数据保护要怎么做?
前言:IT技术架构迭代速度快,作为保障IT运行的数据保护方案自然要与时俱进,更大的数据量,云边端以及容器都让IT架构发生了巨大变化,数据保护要怎么做呢?
现代人都会有一种或者多种保险,保险本是一种风险管理方式,帮人面对未来的不确定性。然而,由于保险有过于复杂的逻辑,导致很多人看不清,也看不懂,一些人心生抗拒。而且,保险只有在意外发生时才生效,但意外是小概率事件,这又使得一些人产生了侥幸心理。
有人说,越是生活富足的人越不喜欢不确定性,有人说,越是风险抵抗能力差的人越需要买保险,说的好像处于中间的大多数人不需要买保险一样。耐心找的话,总会找到几个适合大多数人的保险方案,而且不难发现,有些方案动辄十年八年都不会有根本性的变化。
数据保护也面临着与保险非常类似的尴尬,不过,它面临的问题更严峻。
作为一种重资金投入的,且并不带来直接收益的特殊存在,数据保护本身并不讨喜,而且,由于它本身也较为复杂,容易让人看不懂。更可怕的是,由于有摩尔定律的推动,IT基础设施很快就从以前的平房变成节节高的摩天大楼,变化速度非常快。
所以,数据保护方案也得变了。
数据保护的变化与挑战
以前没听说过的删库跑路,现在好像成了热点新闻保留节目,以前没听说过的勒索病毒,现在都快成了黑客致富的最佳路径,疫情当前,当办公和学习都转到线上的同时,黑客也把更多目光投射到了网络空间。
如果说这些威胁还有一些偶然性,但凡是没有碰到就始终觉得有点遥远,那么,其实还有很多新变化,令所有企业都会深有体会。
具体而言,首先是数据变多了,增加了数据保护的难度。从个人的手机存储空间的变化就会有切身感受,那么,数据多了以后怎么做保护,是挑重点保护,还是大量数据做基础的保护,两者是否都要做,又或者是按照别的什么原则?
其次,平台的延伸让数据保护变得复杂。最早是传统的Unix主机平台时代,而后来是局域网/互联网、客户端/服务器、PC为特征的第二平台,现在则是以云计算、大数据、移动化和社交化为特征的第三平台。平台变得非常复杂,数据散落在各个平台上,如何做数据保护?
再有,新技术的出现为数据保护带来新挑战。继虚拟化技术之后,以容器技术为代表的云原生时代登场了,应用的存在形式变了;如今的数据库再不是以前单纯的关系型数据库时代了,到处是NoSQL、MongoDB、Redis;如今也不是学会C++和JAVA就能走天下的时代了,各种新编程语言所代表的应用也各有特色,比如,2020年最贵的程序员是那些会用Go语言的。
成熟方案应对新变化
数据的增长是量变,数据备份最怕的就是等,数据越大要等的越久,应对思路就是提升处理的效率,如何在规定的备份窗口完成任务,从而不影响生产呢?
戴尔科技集团大中华区数据保护产品技术总监李岩介绍数据保护难题的应对方式。
提升效率首先能想到的还是消除重复数据,比较高级的版本是常用在Avamar和Data Domain上的可变长消重(Variable-Length Deduplication)算法,它按照一定规则将文件打散成不同大小的数据块后,记录数据块的哈希值,在较大的维度下,如果出现同样哈希值的数据块就触发消重,以此来减少需要备份、传输和恢复的数据。
作为高级的数据消重技术,可变长消重(Variable-Length Deduplication)的效率更高一些,可以大大减少实际需要备份的数据量,该技术现在是戴尔的专利技术。
提升效率还能想到的是直接提升性能。戴尔的直接备份技术,可以把数据从数据库(像Oracle、SQL Server)或者SAP等企业级核心应用直接备份到备份存储,避免了备份软件,减少了数据传输量的同时,也减少了在备份软件上的投入。
李岩介绍介绍说,在面对100TB左右的大型数据库的时,直接备份技术相对于传统备份方式,性能提升了20倍。
面对大量数据,必须考虑的还有分层技术,出于性能的考虑,需要将常用数据的放在更容易访问的高性能存储介质上,出于成本的考虑,不常用的数据放在成本更低的大容量量存储介质上。
数据保护系统一般操作起来非常复杂,为了简化复杂度,许多用户都选择了专有备份软硬一体机(PBBA)方案,而且,与存储市场不同的是,PBBA市场出现了戴尔这种坐拥市场半壁江山的玩家,这是市场成熟的标志,说明PBBA在很大程度上解决了用户在数据保护方面的多数需求。
但在李岩看来,这是不够的,以上几点只是满足了原有数据基础设施的数据保护需求,并不能很好地应对新变化,比如,新平台和各种新技术带来的挑战,面向此类的保护需求被称为是现代化的数据保护方案。
现代化数据保护应对新变化
上面提到的解决方案都属于传统成熟数据保护的能力,现代化的数据保护方案其侧重点与传统数据保护有很大不同,两者是相互补充的关系,两者结合才能应对新变化。
所谓现代化数据保护,首先就是要支持对云原生环境的保护,可以保护部署在Kubernetes容器上的应用数据。
第二点是具备自主保护能力,所谓自主保护是指系统能自动检测和自动保护工作负载,无论是在第一平台还是第二平台还是在第三平台上,无论工作负载是在边缘还是核心,数据保护系统能跟踪并保护这些工作负载,与此同时,系统管理员只需进行一部分操作。
第三点,业务服务弹性是指恢复阶段,根据业务服务相关的软硬件来自动编排恢复过程的能力,这些元素可能部署在本地、可能在云上,也可能两者都有,不论应用负载是传统数据库应用还是虚拟机又或者是容器,无论是不是有Office365,都能基于此提供恢复策略,减少手动干预。
最后一点是数据服务,其实主要是指怎么利用备份数据的能力, 能否 让恢复过来的数据用于测试、开发或者生产,能否在第二副本上挖掘出更多业务价值,也就是说,数据保护也要具备服务于业务的能力,能产出价值的能力。
这是戴尔对于现代化数据保护的看法,也基本涵盖了数据保护最新的发展趋势。
结合了传统成熟与新的现代化的数据保护方案
戴尔将数据保护分为经典成熟的数据保护和现代化的数据保护两大类。许多传统数据保护厂商大多仍停留在成熟的市场上,对新的现代化应用部分涉猎较少。而许多新崛起的数据保护公司基本能力又只是构建在现代化数据保护方面,像戴尔这样两部分都有涉及的并不多。
李岩表示,如今仍是以成熟市场为主,现代化数据保护的市场规模很小,但很快将发生巨大变化,作为企业IT市场有二十多年经验的老将,李岩认为现代化数据保护很快将取代传统成熟市场,成为市场主流。
在李岩看来,许多成熟市场的玩家对新平台支持欠佳,一些数据保护厂商为了适应现代化做的改变,往往只是在原有架构上加入新东西,这会让架构体系变得更加臃肿且效率低下。同样作为成熟市场玩家的戴尔则认为,现代化的数据保护必须用现代化的工具开发,要能快速迭代快速部署。
戴尔强调自己既有传统市场的积累,在新的市场上也打开了正确的方式,作为数据保护市场最有发言权的厂商,作为市场上数据保护方案最齐全的厂商,戴尔给出了企业数据保护的参考性建议。
企业做数据保护的一点指导思路
企业如何做数据保护,哪些数据需要哪些保护要区别对待,不能胡子眉毛一把抓。
首先,要防范新闻上经常报道的删库跑路事件,可以选择容灾方案来应对,戴尔建议60%的应用要做容灾,容灾方案除了可以防止删库跑路事件,还能防范各种意外,包括自然灾害还有硬件故障。
其次,大多数情况下,戴尔建议包括从边缘、核心到云的所有企业应用,都要做备份。有许多数据,建议至少有一份拷贝,这是最基本的防范措施。
以上两点大部分厂商也都能做到,但在防范比较高端的勒索软件和黑客入侵方案方面,差别就比较大了。
从李岩的介绍中了解到,许多厂商是靠磁带来隔离勒索软件的,效果很差,问题很多,而戴尔提供的则是Cyber Recovery,Cyber Recovery非常特别,这是因为许多勒索病毒都非常狡猾。
勒索病毒通常都有潜伏期,并不是在攻入后就马上动手,让人崩溃的是,动手攻击的时候还会有试探性的动作。比如,第一轮攻击完成后,黑客掌握了更多信息,在未来某个时间还有可能来第二次更有针对性的攻击。
李岩介绍说,有用户在第一轮受到攻击后用备份服务器做了恢复,而在受到第二次攻击中将备份服务器攻陷,所幸,该用户使用了DataDomain,DataDomain先对备份系统做了恢复,而后又对整个数据做了恢复。
这家用户体验到勒索病毒的威力之后,如今选择用戴尔的Cyber Recovery来专门应对勒索病毒,以此防范关键业务沦陷。
Cyber Recovery来自美国“避风港”计划,“避风港”计划是美国银行家协会联合9家金融机构和协会成立的非盈利组织,它的目标是防止金融行业数据受到威胁,保护美国作为金融帝国的地位,“避风港”计划制定了一系列标准,而戴尔凭借Cyber Recovery成为目前唯一认证的解决方案供应商。
相比之下,依靠磁带的方式虽然也可以防范勒索软件,但受限于性能,很难在磁带中查找“干净的数据”,或者需要花很长时间找回并恢复数据,但是这种等待时间是关键业务不能接受的。
摆脱混乱无序,构建面向未来的数据保护架构
戴尔数据保护产品家族产品很多也很全,堪比百科全书式的那种全,因为每一个产品技术都对应一个时期的一个需求,这导致戴尔数据保护超全的产品线,在功能特性上甚至会有些许重复,这恰巧说明了数据保护的复杂性。
不过,对于企业如何构建数据保护方案,李岩也给出了一些有参考价值点的思路。他表示,数据保护应该从下向上开始建,要建立一个统一的数据保护存储池。
由于历史原因,真实环境下的许多备份系统都是竖井式的,可能数据库有一个备份系统,虚拟机有一个备份系统,NAS还有一个备份系统,备份管理复杂度非常高,对于备份资产状态缺乏全局洞察。
唯一比较合理的解决方案是建立一个统一的备份存储层,然后在此基础上做数据级容灾,最后再做最高级的隔离备份Cyber Recovery。统一的备份存储层一方面支持所有平台的协议,一方面对接原有所有的备份软件和应用程序。
这样一来,就能在兼顾现有的备份体系的同时,为未来把业务都过渡到统一数据保护体系打下基础。
业务系统聚焦如何实现业务逻辑,聚焦如何优化效率,而数据保护系统的职责是预防可能出现的数据丢失问题,系统业务连续性的问题,可以说,是数据保护保障了业务创新平台的平稳运行。
结语
从上文介绍中,相信大家都意识到了数据保护的许多特殊性,对于数据保护现在存在的问题,以及未来发展方向有了更新的认识。
从李岩的介绍中了解到,即便是对于数据保护技术最热衷的金融行业用户,也有人心存侥幸心理,不过,因为时有发生但并不见诸报道的事故有很多,并没有引起太多关注,而接下来,金融行业将是戴尔数据保护业务的重点市场。
数据保护需要技术产品,更需要见过大场面的经验,对于戴尔来说,作为久经考验的数据保护市场的顶级玩家,在戴尔眼里,最大的问题可能不是数据保护技术方案本身,而是用户的侥幸心理