事物都存在两面性。譬如科技的进步,在用数字化提高整个社会或企业运行效率的同时,也使得维持这种秩序变得越来越难——整个秩序是建立在数据的基础上,因此要破坏这种秩序就显得比以往更“容易些”——以往需要通过物理方式才能做到的事,现在只要通过技术手段,破坏数据,就可以在更小风险的情况下,达到同样或更甚的效果。因此秩序的保护者和挑战者之间,攻防双方已经从真刀真枪的“官兵拿贼”,变成了在虚拟世界里频繁的技术较量。而较量的核心,是数据,是如何保证数据的安全。
戴尔科技集团大中华区数据保护解决方案部总经理陈洁(左)和戴尔科技集团大中华区数据保护技术总监李岩
“网络攻击永不停歇。到2021年,平均每11秒就会有组织机构遭受攻击,其中48%涉及中小企业。攻击以数据为对象,勒索赎金为目的,全球范围影响高达 6 万亿美金,所有行业都将无一例外地受到影响。今天不再谈企业会不会遭受攻击,而是谈什么时候会遭到攻击。”2021年底,戴尔科技集团基于全球1000名组织机构IT决策者所做的《2021年GDPI调查》数据显示,企业现在管理的数据量,从2016年的1.45PB增长至2021年的14.6PB,5年前时间增长了10倍以上。 戴尔科技集团大中华区数据保护解决方案部总经理陈洁强调,另外一个增加企业在数据保护方面难度的因素,是不断被市场和用户接受并采用的新兴技术(如云原生应用、Kubernetes 容器、人工智能和机器学习),目前还缺乏足够的针对性的数据保护解决方案。
数据保护的四个趋势
技术的问题,最终还是要通过技术方法来解决,因此,数据保护的问题还是需要新的数据保护理论、工具和解决方案,才能保持整个社会的秩序,以及企业的业务连续。
“目前与数据保护有关的趋势,正在发生一系列的改变。”李岩,戴尔科技集团大中华区数据保护技术总监日前在一场演讲当中强调,与传统数据保护的理念相比,现在企业级数据保护从逻辑上已经发生四个具体的方向性的改变。首先,从企业对数据保护的规划看,正在从以往关注功能为主,转变为更加关注企业的整体策略为主;第二,从应对策略上看,正在从以往通过备份数据孤岛的模式,转变为建立统一的备份存储池的模式,从而能够涵盖从边缘、数据中心到云,进而覆盖各种应用场景;第三,从对新兴IT技术的针对性上看,应用企业正在从以往关注传统技术对于数据波保护的影响,转变为对新兴技术的影响更加重视,希望能够实现在数据保护领域的“成熟与现代的结合”;第四,是从结果上看,正在从专注于IT视角的网络安全,转变为从业务视角的“网络弹性”。
“三位一体”的数据保护
针对这四种改变,李岩介绍了戴尔科技提出的四点针对性理论和解决方案。
首先,从企业整体数据保护策略和框架上,戴尔科技提出了“三位一体”的数据保护整体架构体系。具体来说,就是根据企业数据的重要程度,构建一个从低到高的金字塔结构:最底层,是针对企业的所有数据,提供数据备份。“备份能够为企业提供最基本的数据保护,能够全面覆盖企业的所有工作负载;同时能够提供可靠、快速和低成本的数据恢复。”李岩强调,只是“备份”的操作,不能保护站点的故障,也不能为企业提供面对黑客攻击和勒索病毒攻击的保护。要保证站点稳定和部分解决黑客攻击、勒索病毒,需要依靠在“备份”之上的第二道防线:针对企业主要数据的“异地容灾”。而想要全面解决企业数据保护的问题,就只能通过整个金字塔尖的“数据避风港”才能实现。“数据避风港所针对的,是企业核心数据。通过在企业中搭建数据避风港,可以为企业提供针对关键应用的提供防止黑客攻击和勒索病毒的能力,同时,也能防止来自木马的内部攻击。企业在将核心数据存储到数据避风港时,系统可以通过智能扫描分析保证数据的安全性。而一旦企业发生黑客攻击和被勒索病毒攻陷,在很短时间内,就可以利用数据避风港中存储的数据,实现数据的完整恢复,从而保证企业业务的连续性。”李岩说。
其次,对于“建立统一的备份存储池”,李岩介绍,戴尔科技是通过PowerProtect DD系列数据保护专用存储设备,来无缝集成企业任一平台、任意保护方法、任意协议,实现统一保护存储和统一云存储,从而建立一个统一的数据保护资源池,从而在企业当中构建出一个统一的数据保护平台,以企业数据中心为基础,向前端可延展到边缘,向后端可以拓展到各种云端。进而将更多企业应用场景纳入到数据保护的范畴当中。
第三,众所周知,戴尔科技有一个“传统”的数据保护套件DPS suites,拥有业界里面所有备份的技术和能力。然而随着云原生被广泛使用,在2019年,戴尔科技又推出了面向云原生环境下的数据保护方案PPDM(PowerProtect Data Manager)。在当时,这是市场中第一个也是唯一一个支持Kubernetes应用一致性备份的企业级保护解决方案,同时它也支持虚拟机和应用程序的数据备份,能够让企业用户可以在单一的平台上就能实现关键任务负载的数据保护。因此在李岩看来:PowerProtect DD系列数据保护专用存储设备与数据保护套件DPS suites的组合,是具有成熟技术能力,获得市场验证的一种成功经验;而DD与PPDM的组合,则意味着在戴尔科技数据保护解决方案对于现代化应用的关注,是面对新兴IT技术对数据保护所产生影响所做出的一种具有针对性的应对方案。
最后,关于企业用户对于数据保护的着眼点,到底应该是停留在传统的IT领域?还是从企业业务连贯性出发?“网络安全是一个过程、能力和状态,而网络弹性则是一种能力和策略。”李岩认为,企业用户对数据保护的终极目标,是拥有一种保障业务连贯性的能力,因此建立网络弹性就成为一个目标和方向。要建立企业的网络弹性,除了要具有“网络安全”的能力外,更重要的是要附加一项“恢复能力”,即:当网络攻击发生时,如何将数据损失和财务影响最小化的同时,恢复组织的正常运营。“传统我们往往更关注对网络攻击的识别、保护、回应和发现,但是我们认为,要建立网络弹性,还需要关注恢复能力。”李岩说,PowerProtect Cyber Recovery数据避风港就是实现网络弹性的关键因素。
至此,实际上我们就能够大致厘清戴尔科技数据保护的整个理论逻辑和解决方案架构:首先,从备份到容灾,再到数据避风港,三位一体的结构,实际上是为企业梳理了一条与业务和数据重要性都密切相关的数据保护逻辑,三者之间既是一种逐渐递进的关系,同时也是一个密不可分的有机整体。这实际上是为企业用户建立一个完整的整体数据保护模型,也提供了一个可进阶实践的模板。在这样一个理论架构中,PowerProtect DD系列数据保护专用存储设备搭建了一个基础的备份存储池,在此基础上,以DD为核心的硬件设备,分别与数据保护套件DPS、数据保护方案PPDM的搭配组合,从某种程度上完成了整个“三位一体”架构的底层备份和容灾,PowerProtect Cyber Recovery数据避风港才是整个架构的金字塔尖。
写在最后
“如果某个企业其实原有的研究思路已经形成了,我们可以提供整体的巡检和评估手段,为企业用户做整体架构的梳理。”戴尔科技提供的“三位一体”解决方案从莫种程度上讲,是相当完整的,但是对于众多的企业用户而言,也许没有做到“三位一体”,但是部分的“数据备份”或者“数据容灾”能力,还是有的。陈洁在回答笔者提问时强调:戴尔会考虑帮助企业用于保护原有IT投入,尽量做到在最大程度利用原有能力的基础上,构建“三位一体”的数据保护架构,这在技术上是完全没有问题的。但是,“当一个企业用户采用了多家厂商的解决方案,往往是没有办法真正完全地达到一个有效的整体保护,同时可能还会面临更多的风险,所以我们提供整体的评估,同时也会基于客户的现状来能够去建议客户最有效的整体的架构方案:基于客户预算、未来业务需求等方面的因素,建议用户去做一个整体的三位一体架构的建设。”陈洁说。
同样的问题在李岩看来:当客户开始思考三位一体时,其实可以考虑分步骤地逐步完善,“不用一下子把企业原有的系统打破,也不用把所有的软硬件一次性全部换带,首先可以先用基础架构平台,先把底层数据打通。”李岩说:“对于用户企业而言,选择同一家供应商来构建三位一体的架构,其集成度显然会更好、更新更方便,费用也会更低。”