當今，Kubernetes已經成為全球大部分企業云戰略的核心部分。根據Veritas的調研顯示,超過四分之一的中國企業已經投入使用該技術,90%的中國企業預計將在未來兩到三年內部署該技術。然而,到目前為止,在已經部署Kubernetes的中國企業中,只有35%的企業具備防范勒索軟件攻擊等數據丟失事件的保護措施。在部署了Kubernetes的中國企業中,有35%經歷過對其容器化環境的勒索軟件攻擊。

防勒索是安全環境中最熱的話題。在過去的一年中，勒索攻擊頻率急劇上升,對經濟、社會信任和信息管理造成了嚴重影響。有高達73%的中國受訪者認為勒索軟件對Kubernetes環境的攻擊是其企業目前面臨的一個嚴峻問題。由此可見，保護Kubernetes環境以及其中的應用程序和數據，是企業的當務之急。

當然，任何一種環境中的數據安全，包括容器環境、Kubernetes環境等，都是由來已久，且將不斷持續下去的話題。安全運維本身是一個動態話題，不是實現了某一個安全運維標準、部署了某些安全運維的解決方案，部署了Kubernetes或者其他的安全工具，就可以一勞永逸。

在數字化轉型、混合云多云環境下，企業無法回避 “4C”難題挑戰，即成本(Cost)、網絡威脅(Cyberthreats)、云的使用(Cloud)、合規(Compliance)。一旦企業數據管理能力跟不上轉型的需求，就會面臨成本失控，容易受到勒索攻擊、業務中斷、管控不足的風險。

在Kubernetes方面，Veritas提出，要在六個方面幫助企業應對惡意攻擊、惡意軟件和人為失誤,使其在Kubernetes環境中的數據更具韌性：遵循基本的安全原則；妥善保護Kubernetes環境下的數據；完整地保證Kubernetes環境下所有命令空間的安全，缺一不可；要明確Kubernetes環境的各種運維人員和使用用戶的訪問權限；要簡化運維，通過自動化的方式解放DevOPs團隊和備份團隊的工作量；基于現有的企業整體環境，不僅是Kubernetes環境，包括其他所有的環境，整體環境下的統一、一致性的備份平臺。

在具體的運維產品選擇上，企業應該仔細考慮產品的選型，選擇一個能夠與企業共同成長的合作伙伴，一個被市場長期驗證的、可靠的、有效的、平臺性的解決方案。超過八萬家企業級客戶, 包括 87％的全球財富 500強企業，均依靠Veritas確保其數據的保護、可恢復性和合規性。

Kubernetes環境下，企業面臨的三大挑戰

Veritas公司大中華區技術銷售與服務總監顧海巍將Kubernetes環境下，企業面臨的挑戰總結為三點：“效率、應用復雜性、可移植性”。

Veritas公司大中華區技術銷售與服務總監顧海巍

首先是保證容器環境的備份效率。備份的是否有效、是否及時，關鍵在于Kubernetes環境保護是否能夠提供原生支持，是否符合客戶的運維標準，包括集成Kubernetes環境本身的CI/CD（持續性集成、持續性部署、持續性交付）。

在進行Kubernetes環境保護的時候，不能降低Kubernetes本身的運維水準，所以必須在數據保護平臺的架構層面就能實現和Kubernetes環境的契合、架構的契合，包括大規模Kubernetes環境的保護、恢復，總體擁有成本是否合理、以及擴展性如何，是否會被限制在某一個煙囪里等。

第二是保證Kubernetes的容器應用復雜性，進行一致性保護。傳統數據中心的架構遷移上云，本意是希望由云來屏蔽原先傳統數據中心的復雜性。但隨著多云的快速增長，出現了更多的復雜性，Kubernetes也需要進行運維標準的統一，來消除多云環境下的運維復雜性。

保護Kubernetes的環境不像保護一個虛機、一個客戶端或者一個存儲那樣簡單，一個Kubernetes環境下的業務涉及幾十、上百、上千甚至上萬個微服務容器環境，需要進行復雜的編排。想要保證Kubernetes環境下的業務安全，必須要把一個業務涉及到的所有資源看作一個整體，并且能夠處理好不同Kubernetes微服務之間的編排關系，只有這樣才能夠真正保護好業務。

第三是保護好Kubernetes環境的可移植遵從性。企業之所以選擇Kubernetes，一個很重要的原因是Kubernetes的環境有很大的可移植性，可以從物理的數據中心移植到不同的云上、不同的虛擬化環境中。對Kubernetes環境的保護就要在數據恢復、業務恢復、容災恢復的時候保護好可移植性。也就是說數據備份后，一旦需要容災回復，數據需要能夠在不同的物理數據中心和云之間、不同的云之間、不同的商業版本之間，保證代碼的可移植性。  

Veritas的NetBackup?10由云級技術提供支撐,是業界首個云優化、規模化的數據管理解決方案。在保證容器環境的備份效率方面，NetBackup 10的設計遵從Kubernetes的原生架構，力爭實現Kubernetes的原生工具。其部件本身是容器化的，而不是笨重的客戶端，如容器化的Operator、基于容器helm chart的代碼分發等。基于RBAC用戶角色權限分配的API，允許Kubernetes的管理員基于自己的CI/CD運維標準進行自服務設計。針對普通的備份管理員，可以通過簡單地敲擊鼠標，像平時備份其他工作負載一樣進行NetBackup的備份和恢復。

四招解決應用復雜性難題

針對應用復雜性的挑戰。Veritas提供了Kubernetes環境下的企業級業務韌性的做法。

首先，與傳統的以具體的工作負載為標準的備份不同，Kubernetes環境下，一個業務會涉及到大量的容器資源，比如各種微服務部件、容器部件、持續數據卷、配置文件或者其他各種各樣的資源，當某一個業務上線或者擴展變更的時候，需要知道這些資源屬于哪個業務，一起保護起來。

第二，基于Kubernetes的CSI標準，CSI是Kubernetes存儲資源的接口標準。Kubernetes環境下，作為平臺級的資源是非常靈活的，客戶會使用不同的標準，備份保護也要跟得上。此外還要基于CSI的標準進行快照級的開發。  

第三，基于應用復雜性能夠實現大規模的恢復。Kubernetes是基于命名空間來組織業務資源的。一個大型的、復雜的業務可能涉及到幾千個命名空間，要適應大規模的保護和大規模的恢復。

第四，能夠靈活恢復，能夠支持各種資源級別的恢復。比如恢復一個持續數據卷或者單個配置文件，或者某個業務中幾十個Namespace（命名空間）中的一個命名空間，不同級別的資源力度恢復都要能夠支持。

“如果想實現消除應用復雜性，實現以應用為中心的數據保護目標，以上四點都需要做到。” 顧海巍表示。

Veritas從NetBackup 8.3版本開始支持基本的Kubernetes容器環境的備份保護。9.0版本能夠實現各種高級備份、高級恢復，甚至能夠實現Agent和AWS之間多云的容災編排。

NetBackup 10在效率挑戰、以應用為中心的備份、增加可移植性等方面，有了進一步的提高。

在中國，NetBackup在運營商、金融、制造行業已經積累了大量客戶。在歐洲，一些大型的金融連鎖機構、物流機構正在部署NetBackup 10，來保護多云環境下的Kubernetes環境。

以云服務和數據為目標的黑客攻擊只增不減，勒索攻擊等威脅成為每一個企業需要正視的問題。Veritas正在幫助企業應對這一挑戰，Veritas的產品、技術致力于幫助企業減少云資源消耗和成本，保護數據免受勒索軟件的侵害，為數據自治打造堅實基礎。