數據“零”丟失，IBM全閃存怎么做到的？

　　從信息技術發展的那一天起，安全威脅便如影隨形，在“道高一尺魔高一丈”的攻防對抗中，越來越多的組織機構發現，安全威脅無法完全避免。而IBM的專家則表示，數據保護方案可降低安全事件可能造成的損失。說到底，安全威脅會對數據發起攻擊，通過造成數據泄露、數據丟失、數據加密等事故，從而影響業務連續性、損傷企業商業信譽，為避免此類情況，被勒索的組織機構有時候不得不向黑客支付巨額贖金。IBM公司科技事業部存儲產品線經理龐文崢

　　2022年7月28日，在全球閃存峰會上，IBM公司科技事業部存儲產品線經理龐文崢，介紹了IBM是如何幫助企業實現數據“零”丟失，如何幫助企業抵擋安全威脅，深耕企業IT領域多年的IBM憑借在閃存存儲以及數據保護方面的技術和實踐優勢，為企業的發數據保駕護航。

　　躲也躲不開，難纏的數據安全問題某研究機構的調研報告顯示，一場全球范圍的大規模網絡攻擊造成的經濟損失平均達到530億美元。還有調研發現，大型企業的防范意識在不斷增強，但中小企業的數據泄露風險卻在不斷地加大。《2021年IBM數據泄露成本報告》的數據顯示，2020-2021年間數據泄露的平均總成本增加了10%，提升到了424萬美元。浦東數據恢復其中，業務損失占到數據泄露總成本的38%，業務損失成本包括因系統停機導致的收入損失，以及因聲譽下降而導致的成本增加。惡意攻擊是造成數據泄露的主要原因。惡意攻擊所造成的數據泄露比例，從2014年的42%，增加到2020年的52%，惡意攻擊所造成的數據泄露比例，在六年間增加了近四分之一。數據泄露的潛伏期和應對周期非常長。有研究數據顯示，從確定網絡攻擊到恢復網絡攻擊影響的平均時間長達兩百八十天，需要七個月之久，通常在發現數據泄露時，已經為時晚矣。龐文崢表示，從廣泛的實踐來看，用企業零信任架構來應對網絡威脅的做法已經是業內共識，雖然許多廠商都推出了防范網絡攻擊的解決方案，但“道高一尺，魔高一丈”，被動防御很難防范所有的攻擊。龐文崢認為應該轉變思路，思考如何在受到攻擊后快速完成快復，這將是企業生存的關鍵。龐文崢介紹了遭受網絡攻擊后的處理流程，以及IBM存儲如何幫助企業在受到網絡攻擊后，快速恢復數據和業務的能力。

　　如上圖所示，當企業受到網絡攻擊時，大多數企業都不能即時發現，經常是在攻擊發生很久后才能被檢測到，這時，網絡攻擊不僅污染了生產數據，也可能污染了遠程系統和備份系統。

　　當企業發現了數據被破壞，首要解決的問題就是如何快速恢復數據，當網絡攻擊的潛伏時間越長，遭到污染的數據就越多，恢復數據所需要的時間也就越長。

　　當近線設備數據被污染，用戶不得不從具有Air Gap（氣隙隔離）的磁帶中恢復數據。恢復數據面臨兩大考驗，對此，很多企業用戶表示無法接受。首先，數據恢復過程比較考驗用戶的耐心，因為通常需要幾天甚至半個月。另一方面，也得看運氣，因為，只有當恢復完成后才能確認這些數據是否被污染了，如果恢復的數據被污染了就做了無用功。IBM推出的Cyber Vault可以幫助客戶顯著降低數據受到攻擊破壞所帶來的影響和損失。

　　Cyber Vault可以快速識別最后一份可用的副本，讓存儲管理員使用類似磁盤快照的技術快速恢復數據，將原本需要數周才能恢復的數據，縮短到幾天甚至幾個小時。IBM FlashSystem+IBM全面的數據保護方案=數據“零”丟失2022年3月，IBM發布了支持第三代閃存模塊的FlashSystem新產品，包括FlashSystme 9500和FlashSystme 7300，與此前的FlashSystem 5200構成了完整的FlashSystem產品家庭，新品從容量到性能，都有成倍的提升。

　　上圖顯示的性能數據是在16k數據塊，7：3混合讀寫負載，50%緩存命中的情況下的表現，FlashSystem 5200是入門級的，FlashSystem 7300的IOPS達到了60萬，最高端的FlashSystem 9500R能達到120萬IOPS，性能在成倍增長。

　　FlashSytem全系列都支持IBM Spectrum Virtualize軟件平臺，用戶可以使用IBM Spectrum Virtualize的所有功能，包括不可更改副本技術，該技術可幫助企業應對網絡攻擊，也就是說，全系列的FlashSystem都能使用該技術。

　　如上圖所示，IBM FlashSystem存儲系統提供了全面的數據安全解決方案：IBM存儲系統不僅支持同步或異步數據復制，能實現兩站點、三站點甚至四站點的遠程復制，還能將數據復制到公有云，將公有云做成企業的容災中心。IBM的容災恢復解決方案，能讓企業的數據在自然或者人為的局部災難中幸存下來，讓數據丟失很少或根本沒有數據丟失，實現零數據丟失。IBM存儲系統還能夠實現HyperSwap雙活操作。不僅能使得用戶的數據在局部災難中幸存下來，而且用戶的應用可以立即訪問數據備用副本，而且，過程中不會對業務端造成影響，甚至可能完全感覺不到。IBM還能通過多達5路的復制來提供增強的高可用性，依靠IBM獨有的Stretch Cluster功能，這種能力能擴展到多達500多種不同品牌的存儲，遠不只是IBM自己的設備。2021年，IBM發布Safeguarded Copy（受保護的副本）的功能，可以創建不可更改的數據快照。通過提供多達一萬五千份不可更改副本以及職責分離的雙重安全認證，可以幫助企業應對各種網絡攻擊，例如勒索軟件、 刪庫跑路等。如果用戶的數據主副本受到感染，Safeguarded Copy副本在邏輯上與主數據保持氣隙隔離，并使該副本不可更改，用戶可用該副本進行快速數據恢復。IBM存儲系統還支持磁盤硬加密，可以防止窺視或物理的數據盜竊。

　　其中，Safeguarded Copy使用普通的快照技術創建拷貝，但它們存儲在特殊的受保護池里,這些池可以防止卷被更改或連接到服務器，當創建后，系統管理員也無法訪問，因此勒索軟件與黑客也無法訪問它們。受保護的副本根據管理員定義的策略自動創建和刪除，這些副本不能映射到主機，也無法改變，無法通過任何應用程序修改和訪問，即使是系統管理員也無法做到，從而保證了副本的安全、可靠。當源數據被污染后，安全管理員可以將這些卷快速地掛載到系統上，然后掛載在數據庫上，這些操作只需要幾十秒，最多在幾分鐘即可完成。

　　IBM在閃存系統中獨創了“職責分離”，分成了系統管理員、超級用戶與安全管理員三類角色。系統管理員可以進行常規管理，可以配置（Safeguarded Copy）受保護的副本，但無法訪問和刪除這些副本或備份池。可以訪問和刪除受保護的副本或備份池的是安全管理員。雖然超級用戶可以執行任何操作，但實際應用中都會禁用此超級用戶，如果想要重新開啟超級用戶，只能通過IBM支持或通過對存儲系統進行物理訪問來開啟。通過將系統管理員和安全管理員職責分離，分別設置兩個不同的人員管理，可以最大限度地避免內部風險和刪庫跑路的現象發生。數據保護以外的安全防護手段當用戶發現或檢測到網絡威脅時，通常為時已晚，當發現問題時，用戶迫切需要馬上找出沒被污染，可用于恢復的數據副本，而不是盲目嘗試恢復。IBM Security QRadar是一個安全信息和事件管理系統，它可以檢查用戶數據中心里的活動，并識別可疑行為。

　　網絡攻擊者會想辦法掩蓋行蹤，而IBM Security QRadar會努力檢測和發現企業中受到的威脅，Qradar通過分析日志事件和網絡流數據，在大數據和人工智能技術的幫助下，能實時檢測可疑事件，并將相關事件聚合為優先級警報。當網絡攻擊者試圖以安全管理員的身份進行不良行為，比如，在非正常工作時間登錄并試圖刪除Safeguarded Copy副本，比如同一管理員ID同時從多個位置登錄，QRadar可以捕獲這些事件，讓Safeguarded Copy來創建一份Safeguarded Copy副本，在攻擊發生后，優先嘗試用該副本來恢復數據。QRadar帶有預先定義的策略和500多個開箱即用的集成功能，IBM存儲系統搭配IBM QRadar可以幫助企業更好地應對安全威脅。寫在最后數據安全涉及的范圍很大，而IBM憑借在企業級存儲市場的深厚積累，在企業級數據容災備份領域深耕多年的經驗，推出新產品以應對數據安全問題，為企業在應對安全問題時候提供了非常有參考價值的解決之道。關于FMW