本文来自微信公众号“twt企业IT社区”。
数据作为企业的核心资产,必须牢牢守住不丢失数据这条生命线。因此,如何保证存储数据安全、架构稳定成为摆在企业面前的重要难题。而信创云存储是信创云核心组件之一,作为数据底座的存储是否满足安全稳定与可持续设计,是企业在信创云建设过程中的重要课题。因此,企业如何从业务安全角度以及可持续发展角度综合评估信创云存储架构的当前以及未来规划,是本次议题重点研讨的内容。
【栏目主编 】赵海 某金融系统高级主管:本议题由北汽福田汽车基础设施高级经理张志强、昆仑银行云计算工程师石恒发表针对议题下关键点的主张,几位专家的主张在某金融公司架构师刘艳春及我本人等多位专家的复议后,形成了一定的共识,希望可以对同行有一定的参考。
张志强 北汽福田汽车IT基础设施高级经理:
就信创存储系统的发展而言,随着外部竞争环境的越发激烈、国家自主安全的战略目标的坚定,必然会促使信创领域的核心技术突飞猛进。
信创云存储作为云环境核心的支撑组件,其安全与否直接关系企业数据的安全。相较于传统的存储,信创环境下,企业不仅需要具备基本的海量数据存储能力,更需要具备一定的数据安全保护能力和与周边生态良好集成的扩展能力。
就信创云存储系统的发展而言,随着外部竞争环境的越发激烈、国家自主安全的战略目标的坚定,必然会促使信创领域的核心技术突飞猛进。数字化转型会逐渐蔓延到各个行业,届时数据将作为企业的核心资产,其存储系统的数据载性和数据安全保护能力都会对企业生产业务和运营产生重要的影响。所以说,存储和数据保护的信创转型已是大势所趋。
一、信创存储安全性设计
就制造业而言,当下企业开始大规模引入人工智能、物联网、自动驾驶、云计算等新技术,助力智能制造、数字孪生、远程诊断等应用的落地。导致海量数据存储需求巨大,数据的类型也呈现多样性(结构化、非结构化、半结构化)等。面对数据作为企业的核心资产,如何保证存储安全稳定就成了信创存储摆在企业面前的第一道难题。
安全方面我觉得应该至少从三个方面入手:
1.存储技术
(1)利用分布式存储方案
将计算资源和数据分散在各个存储节点上,每个节点均能对外提供存储服务。
消除传统存储架构瓶颈,充分发挥存储介质性能,提升系统并发性能和弹性扩展能力。节点间通过多副本机制进行数据保护,某个部件或节点故障时,自动利用已有空间,多节点并发数据恢复,可以有效确保数据冗余,实现相对的数据安全。
(2)存储存放独立区域
作为支撑企业数字化业务的核心底座,应该确保存储系统的物理安全。如设置独立的物理访问区域,授权管理员访问。存储系统要求用户登录的密码符合密码复杂度要求,用户多因素认证等。针对各种访问和操作进行详细审计。
(3)合理的数据备份策略
无论多优秀的存储系统和数据保护机制,都缺少不了备份,这才是数据安全的最后一道防线。基于业务的实际需求建立合理的备份策略是存储系统安全和数据安全的保障。对于制造企业,数据备份是日常运维中必不可少的一项关键性工作,它直接决定着企业能够应对什么样的数据威胁以及相应解决方案的灵活度和有效性。有效的备份可以防止系统出现因操作失误或逻辑故障导致的数据丢失。
2.存储管理
(1)统一管理平台
存储技术随着业务形态的变化不断发展,整体上分为集中式存储和分布式存储两大类。无论哪种存储都随着业务的不断发展与数字化进程的推进,其承载的数据均出现了指数级的增长。信创存储和传统存储共存的场景将成为一种发展态势,导致存储平台和运营模式发生变化。为方便日后的运维管理,就需要新架构的信创存储具备兼容传统存储的能力,从存储资源的可视、分配及生命周期管理等方面都要考虑。
(2)管理制度
建立或完善业务连续性管理办法,将存储的管理和流程纳入其中。从风险管控、业务影响分析等多个维度去考虑。从而制定符合要求的应急管理预案、运维管理制度、操作流程等。在技术安全保障的前提下,通过管理规范使用,降低人为操作风险。
3.数据安全法律法规
遵守外部法律法规来及时定制后更新内部相关的标准,如2021年实施的《中华人民共和国数据安全法》,其明确表示:数据是国家基础性战略资源,没有数据安全就没有国家安全。所以一定要在存储的技术考虑和使用上严格把关,确保存储系统可以有效地保护数据。
二、信创存储高可用设计
国产化的风已经不是吹一两天了,很多企业开始在存储国产化方面进行尝试,并取得了很好的效果。信创存储作为重要的国产化领域得到了多方的关注与支持。在逐步实现自主可控过程中,对兼容性、健壮性、可扩展性和高性能存储的需求也正在上升。
信创存储高可用在很多方面上其实和传统的存储高可用手段很相似,都是系统在任一存储设备出现故障时,另一台存储设备可以快速接管存储业务,为前段提供数据服务。而且整个切换过程需要尽可能地让业务的感知降到零,确保业务的连续性。常用的方式有两种,一种是应用级的冗余架构,这个就是常说的应用级灾备。此种备份方案比较适合数据中心分开较远、业务较为重要的场景。整个链条的任何故障都不会影响前端对业务的正常访问。其建设成本也是最高的。还有一种是数据级的冗余架构,比较适合在短距离或者同一个数据中心内实施。数据可以根据距离、业务性能要求,实现同步或者异步的传输。企业可以根据不同的业务场景和重要级别采用不同的灾备方案。虽然信创存储天然具备良好的扩展性能力,在两种不同的灾备方案上都比传统的存储成本要低,但是与业务的兼容性需要充分测试。所以在实施上建议采用从不重要到重要,再到核心系统的策略。
三、总结
信创的大环境下,国内很多的存储方案已经开始在不同的行业进行实时落地,但是从实际的使用效果上来看,和国外的成熟存储产品还有一定的差距。产品成熟度,可靠性方面还需要更多的磨炼,同时存储方面的数据安全方案和高可用方案也迫切需要完善。
随着信创技术的不断发展,国家信创产业的支持力度不断强化,信创存储产品也会不断成熟,生态也会逐渐完善,期待信创存储在安全稳定和高可靠的方案上得到进一步的提升。
石恒 昆仑银行云计算工程师:
存储选型决定了信创云存储架构的安全稳定与可持续设计,从存储产品本身和存储厂商能力两个角度上,给出存储选型的几个决定性因素。信创云下的存储,不仅仅是云的数据载体,也是整个数据中心的基石产品之一。
本文基于银行业背景,旨在从业务安全角度以及可持续发展角度出发,指出在信创云环境下的存储,由哪些因素影响着存储架构的安全稳定与可持续发展。
一、背景分析
银行是金融体系中重中之重的一环。对于银行而言,银行数据中心承载着银行的生产交易、运营管理、办公等系统,是银行生产运营的重要基础。传统数据中心中,存储系统承载存贷、理财、交易等多类型重要数据,直接影响客户和银行的资金安全、信息安全。同时存储技术的不断更新换代和能力变革,存储系统的产品选型既要保证业务的可靠稳定,又要具备技术前瞻性保证未来的业务发展需求,因此存储设备是数据中心内最关键的硬件资源。随着数据中心发展规模的不断壮大,以及生产业务系统对数据中心资源的需求不断变化,云化和上云也成为了银行基础设施建设中的一大趋势。伴随着国家对于关键信息基础设施过程的自主可控的管理要求不断提升,政策文件密集发布,包括《关键信息基础设施安全保护条例》、《关于银行业保险业支持高水平科技自立自强的指导意见》、《第十四个五年规划和2035年远景目标纲要》等,国内金融行业的基础设施建设的自主可控改造进程也在加速,在基础设施云化和企业业务上云背景下的信创云内存储选择,也要考虑安全性、可靠性、数据存储效率等多方面因素国芯存储设备的适配与应用成为银行在面对未来数字化转型中的重要课题。
二、信创云存储架构设计
信创云存储是信创云核心组件之一,而作为数据底座的存储是否满足安全稳定与可持续设计则很大程度上决定了存信创云的安全稳定与可持续设计。因此,在设计信创云存储架构的安全稳定性和可持续性方面,需要综合考虑产品本身的能力,以及存储厂商的稳定性。
从产品本身能力来说,主要包含以下几个因素:
1.安全性与可靠性
企业需要确保存储方案能够提供足够的数据安全保障,以确保数据不会因为存储设备故障或其他原因而丢失,如支持冗余备份和故障转移等。除此之外,现阶段还要同时考虑包括数据加密、勒索防护、灾备能力等能力。近期,人行下发了《中国人民银行业务领域数据安全管理办法(征求意见稿)》,对银行明确要求了存储加密能力。存储加密能力大致来说可以分为两种,一种是基于硬件如存储硬盘的加密能力,另一个是基于软件的加密,而软件加密也需要支持国密相关算法。针对目前日益猖獗的勒索病毒攻击,存储作为数据的保存者需要做出相应措施,建立完整的防勒索防御体系,与网络、主机相互配合,使数据中心的风险消减到最低,以提高整体的安全韧性。灾备能力建设需要综合考虑业务重要性,综合考虑业务重要程度、RTO/RPO要求等因素,可通过双活、复制等技术,建设同城灾备、异地灾备能力,保障数据安全。
2.存储性能
企业需要根据自身业务需求选择存储方案,确保存储性能能够满足业务需求。例如,对于需要高速读写的业务,则需要选择高速存储设备,如固态硬盘(SSD)等。初期SSD的成本较高,成为了SSD替换HDD的一大阻力。随着近些年SSD的成本降低,存储系统也已经走进全闪存时代。相比HDD,SSD可以提供更高的IOPS、更低的时延、更高的可靠性等。因此选择更高性能的存储产品,如全闪存存储,能够保障关键业务性能要求,也是保障信创云存储产品本身的稳定。
3.存储可扩展性
企业需要考虑存储方案的可扩展性,以应对未来业务增长的需求。存储方案需要支持横向扩展和纵向扩展,以满足未来业务需求。
从存储厂商的能力来看,存储选型需要参考以下四个主要因素:该厂商的产品是否成熟稳定,该厂商产品架构是否先进,厂商技术实力能力和自主可控性,以及其技术支持能力和可维护性。
(1)产品成熟稳定,提供可靠保障,具有丰富的成功案例实践
对金融行业尤其是银行的数据中心而言,数据存储动一发而牵全身,存储系统的成熟稳定和可靠性是数据中心存储选型最基本也是最重要的需求。
国产芯片切换需要依托一定时间周期的市场实践和能力沉淀,丰富的成功实践案例作为产品成熟可靠的重要佐证依据。
(2)产品架构先进,能力特性丰富,具有高性能和高扩展性
产品架构直接对存储的稳定性和可靠性带来直接的影响,同时也决定了存储的场景适应能力,先进的产品架构和丰富的存储功能特性才能保证存储的使用又稳定又好用。
同时,存储系统的建设需要保证至少5年内业务系统的性能要求和容量要求,具有高性能、高拓展性的能力保障。
(3)厂商技术实力出色,自主可控程度高
存储厂商的技术实力积累和长期稳定的研发投入,对存储产品的持续演进和产品服务带来决定性因素,对存储产品的自主可控能力更强,程度更高,提供的存储产品更符合国家对金融行业基础设施建设自主可控的管理要求。
(4)技术支持能力和可维护性
生产存储的选型不仅仅是产品的选购和交付,产品的运维和维护同样是存储生命周期的重要组成部分。后期服务能力(特别是本地化)、可维护性是存储选型重点需要注意的地方。本地服务能够及时响应和高效处理问题,而存储的高可维护性,能够支持存储的在线操作、升级和排障,能够降低对业务的影响和对行内运维人员的工作难度。
三、总结
本文论述了存储选型决定了信创云存储架构的安全稳定与可持续设计,从存储产品本身和存储厂商能力两个角度上,给出存储选型的几个决定性因素。信创云下的存储,不仅仅是云的数据载体,也是整个数据中心的基石产品之一。因此,信创云存储不单单要从现阶段眼前的使用来考虑,也要基于存储厂商的能力来衡量长远的一个安全稳定与可持续能力。存储产品本身的安全性与可靠性、存储性能、可扩展性,以及存储厂商是否成熟稳定、产品架构是否先进、厂商技术实力,自主可控性、技术支持能力和可维护性,既决定了信创云存储架构的安全稳定与可持续性,也保障了数据中心整体运行的安全稳定与可持续性。因此,在银行信创云存储选型时,要因地制宜,综合考虑以上因素。
结束语
企业在设计信创云存储架构的安全稳定性和可持续性方面,站在产品选型的角度,需要综合考虑产品本身的能力(安全性、可靠性、性能、可扩展性)、存储厂商的能力(稳定成熟、架构功能先进、技术实力、可维护性等),以及数据防勒索、安全加密等政策要求。
