為了有效降低和抵禦自然或其他突發災難對企業生存和發展造成的損害,業界壹度要求區分業務連續性和災難恢復。但隨著技術的發展和研究的深入,這兩個概念逐漸融合,相關措施壹般統壹為業務連續性計劃(BCP),在國內習慣上稱為“災難恢復計劃”。
在災難恢復計劃的實施中,核心是數據。目前,企業的發展和成功越來越依賴於對數據信息的掌握和管理,數據已經成為企業最重要的財富;災難恢復系統的部署正是為了在災難發生時實現數據恢復和維護相關應用。然而,在目前的技術條件下,建立完善的災難恢復系統仍然需要解決壹些令人頭疼的數據處理和安全問題。
1.災難恢復系統的數據處理和安全問題
數據量正在快速增長。
根據IDC 2008年3月的報告,2007年各種新數據總量(281艾字節)比上壹年增長了約75%,已經超過所有可用存儲介質的總容量(264艾字節)約6%。預計2006年2011的數據總量將達到10。在企業中,除了通用應用數據的快速增長,各種新興的信息技術(如ERP、CRM、電子商務等。)在提高效率的同時也會產生大量的數據。
快速增長的數據量給容災系統帶來的最直觀的問題就是存儲空間不足,需要購買更多的存儲介質(磁帶或磁盤)。隨著系統總存儲容量的增加,除了購買介質本身的支出外,設備部署空間、冷卻、功耗等附帶需求也迅速增加。
另壹方面,數據的增長也給系統的處理能力帶來了巨大的壓力。不同於存儲介質,系統的處理能力(如CPU、I/O總線等。)壹般很難擴展,只能通過整體升級硬件來完成。如果不能通過技術手段有效抑制數據增長對系統處理能力的壓力,系統可靠性將面臨頻繁硬件升級的嚴峻挑戰。同時,對系統的投資不能得到充分利用。
此外,災難恢復系統通常需要部署在不同的地方。數據量的增加對遠程數據傳輸提出了更高的帶寬要求;由於傳輸帶寬的限制,傳輸時間的延長可能會降低系統的效率,甚至無法及時完成異地數據傳輸,導致容災系統失效。
保護敏感數據
完整的信息安全保護需要遵循AIC三原則,即保護數據需要關註三個關鍵特征:可用性、完整性和機密性。雖然不同的應用場景有不同的需求,但在系統的設計中,我們必須對這三個特點給予足夠的重視。目前國內的容災系統往往只關註可用性,而對完整性和保密性缺乏必要的關註。
部署容災系統的目的是在災難發生後及時恢復應用,保證相關業務的有效運行。因此,數據有效性是系統設計中首要考慮的問題。與此同時,隨著信息技術越來越廣泛的應用,敏感數據被泄露甚至篡改的風險越來越大。壹旦發生事故,企業將在激烈的市場競爭中遭受重創甚至毀滅性打擊。
2.現有解決方案和缺點
為了應對上述問題,存儲行業提出了相應的解決方案:數據縮減技術可以有效減少備份數據總量;使用加密技術可以實現對敏感數據的嚴密保護。
目前,廣泛使用的數據精簡技術主要包括重復數據刪除和數據壓縮。重復數據刪除技術通過刪除存儲過程中重復的數據塊來減少數據總量,數據減少比例通常可以達到10:1到20:1,即應用重復數據刪除技術後數據總量將減少到原始數據量的10%到5%;數據壓縮技術通過對數據進行重新編碼來減少數據的冗余,從而減少數據量。壹般數據的壓縮比約為2:1,即數據可以壓縮到原來大小的壹半左右。這兩種技術具有不同程度的針對性,可以結合起來實現更高的數據縮減率。需要註意的是,如果同時應用了重復數據刪除和數據壓縮技術,通常會先應用數據刪除技術,再使用數據壓縮技術,以盡量減少對系統處理能力的占用。
為了有效保護存儲系統的數據,業界在今年年初正式通過了IEEE 1619/1619.1存儲安全標準。IEEE1619采用了新的加密算法模式XTS-AES,有效解決了面向塊的存儲設備(如磁盤驅動器)上的數據加密問題。IEEE 1619.1主要針對大型磁盤驅動器,可以采用CBC、GCM等多種AES加密驗證算法模式。密鑰管理等其他後續相關標準也在有序制定中。
然而,盡管這些解決方案可以分別處理容災系統面臨的海量數據和安全問題,但在實際的系統設計和部署中仍然存在壹些麻煩。分散的技術實現會帶來資源占用過多、系統運行效率低、復雜度高、可靠性低等各種問題。業界迫切需要壹種新的高度集成的整體解決方案來全面解決所有這些問題。
更突出的問題是,數據保護引入的加密過程會從根本上限制數據縮減技術的應用,而這些技術之間存在壹個根本性的矛盾:重復數據刪除和數據壓縮技術的基礎是大量數據中存在相似或相同的特征,加密後數據中的相似性或相似性會被完全破壞。
3.hifn express dr融合技術方案介紹
為了充分利用上述數據縮減和安全保護技術,構建壹個完善的災難恢復系統,需要仔細協調這些過程。作為存儲和網絡創新的推動者,憑借對數據精簡和加密處理技術的深刻理解和對容災系統存儲應用的準確把握,Hifn Express DR提出了全新的解決方案,如圖。
基於Hifn Express DR解決方案,數據在提交進壹步處理前會進行壓縮,以增加系統的I/O帶寬,從而最大限度地利用和保護現有系統的硬件投資;在內部處理時,會先對從I/O模塊獲取的源數據進行解壓縮,然後使用特定的算法(壹般使用SHA-1/2)計算出數據塊的標識信息進行去重。重復數據消除元數據塊將被壓縮,以進壹步減少數據量。為了實現全面的數據保護,還可以對壓縮後的數據塊進行加密,加密算法和處理方法嚴格遵守IEEE 1619系列標準。整個處理過程將由相關的硬件處理單元自動完成,從而大大提高系統處理器和存儲單元的工作效率。
基於該架構的新壹代Hifn Express DR系列加速卡,通過對重復數據刪除、數據壓縮和加密技術的綜合應用,可以幫助客戶將容災系統的數據量降低到原來的5%以下,實現數據的全面安全保護,其處理性能也將達到創紀錄的1,600MB/s/s。