容器資料保護成課題 不可變快照確保安全

2024-03-05
越來越多的企業將應用容器化,容器的資料該如何保護也就成為亟需面對的課題。根據調查,有75%的受訪者以為可以像備份應用程式一樣備份容器,但這個想法並不正確。

去年,Rubrik Zero Labs發布的《資料安全狀態:確保不確定未來的旅程》研究報告,高達三分之二的受訪者認為,現今資料的成長速度超過了他們保護資料的速度;預估2024年企業需要保護的資料量將增加近1倍,未來五年,需要保護的資料量更可能增加到7倍之多;值得留意的是,在2022年,超過六成的企業均面臨敏感資訊的重大損失,其中有兩成三的企業還經歷了多次資料外洩,由此也不難想見,資料保護的任務已越來越艱鉅。

Pure Storage大中華區技術總監何與暉指出,資料已經成為企業建構數位韌性的重要核心,面對資料海嘯,唯有完整的資料保護策略方能確保資料的可用性,而這包含了如何確保資料在發生任何損壞或遺失後可以快速地還原,以及當遭到惡意軟體和病毒攻擊時,如何確保企業的資料韌性。他提到,資料韌性並不僅是對資料進行保護,除了讓被保護的資料非常安全之外,還要在遭受攻擊時,能夠在最短的時間內,還原被保護的完整資料,以便讓企業服務能夠持續運行。

備份規劃也要納入容器

「相較於以往,這幾年企業資料保護思維已有所轉變,」何與暉觀察,過去企業比較在意的是資料有無備份,對於還原速度以及資料備份的安全性並不上心,但隨著勒索病毒攻擊升溫,加上地緣政治等因素影響,近幾年也慢慢改變思維更加看重備份資料的安全性與還原速度,並且希望藉助外力來取得安全的資料保護架構以建構資料韌性,在受攻擊時,能於最短的時間內還原系統。

這可能涉及幾個面向。一是資料位於何處,是在本地端還是在雲端,或是在容器上?第二資料是以什麼型態存放在企業端,是資料庫還是公司內部的文件,抑或是X光片、核磁共振(MRI)影像,或是日誌與物聯網(IoT)相關的檔案資料,隨著資料類型的不同,備份的方式也會有所差異。同樣地,還原的方法也會有所不同。

舉例而言,越來越多的企業將應用程式容器化,容器的資料該如何保護也就成為亟需面對的課題。根據調查,有75%的受訪者以為可以像備份應用程式一樣備份容器,但這個想法並不正確。雖然理論上,容器多半為無狀態(Stateless),只需要備份該節點上的應用程式即可,但其實有不少的應用是在容器內進行資料處理(Data Processing)的工作,例如AIoT應用不斷把資料傳回容器後,會先存放在Edge Server或是本地的伺服器,幾秒鐘或幾分鐘後才進行資料處理,因此,當容器出現故障而須重啟一個新的容器時,新啟動的容器便無法抓取到資料。亦即,企業在進行備份規劃時,並不能單單只有備份容器,連資料也要一併備份。

「這也是為何Pure Storage會提供Portworx平台的原因,這是專為K8s建置的資料保護服務,除了能讓容器更有彈性外,還可以協助企業實現資料備份、移轉以及容器的遷移等等,再搭配Pure Storage本身的儲存設備,便能加速容器的備份與還原。」他提到,企業還可以搭配階層式儲存的概念來設計,例如病患拍攝的X光片,一旦醫生看診完後通常就少有再被讀取的需求,所以一開始可以把X光片存放在速度最快的儲存空間,過一兩周後再把它放置較慢的空間中,待一、兩個月後通常不會再讀取,就可以把這些檔案歸檔。「不過,一般而言,開發人員並不會具備儲存的領域知識,只需要知道有三種不同快慢的儲存空間,但是對於基礎架構人員來說,就必須知道這些資料位於何處,不同速度儲存空間會對應到不同的備份方式以及還原順序,這也是資料韌性或是備份還原計畫中應該要具備的一環。」

SafeMode快照模式緩解勒索攻擊

根據FortiGuard Labs威脅情報中心公佈的《2024年全球資安威脅預測》報告顯示,過去幾年全球勒索軟體攻擊急劇增加,使得每個企業組織、擁有規模或產業都成為攻擊目標。未來,攻擊者將採取「不攻則已、攻則勢大迅猛」的策略,把焦點轉向關鍵產業,如醫療、金融、交通運輸和公共事業。

何與暉認為,從資料保護的角度來看,儲存方案供應商能夠提供的解決之道就是協助企業確保備份資料的安全,像是SafeMode不可變的快照功能以及Air Gap架構都可以用以應對勒索軟體攻擊,此外在還原時,Pure Storage也提供儀表板顯示適合的還原時間點,企業可選擇在被攻擊前的版本進行還原。

由於惡意程式可能會潛伏在企業內部,藉由摸熟企業使用者或管理人員的帳密,對任何可以用於系統還原的快照或備份進行加密或銷毀,讓備份資料無法還原。SafeMode快照模式可為備份資料和關聯中繼資料目錄建立唯讀快照,即使管理人員的憑證被盜用,安全模式保障的快照也無法被刪除、加密或修改。「通常惡意程式發現無法對備份資料加密、修改時,就會選擇刪除。一旦檔案被刪除,安全的副本就會被暗中存放到其他空間,惡意軟體以為已刪掉了備份檔案,但其實檔案還在。」啟用這項功能後,企業可視對備份的依賴度,來設定這個空間的時間限制,預設為24小時,最多可以保留30天。

效能與彈性是生成式AI主要挑戰

人工智慧正在觸及生活與工作的各個層面,尤其是ChatGPT問世後,全球再度掀起新一波AI應用熱潮。根據麥肯錫去年的調查,有三分之一的企業經常在至少一項業務職能中使用生成式AI;另外,也有四成企業表示,隨著技術的進步,預估將增加人工智慧投資。

Pure Storage大中華區技術總監何與暉指出,面對資料海嘯,唯有完整的資料保護策略方能確保資料的可用性,而這包含了如何確保資料在發生任何損壞或遺失後可以快速地還原,以及當遭到惡意軟體和病毒攻擊時,如何確保企業的資料韌性。

「狹隘地說,從儲存角度而言,生成式AI與其他人工智慧的應用並沒有太大的差異,差別只是生成式AI的資料量會多出很多,效能跟彈性會是主要的挑戰,」他分析,因為資料量的暴增,能不能在同一個資料池中不斷承載增長的資料,讓資料有辦法隨時被存取,這就涉及到儲存架構夠不夠彈性。而效能指的是,如何利用儲存本身的效能去加速AI,不管是要訓練模型還是資料的探索或是資料清洗、資料治理,有沒有辦法利用儲存的效能,來協助加速這些作業。GPU Direct Storage(GDS)技術就是讓儲存設備直接連接GPU,讓儲存設備內的資料繞過CPU,以提升效能。

「但是如果要把儲存角色放大,那麼生成式AI就會涉及到資料主權的問題,」何與暉解釋,儲存設備只是一個大冰箱,每個人都可以到冰箱拿東西,只要門打開就可以把資料拿走,但是如何把門打開、資料的擁有者是誰、應該要遵循哪一個國家的法規,相對都會影響生成式AI的應用,他強調,儲存設備本身與這些的關聯性不大,就實務上來看,還是與彈性及效能影響最為直接。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!