基礎架構設計第一準則:確保隔離
譯文【51CTO 1月11日外電頭條】企業的IT基礎架構如今面臨應用程序、設備和數據呈爆炸式增長的態勢,以至于僅僅讓IT基礎架構跑起來就夠難的了——似乎誰都沒有時間或人力來設計切實改善運營的新系統。不過,當你面對瘋狂增長的勢頭時,可以采取一個措施來簡化你的工作、加強你的基礎架構,那就是盡量使用邏輯隔離機制。
無論你談論的隔離對象是計算機帶寬、存儲容量、網絡設備還是不同類型的數據,這其實并不重要;因為道理都一樣。確保出眾的性能、嚴密的安全、高效率和易于管理,都需要對不同類型的服務和數據深思熟慮地進行劃分——事后進行劃分常常極難實現,甚至不可能實現。
具體過程千差萬別,這取決于你使用什么樣的技術。但是一個共同的主題應該貫穿于基礎架構的每一個層面,那就是確保隔離。
隔離網絡
眼下你很可能待在組合使用的網絡安全硬件后面:防火墻、入侵檢測系統/入侵預防系統(IDS/IPS)、內容過濾器等系統。如果貴企業在運行通過互聯網訪問的服務,比如Web服務器和電子郵件服務器,那些系統可能還包括一個或多個非軍事區(DMZ,又叫隔離帶),DMZ把那些易受攻擊的服務與內部企業網絡的薄弱環節隔離開來。幾乎任何IP專業人士都很熟悉這種注重安全的網絡隔離——誰要是沒有采用這種隔離機制就貿然運行,后果自負。
但并不是說網絡安全方面的工作到此為止。哪怕在規模再小的企業網絡中,對內部網絡進行重重劃分也能帶來切實的好處,即使沒有采用功能完備的內部防火墻機制,至少也要使用虛擬局域網(VLAN)和三層路由機制。在過去,這種網絡隔離一般用于通過在非常龐大的網絡中控制廣播流量來提升性能。而如今,由于與網絡連接的設備數量和種類要多得多——從員工的智能手機到IT設施的暖通空調和制冷(HVACR)系統,把一度備受信賴的內部網絡當作需要防護的一種緊迫的威脅來對待顯得越來越重要。
問題在于,很少有企業決定實施這些種類的內部安全措施,盡管我們生活在這樣一個環境:危害性極大的、專門定制的蠕蟲在伺機尋找和破壞工業控制系統。沒錯,這些種類的威脅仍然很不常見,但是可以肯定,它們不久之后會很普遍。
就算貴公司沒有擺放著大量的核離心機,也很可能擁有與網絡連接的暖通空調或者火警報警系統。你還很可能擁有一些聯網的不間斷電源(UPS)系統、VoIP電話系統或者基于IP的存儲基礎架構——你幾乎肯定有自己的網絡打印機。幾乎每個人都擁有,但是很少有人覺得是安全風險的眾多網絡設備似乎從來沒有得到臺式機那樣有力的保護。不要忽視了那些系統的安全。將這些系統隔離到屬于它們自己的網段上,只有需要訪問的用戶才可以訪問那些系統。
安全不是把這些不同類型的設備隔離到各自受保護的子網上的唯一原因。只有真正隔離了這些種類的系統、服務器和臺式機,你才能非常清楚地了解自己的網絡資源在如何得到使用。因而,萬一出現了網絡問題,你就完全有能力來監控、隔離、排查和診斷這些問題。
如今,如果我為客戶重新設計網絡,即便是規模比較小的網絡,我也幾乎總是會在設計中考慮到相當程度的網絡隔離機制。即使一開始沒有包括任何實際的訪問控制措施,萬一將來需要添加這種措施,就能輕松添加,這一點本身極其有用。我不止一次遇到過這種情況:由于網絡實現了重重隔離,零日病毒爆發因而被遏制——要是之前沒有落實隔離機制,幾乎不可能遏制零日攻擊。
無論你因何種原因而進行網絡隔離,有一點幾乎總是可以肯定:你的網絡會變得更龐大(哪怕貴公司沒有變得更龐大),而不是變得更小。而網絡越龐大,在將來實施你可能需要的這類措施就會越困難。
隔離存儲
企業數據正在以驚人的速度增長,這不是什么秘密。有效地應對這種數據增長勢頭不僅僅需要部署大批的存儲硬件。比如說,導致非結構化數據增長的最主要根源之一常常是對數據缺乏組織管理這么簡單的原因。如果企業沒有鼓勵用戶以井然有序的、易于管理的方式來存儲數據,想確定誰擁有什么數據、該數據是不是仍然需要變得幾乎不可能——因而導致了這種情況:存儲的一切數據都必須保留(或者如果你膽子很大,只好丟棄)。如果你在IT行業已有一段時日,毫無疑問你看到過那些臭名昭著的“公共”文件共享區。
如果根據私有用戶數據和部門數據等標準,對數據存儲進行劃分、實現邏輯劃分,你總是能讓某個人對生成的數據進行負責,成功遏制數據增長的可能性就要大得多。你還能夠精細化地監控數據的使用情況,把這些數據組劃分到多個存儲系統上,還可以根據需要實施存儲配額等控制措施——如果每個人的數據都混在一起,或者缺乏組織管理,就不可能做到這一點。而與網絡隔離一樣,只要數據得到妥善隔離,運用嚴格的數據安全和審計規則就要容易得多。
這些種類的數據隔離不僅僅讓你能夠更充分地準備遏制數據增長,還讓你更有能力實施節省成本的存儲技術,比如存儲分層和重復數據刪除。如果你非常了解自己在應對哪種類型的數據,因而能獨立地處理它們,那么存儲分層和重復數據刪除這兩種方法的效果就要好得多。
什么都隔離
雖然企業網絡和存儲是典型的隔離對象,但是隔離這些種類的資源背后的動因適用于幾乎任何對象:服務器、應用程序、備份方法,不一而足。如果控制著不進行邏輯隔離就徑直在現有系統上堆放新系統的沖動,你才能更有效地確保自己能夠提供足夠高的安全、性能和效率,哪怕你不知道將來會面臨什么樣的挑戰。
原文:Architectural rule No. 1: Segregate everything
【編輯推薦】
