作起來非常復(fù)雜，為了簡(jiǎn)化復(fù)雜度，許多用戶都選擇了專有備份軟硬一體機(jī)（PBBA）方案，而且，與存儲(chǔ)市場(chǎng)不同的是，PBBA市場(chǎng)出現(xiàn)了戴爾這種坐擁市場(chǎng)半壁江山的玩家，這是市場(chǎng)成熟的標(biāo)志，說明PBBA在很大程度上解決了用戶在數(shù)據(jù)保護(hù)方面的多數(shù)需求。但在李巖看來，這是不夠的，以上幾點(diǎn)只是滿足了原有數(shù)據(jù)基礎(chǔ)設(shè)施的數(shù)據(jù)保護(hù)需求，并不能很好地應(yīng)對(duì)新變化，比如，新平臺(tái)和各種新技術(shù)帶來的挑戰(zhàn)，面向此類的保護(hù)需求被稱為是現(xiàn)代化的數(shù)據(jù)保護(hù)方案?，F(xiàn)代化數(shù)據(jù)保護(hù)應(yīng)對(duì)新變化上面提到的解決方案都屬于傳統(tǒng)成熟數(shù)據(jù)保護(hù)的能力，現(xiàn)代化的數(shù)據(jù)保護(hù)方案其側(cè)重點(diǎn)與傳統(tǒng)數(shù)據(jù)保護(hù)有很大不同，兩者是相互補(bǔ)充的關(guān)系，兩者結(jié)合才能應(yīng)對(duì)新變化。所謂現(xiàn)代化數(shù)據(jù)保護(hù)，首先就是要支持對(duì)云原生環(huán)境的保護(hù)，可以保護(hù)部署在Kubernetes容器上的應(yīng)用數(shù)據(jù)。第二點(diǎn)是具備自主保護(hù)能力，所謂自主保護(hù)是指系統(tǒng)能自動(dòng)檢測(cè)和自動(dòng)保護(hù)工作負(fù)載，無論是在第一平臺(tái)還是第二平臺(tái)還是在第三平臺(tái)上，無論工作負(fù)載是在邊緣還是核心，數(shù)據(jù)保護(hù)系統(tǒng)能跟蹤并保護(hù)這些工作負(fù)載，與此同時(shí)，系統(tǒng)管理員只需進(jìn)行一部分操作。第三點(diǎn)，業(yè)務(wù)服務(wù)彈性是指恢復(fù)階段，根據(jù)業(yè)務(wù)服務(wù)相關(guān)的軟硬件來自動(dòng)編排恢復(fù)過程的能力，這些元素可能部署在本地、可能在云上，也可能兩者都有，不論應(yīng)用負(fù)載是傳統(tǒng)數(shù)據(jù)庫(kù)應(yīng)用還是虛擬機(jī)又或者是容器，無論是不是有Office365，都能基于此提供恢復(fù)策略，減少手動(dòng)干預(yù)。最后一點(diǎn)是數(shù)據(jù)服務(wù)，其實(shí)主要是指怎么利用備份數(shù)據(jù)的能力，能否讓恢復(fù)過來的數(shù)據(jù)用于測(cè)試、開發(fā)或者生產(chǎn)，能否在第二副本上挖掘出更多業(yè)務(wù)價(jià)值，也就是說，數(shù)據(jù)保護(hù)也要具備服務(wù)于業(yè)務(wù)的能力，能產(chǎn)出價(jià)值的能力。這是戴爾對(duì)于現(xiàn)代化數(shù)據(jù)保護(hù)的看法，也基本涵蓋了數(shù)據(jù)保護(hù)最新的發(fā)展趨勢(shì)。結(jié)合了傳統(tǒng)成熟與新的現(xiàn)代化的數(shù)據(jù)保護(hù)方案戴爾將數(shù)據(jù)保護(hù)分為經(jīng)典成熟的數(shù)據(jù)保護(hù)和現(xiàn)代化的數(shù)據(jù)保護(hù)兩大類。許多傳統(tǒng)數(shù)據(jù)保護(hù)廠商大多仍停留在成熟的市場(chǎng)上，對(duì)新的現(xiàn)代化應(yīng)用部分涉獵較少。而許多新崛起的數(shù)據(jù)保護(hù)公司基本能力又只是構(gòu)建在現(xiàn)代化數(shù)據(jù)保護(hù)方面，像戴爾這樣兩部分都有涉及的并不多。李巖表示，如今仍是以成熟市場(chǎng)為主，現(xiàn)代化數(shù)據(jù)保護(hù)的市場(chǎng)規(guī)模很小，但很快將發(fā)生巨大變化，作為企業(yè)IT市場(chǎng)有二十多年經(jīng)驗(yàn)的老將，李巖認(rèn)為現(xiàn)代化數(shù)據(jù)保護(hù)很快將取代傳統(tǒng)成熟市場(chǎng)，成為市場(chǎng)主流。在李巖看來，許多成熟市場(chǎng)的玩家對(duì)新平臺(tái)支持欠佳，一些數(shù)據(jù)保護(hù)廠商為了適應(yīng)現(xiàn)代化做的改變，往往只是在原有架構(gòu)上加入新東西，這會(huì)讓架構(gòu)體系變得更加臃腫且效率低下。同樣作為成熟市場(chǎng)玩家的戴爾則認(rèn)為，現(xiàn)代化的數(shù)據(jù)保護(hù)必須用現(xiàn)代化的工具開發(fā)，要能快速迭代快速部署。戴爾強(qiáng)調(diào)自己既有傳統(tǒng)市場(chǎng)的積累，在新的市場(chǎng)上也打開了正確的方式，作為數(shù)據(jù)保護(hù)市場(chǎng)最有發(fā)言權(quán)的廠商，作為市場(chǎng)上數(shù)據(jù)保護(hù)方案最齊全的廠商，戴爾給出了企業(yè)數(shù)據(jù)保護(hù)的參考性建議。企業(yè)做數(shù)據(jù)保護(hù)的一點(diǎn)指導(dǎo)思路企業(yè)如何做數(shù)據(jù)保護(hù)，哪些數(shù)據(jù)需要哪些保護(hù)要區(qū)別對(duì)待，不能胡子眉毛一把抓。首先，要防范新聞上經(jīng)常報(bào)道的刪庫(kù)跑路事件，可以選擇容災(zāi)方案來應(yīng)對(duì)，戴爾建議60%的應(yīng)用要做容災(zāi)，容災(zāi)方案除了可以防止刪庫(kù)跑路事件，還能防范各種意外，包括自然災(zāi)害還有硬件故障。其次，大多數(shù)情況下，戴爾建議包括從邊緣、核心到云的所有企業(yè)應(yīng)用，都要做備份。有許多數(shù)據(jù)，建議至少有一份拷貝，這是最基本的防范措施。以上兩點(diǎn)大部分廠商也都能做到，但在防范比較高端的勒索軟件和黑客入侵方案方面，差別就比較大了。從李巖的介紹中了解到，許多廠商是靠磁帶來隔離勒索軟件的，效果很差，問題很多，而戴爾提供的則是CyberRecovery，CyberRecovery非常特別，這是因?yàn)樵S多勒索病毒都非常狡猾。勒索病毒通常都有潛伏期，并不是在攻入后就馬上動(dòng)手，讓人崩潰的是，動(dòng)手攻擊的時(shí)候還會(huì)有試探性的動(dòng)作。比如，第一輪攻擊完成后，黑客掌握了更多信息，在未來某個(gè)時(shí)間還有可能來第二次更有針對(duì)性的攻擊。李巖介紹說，有用戶在第一輪受到攻擊后用備份服務(wù)器做了恢復(fù)，而在受到第二次攻擊中將備份服務(wù)器攻陷，所幸，該用戶使用了DataDomain，DataDomain先對(duì)備份系統(tǒng)做了恢復(fù)，而后又對(duì)整個(gè)數(shù)據(jù)做了恢復(fù)。這家用戶體驗(yàn)到勒索病毒的威力之后，如今選擇用戴爾的CyberRecovery來專門應(yīng)對(duì)勒索病毒，以此防范關(guān)鍵業(yè)務(wù)淪陷。CyberRecovery來自美國(guó)“避風(fēng)港”計(jì)劃，“避風(fēng)港”計(jì)劃是美國(guó)銀行家協(xié)會(huì)聯(lián)合9家金融機(jī)構(gòu)和協(xié)會(huì)成立的非盈利組織，它的目標(biāo)是防止金融行業(yè)數(shù)據(jù)受到威脅，保護(hù)美國(guó)作為金融帝國(guó)的地位，“避風(fēng)港”計(jì)劃制定了一系列標(biāo)準(zhǔn)，而戴爾憑借CyberRecovery成為目前唯一認(rèn)證的解決方案供應(yīng)商。相比之下，依靠磁帶的方式雖然也可以防范勒索軟件，但受限于性能，很難在磁帶中查找“干凈的數(shù)據(jù)”，或者需要花很長(zhǎng)時(shí)間找回并恢復(fù)數(shù)據(jù)，但是這種等待時(shí)間是關(guān)鍵業(yè)務(wù)不能接受的。擺脫混亂無序，構(gòu)建面向未來的數(shù)據(jù)保護(hù)架構(gòu)戴爾數(shù)據(jù)保護(hù)產(chǎn)品家族產(chǎn)品很多也很全，堪比百科全書式的那種全，因?yàn)槊恳粋€(gè)產(chǎn)品技術(shù)都對(duì)應(yīng)一個(gè)時(shí)期的一個(gè)需求，這導(dǎo)致戴爾數(shù)據(jù)保護(hù)超全的產(chǎn)品線，在功能特性上甚至?xí)行┰S重復(fù)，這恰巧說明了數(shù)據(jù)保護(hù)的復(fù)雜性。不過，對(duì)于企業(yè)如何構(gòu)建數(shù)據(jù)保護(hù)方案，李巖也給出了一些有參考價(jià)值點(diǎn)的思路。他表示，數(shù)據(jù)保護(hù)應(yīng)該從下向上開始建，要建立一個(gè)統(tǒng)一的數(shù)據(jù)保護(hù)存儲(chǔ)池。由于歷史原因，真實(shí)環(huán)境下的許多備份系統(tǒng)都是豎井式的，可能數(shù)據(jù)庫(kù)有一個(gè)備份系統(tǒng)，虛擬機(jī)有一個(gè)備份系統(tǒng)，NAS還有一個(gè)備份系統(tǒng)，備份管理復(fù)雜度非常高，對(duì)于備份資產(chǎn)狀態(tài)缺乏全局洞察。唯一比較合理的解決方案是建立一個(gè)統(tǒng)一的備份存儲(chǔ)層，然后在此基礎(chǔ)上做數(shù)據(jù)級(jí)容災(zāi)，最后再做最高級(jí)的隔離備份CyberRecovery。統(tǒng)一的備份存儲(chǔ)層一方面支持所有平臺(tái)的協(xié)議，一方面對(duì)接原有所有的備份軟件和應(yīng)用程序。這樣一來，就能在兼顧現(xiàn)有的備份體系的同時(shí)，為未來把業(yè)務(wù)都過渡到統(tǒng)一數(shù)據(jù)保護(hù)體系打下基礎(chǔ)。業(yè)務(wù)系統(tǒng)聚焦如何實(shí)現(xiàn)業(yè)務(wù)邏輯，聚焦如何優(yōu)化效率，而數(shù)據(jù)保護(hù)系統(tǒng)的職責(zé)是預(yù)防可能出現(xiàn)的數(shù)據(jù)丟失問題，系統(tǒng)業(yè)務(wù)連續(xù)性的問題，可以說，是數(shù)據(jù)保護(hù)保障了業(yè)務(wù)創(chuàng)新平臺(tái)的平穩(wěn)運(yùn)行。結(jié)語從上文介紹中，相信大家都意識(shí)到了數(shù)據(jù)保護(hù)的許