关注云报
洞察深一度
哪里有新的应用,哪里就有可能成为黑客攻击的下一个目标!哪里有新的数据,哪里就需要数据保护!俗话说,魔高一尺,道高一丈,正是在与各种安全威胁、病毒、网络攻击的博弈中,企业的安全高墙才得以铸牢夯实。进入云原生时代,随着容器、Kubernetes等的应用越来越广泛,一场新的数据保卫战已经打响。
Kubernetes保护面临三大挑战
Veritas最新的调研数据显示,73%的中国企业认为,勒索软件攻击在Kubernetes环境中是一种风险。
随着云原生脚步的加快,Kubernetes正被迅速部署到全球企业的关键任务环境中。在中国,超过四分之一的企业目前已经使用了Kubernetes,更有90%的中国企业预计将在未来两至三年内部署该技术。然而到目前为止,在已部署Kubernetes的中国企业中,只有35%具备防范勒索软件攻击等数据丢失事件的保护措施。
大规模的Kubernetes部署与相关数据保护措施的滞后,这中间的鸿沟将如何弥合呢?Veritas公司大中华区技术销售与服务总监顾海巍分析指出,针对Kubernetes的数据保护主要面临以下三大挑战。
首先,如何保证Kubernetes环境的备份效率。对Kubernetes环境的保护能否提供原生支持,是不是符合客户的运维标准(运维标准包括集成Kubernetes环境本身的CI/CD,确保持续性集成、持续性部署和持续性交付),这些都是要重点考虑的问题。对Kubernetes环境提供保护,不能降低Kubernetes本身的运维水准,这是一条基本准则。所以,必须在数据保护平台的架构层面就实现与Kubernetes环境的契合,包括大规模Kubernetes环境的保护、恢复总体拥有成本是否合理,是否具有扩展性等,这些都与备份的效率相关。
其次,如何针对Kubernetes的容器应用复杂性提供一致性的保护。从传统数据中心架构演进到云,人们希望用简单的云来屏蔽传统数据中心架构的复杂性。但是,随着多云的快速增长,云也出现了复杂性。因此,在多云环境中,Kubernetes必须进行运维标准的统一,从而消除多云环境下的运维复杂性。
Kubernetes虽然是一个消除运维复杂性的工具,但其内部的复杂性还是相当高的。顾海巍打比方说,就像驾驶一辆汽车,有方向盘、刹车、油门、排档就够了,但是汽车本身构造的复杂性是始终存在的。对Kubernetes环境进行保护,容器的复杂性是必须面对的挑战。保护Kubernetes环境并不像保护一个虚机或一个客户端那样简单,因为一个Kubernetes环境下的业务通常涉及成百上千,甚至上万个微服务容器环境,需要进行复杂的编排。如果想确保Kubernetes环境下的业务安全,就必须把业务涉及到的所有资源看作一个整体进行保护,并且能够处理好不同Kubernetes微服务之间的编排关系。如果不能做到这一点,很可能会导致业务在出现故障后根本无法恢复。Veritas在推出NetBackup 10时强调“以应用为中心实现备份容灾”,就是这个道理。唯有此,才能应对容器的复杂性。
最后,如何确保Kubernetes环境的可移植遵从性。因为Kubernetes环境有很大的可移植性,从物理的数据中心到不同的云、不同的虚拟化环境中,其代码可以在不同的环境中进行移植。对Kubernetes环境进行保护,就要在实现数据恢复、业务恢复、容灾恢复时确保可移植性,即恢复的数据能够在不同的物理数据中心和云之间、不同的云之间,以及不同的商业版本之间,保证原先代码的可移植性。“数据保护必须支持这种可移植性,否则Kubernetes的价值将大大降低。”顾海巍如是说。
为Kubernetes提供原生保护
Veritas在持续更新其企业数据服务平台时,就在逐步扩展针对Kubernetes环境的保护功能。Veritas NetBackup面向Kubernetes环境推出了完全集成的原生保护功能:即在多个Kubernetes发行版和层(包括集群、命名空间、自定义资源和持久化卷)上提供原生保护,以确保完整的保护和灵活的恢复选项。从边缘到核心再到云,从传统环境到虚拟化环境再到容器环境,Veritas可以全程保护用户免受勒索软件的攻击。
NetBackup对容器保护采取了一种“与容器不相干”的数据保护方式,允许用户未来快速添加对多个Kubernetes发行版的支持。NetBackup现在可以支持Red Hat OpenShift、VMware Tanzu和Google Kubernetes Engine,并支持即将发布的其它Kubernetes发行版。
一个传统的备份软件一定需要一个客户端,与被保护的工作负载进行通信。如果沿用这一思路对Kubernetes环境进行保护,还要契合它对灵活性,以及CI/CD标准的要求,就必须开发一个“笨重”的客户端。这就像是一辆挂斗三轮摩托的挂斗,既费力又麻烦还不安全。NetBackup的优势在于,它针对Kubernetes提供了“原生保护功能”。比如,Veritas开发了容器化的NetBackup Operator,它类似于传统环境中的Agent,以容器的方式部署在Kubernetes集群中。NetBackup的Kubernetes Operator的分发遵从Kubernetes原生标准,可以自动发现Kubernetes的业务、洞察容器的上限,并自动进行保护。“NetBackup具备的完整保护机制非常完美地契合了CI/CD的运维标准。”顾海巍介绍说,“Veritas向Kubernetes的运维管理员提供了基于访问策略标准、角色权限控制标准的一套API,让容器管理员可以把NetBackup保护集成到CI/CD的完整套流程中。”
当然,并不是所有的容器保护平台都要做得非常复杂。在很多企业中,其Kubernetes环境的保护就是由普通的备份管理员完成的,而备份管理员很可能不是Kubernetes方面的专家,他们希望基于预先定义好的策略轻松地完成对Kubernetes环境的保护,而对CI/CD之类的标准并不关心,对更细节的分发机制也不想过多了解。针对这种情况,NetBackup提供了基于Web的数据保护界面,备份管理员只要简单点击几下鼠标,就能完成对Kubernetes环境的保护。这些都得益于NetBackup针对Kubernetes推出的原生保护功能。
Veritas NetBackup 10针对Kubernetes环境保护进行了特别的优化设计,概括起来就是提供了原生的保护工具,针对Kubernetes环境平台和存储提供了广泛支持,以应用为中心实现Kubernetes的数据保护,基于Kubernetes提供了灵活的恢复选项,并且更进一步简化了备份和恢复。一句话,Veritas NetBackup 10的新特性使得保护Kubernetes应用数据如同其它任务一样简单。
贯穿不同时代的“数据保护英雄”
从NetBackup 8.3版本开始,Veritas就提供针对Kubernetes环境的备份保护,到9.0版本的时候,功能已经相当完善,能够实现各种高级备份和高级恢复,甚至是Agent与AWS之间多云的容灾编排。NetBackup 10的推出,针对Kubernetes环境的备份保护又迈上了一个新台阶,表现在效率的提升,实现了以应用为中心的备份,增加了可移植性等。
如今,Veritas在各行各业都有针对Kubernetes环境保护的成功案例,运营商、金融客户、大型制造企业等是落地最快也最多的。最新的NetBackup 10为更多行业客户多云环境下的Kubernetes保护提供了更先进的解决方案。
“为云原生环境提供更好的数据保护,大部分企业都有这样的安全意识。但问题是,安全运维不是静态的,而是一个动态的过程,并不是部署了某些安全运维的解决方案或Kubernetes的安全工具,就能一劳永逸。安全运维标准是动态的,所以安全运维工具也是动态的。”顾海巍强调说,“归根结底,企业客户之所以在针对容器、Kubernetes环境的保护方面表现得差强人意,还是因为在应对‘4C’挑战方面——成本(Cost)、网络威胁(Cyberthreats)、云(Cloud)、合规(Compliance),做得不够好。数字化转型的速度在不断加快,安全运维的标准也在快速更新,企业在安全运维领域的投资必须跟上数字化转型的速度。”
为了让针对Kubernetes环境的保护更有效地落地执行,顾海巍提出了以下六点建议:遵循基本的安全原则;妥善保护Kubernetes环境下的数据;完整地保证Kubernetes环境下所有命名空间的安全,确保数据复制的完整性;明确Kubernetes环境下各种运维人员和使用者的访问权限;简化运维,通过自动化的方式减少DevOps团队和备份团队的工作量;基于现有的企业整体环境,不仅是Kubernetes环境,还包括其他所有的环境,打造统一的、一致性的备份平台。
随着客户需求的变化、技术的持续演进,不同的时代也会涌现出不同的创新者和新的领军企业。难得的是,Veritas是贯穿了很多个时代的“数据保护英雄”,从最早的单个服务器的保护,到物理数据中心、虚拟化数据中心、多云、容器时代,Veritas始终保持业界领先地位。如今,Veritas服务着8万家企业客户,87%的全球财富500强企业都部署了Veritas的数据保护解决方案,以实现数据保护、业务的可恢复性和合规性。Veritas连续16次位于Gartner数据中心备份和恢复解决方案魔力象限的领导者象限。就像顾海巍所说,在Kubernetes环境中,Veritas的解决方案仍然是最佳选择。
往期回顾
扫一扫
8668
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
