当今,Kubernetes已经成为全球大部分企业云战略的核心部分。根据Veritas的调研显示,超过四分之一的中国企业已经投入使用该技术,90%的中国企业预计将在未来两到三年内部署该技术。然而,到目前为止,在已经部署Kubernetes的中国企业中,只有35%的企业具备防范勒索软件攻击等数据丢失事件的保护措施。在部署了Kubernetes的中国企业中,有35%经历过对其容器化环境的勒索软件攻击。
防勒索是安全环境中最热的话题。在过去的一年中,勒索攻击频率急剧上升,对经济、社会信任和信息管理造成了严重影响。有高达73%的中国受访者认为勒索软件对Kubernetes环境的攻击是其企业目前面临的一个严峻问题。由此可见,保护Kubernetes环境以及其中的应用程序和数据,是企业的当务之急。
当然,任何一种环境中的数据安全,包括容器环境、Kubernetes环境等,都是由来已久,且将不断持续下去的话题。安全运维本身是一个动态话题,不是实现了某一个安全运维标准、部署了某些安全运维的解决方案,部署了Kubernetes或者其他的安全工具,就可以一劳永逸。
在数字化转型、混合云多云环境下,企业无法回避 “4C”难题挑战,即成本(Cost)、网络威胁(Cyberthreats)、云的使用(Cloud)、合规(Compliance)。一旦企业数据管理能力跟不上转型的需求,就会面临成本失控,容易受到勒索攻击、业务中断、管控不足的风险。
在Kubernetes方面,Veritas提出,要在六个方面帮助企业应对恶意攻击、恶意软件和人为失误,使其在Kubernetes环境中的数据更具韧性:遵循基本的安全原则;妥善保护Kubernetes环境下的数据;完整地保证Kubernetes环境下所有命令空间的安全,缺一不可;要明确Kubernetes环境的各种运维人员和使用用户的访问权限;要简化运维,通过自动化的方式解放DevOPs团队和备份团队的工作量;基于现有的企业整体环境,不仅是Kubernetes环境,包括其他所有的环境,整体环境下的统一、一致性的备份平台。
在具体的运维产品选择上,企业应该仔细考虑产品的选型,选择一个能够与企业共同成长的合作伙伴,一个被市场长期验证的、可靠的、有效的、平台性的解决方案。超过八万家企业级客户, 包括 87%的全球财富 500强企业,均依靠Veritas确保其数据的保护、可恢复性和合规性。
Kubernetes环境下,企业面临的三大挑战
Veritas公司大中华区技术销售与服务总监顾海巍将Kubernetes环境下,企业面临的挑战总结为三点:“效率、应用复杂性、可移植性”。
Veritas公司大中华区技术销售与服务总监顾海巍
首先是保证容器环境的备份效率。备份的是否有效、是否及时,关键在于Kubernetes环境保护是否能够提供原生支持,是否符合客户的运维标准,包括集成Kubernetes环境本身的CI/CD(持续性集成、持续性部署、持续性交付)。
在进行Kubernetes环境保护的时候,不能降低Kubernetes本身的运维水准,所以必须在数据保护平台的架构层面就能实现和Kubernetes环境的契合、架构的契合,包括大规模Kubernetes环境的保护、恢复,总体拥有成本是否合理、以及扩展性如何,是否会被限制在某一个烟囱里等。
第二是保证Kubernetes的容器应用复杂性,进行一致性保护。传统数据中心的架构迁移上云,本意是希望由云来屏蔽原先传统数据中心的复杂性。但随着多云的快速增长,出现了更多的复杂性,Kubernetes也需要进行运维标准的统一,来消除多云环境下的运维复杂性。
保护Kubernetes的环境不像保护一个虚机、一个客户端或者一个存储那样简单,一个Kubernetes环境下的业务涉及几十、上百、上千甚至上万个微服务容器环境,需要进行复杂的编排。想要保证Kubernetes环境下的业务安全,必须要把一个业务涉及到的所有资源看作一个整体,并且能够处理好不同Kubernetes微服务之间的编排关系,只有这样才能够真正保护好业务。
第三是保护好Kubernetes环境的可移植遵从性。企业之所以选择Kubernetes,一个很重要的原因是Kubernetes的环境有很大的可移植性,可以从物理的数据中心移植到不同的云上、不同的虚拟化环境中。对Kubernetes环境的保护就要在数据恢复、业务恢复、容灾恢复的时候保护好可移植性。也就是说数据备份后,一旦需要容灾回复,数据需要能够在不同的物理数据中心和云之间、不同的云之间、不同的商业版本之间,保证代码的可移植性。
Veritas的NetBackup 10由云级技术提供支撑,是业界首个云优化、规模化的数据管理解决方案。在保证容器环境的备份效率方面,NetBackup 10的设计遵从Kubernetes的原生架构,力争实现Kubernetes的原生工具。其部件本身是容器化的,而不是笨重的客户端,如容器化的Operator、基于容器helm chart的代码分发等。基于RBAC用户角色权限分配的API,允许Kubernetes的管理员基于自己的CI/CD运维标准进行自服务设计。针对普通的备份管理员,可以通过简单地敲击鼠标,像平时备份其他工作负载一样进行NetBackup的备份和恢复。
四招解决应用复杂性难题
针对应用复杂性的挑战。Veritas提供了Kubernetes环境下的企业级业务韧性的做法。
首先,与传统的以具体的工作负载为标准的备份不同,Kubernetes环境下,一个业务会涉及到大量的容器资源,比如各种微服务部件、容器部件、持续数据卷、配置文件或者其他各种各样的资源,当某一个业务上线或者扩展变更的时候,需要知道这些资源属于哪个业务,一起保护起来。
第二,基于Kubernetes的CSI标准,CSI是Kubernetes存储资源的接口标准。Kubernetes环境下,作为平台级的资源是非常灵活的,客户会使用不同的标准,备份保护也要跟得上。此外还要基于CSI的标准进行快照级的开发。
第三,基于应用复杂性能够实现大规模的恢复。Kubernetes是基于命名空间来组织业务资源的。一个大型的、复杂的业务可能涉及到几千个命名空间,要适应大规模的保护和大规模的恢复。
第四,能够灵活恢复,能够支持各种资源级别的恢复。比如恢复一个持续数据卷或者单个配置文件,或者某个业务中几十个Namespace(命名空间)中的一个命名空间,不同级别的资源力度恢复都要能够支持。
“如果想实现消除应用复杂性,实现以应用为中心的数据保护目标,以上四点都需要做到。” 顾海巍表示。
Veritas从NetBackup 8.3版本开始支持基本的Kubernetes容器环境的备份保护。9.0版本能够实现各种高级备份、高级恢复,甚至能够实现Agent和AWS之间多云的容灾编排。
NetBackup 10在效率挑战、以应用为中心的备份、增加可移植性等方面,有了进一步的提高。
在中国,NetBackup在运营商、金融、制造行业已经积累了大量客户。在欧洲,一些大型的金融连锁机构、物流机构正在部署NetBackup 10,来保护多云环境下的Kubernetes环境。
以云服务和数据为目标的黑客攻击只增不减,勒索攻击等威胁成为每一个企业需要正视的问题。Veritas正在帮助企业应对这一挑战,Veritas的产品、技术致力于帮助企业减少云资源消耗和成本,保护数据免受勒索软件的侵害,为数据自治打造坚实基础。
