金电云平台多方位实现数据存储安全

云计算的安全涉及的领域非常广，本文仅就云平台的数据存储安全如何实现，并结合已有的金电金融服务云平台（以下简称金电云）案例进行分析阐述。云计算平台面临的数据存储安全挑战主要有几个方面，即数据的高可用性，数据的稳定性，数据的持久可用性和数据的访问安全性。

一、数据的高可用性

        数据的高可用性即数据存储装置的可用性达到99.99%（从以下公式所得）以上的级别。

        目前云计算中心使用的数据存储装置主要分为几类，即在线存储，近线存储和离线存储。满足租户业务高实时性要求、高安全性要求、高保证业务连续性的数据存储装置是在线存储，通常指存储阵列。存储阵列又分为基于SAN、NAS、DAS架构的存储阵列。基于数据块的SAN网络化的存储架构和基于文件网络附加存储NAS，底层磁盘技术通用，为此，近两年推出的统一存储UnifiedStorage将支持不同的存储协议，为主机系统提供数据存储。越来越多的云计算数据中心将会采用这种多协议存储。云计算数据中心的存储利用存储虚拟化技术，将底层传统的多种存储进行池化统一管理，满足不同租户灵活的存储需求。

        存储阵列的高可用性主要体现在存储控制器结构以及磁盘RAID保护技术。不同存储的存储控制器结构不同：中低端存储阵列多采用双控制器结构，以主备方式来保证存储的高可用性；高端存储阵列多采用多控制器结构（矩阵直连式、矩阵交换式、全分布式、智能矩阵式、全交换式、动态虚拟矩阵式等），负载均衡方式不但满足存储的高可用性，且适应高端存储的高I/O吞吐量需求。

        存储阵列高可用性的另一个方面是磁盘RAID保护技术的应用。目前企业级用户根据不同的应用场景会选择RAID0,1,10,3,5,6等RAID方式。通常设计RAID保护类型的时候会结合业务的不同，同时考虑成本、保护级别、读写性能以及写惩罚（RAID Write Penalty）几个方面。RAID-1提供比较好的读写性能；RAID-5读性能不错但写入性能不如RAID-1；RAID-6保护级别更高，但写性能相对比较差；RAID10是提供最好的性能和数据保护，成本最高。存储的性能直接影响到前端应用访问的能力，因此要保障存储可用。存储阵列不仅要能达到“能运行”这个等级，还要能够支撑前端应用的实时访问。在RAID层面上分析写惩罚和磁盘提供的吞吐能力（IOPS）也是非常关键的，如表所示。

        其中RAID-0是直接数据条带方式，数据每次写入会对应物理磁盘上的一次写入操作，所以写惩罚值为1。RAID-1和RAID10，由于数据是镜像方式存在的，所以对于每一个数据写入会有两次写入磁盘操作，所以写惩罚值为2。RAID-5是采用奇偶校验的计算机制，对于任何一次数据写入，在存储端，需要分别进行“两次读”加“两次写”的磁盘操作，需要读数据、读校验位、写数据、写校验位四个步骤，所以RAID-5的写惩罚值是4。RAID-6由于有两个校验位的存在，与RAID-5相比，需要读取两次校验位和写入两次校验位，所以RAID-6的写惩罚值是6。设计存储的IO吞吐量需要参考存储中磁盘可以提供的IOPS值，这个值通过以下公式估算出来：可提供的IOPS=（物理磁盘的IOPS×磁盘数目×写百分比÷RAID写惩罚）+（物理磁盘总的IOPS×读百分比）。

        金电云平台的存储采用中高端存储，采用多控制器结构，多控制器负载均衡方式保证控制器节点的高可用性。在设计过程中充分考了承载业务的类型，通过对比分析以及实际测试得出了较为合理的设计结论。金电云平台根据应用访问读写比例类型的不同，采用RAID10，RAID5不同级别，满足顺序和随机读写比例不同的应用需求，同时结合成本因素通过SAS，SATA的混合磁盘布局方式，充分体现云计算平台共享、低耗、低成本的特点。

二、数据的稳定性

        数据稳定性是指不同租户存放在云计算数据中心的数据需要隔离不同负载对彼此的影响，确保数据访问稳定性。

        云计算数据中心提供的数据存储服务要保证每个租户访问的稳定性，不会因为个别租户对存储的突发性大量I/O访问，影响到其他租户的正常业务。在SAN网络架构设计中考虑主机到存储之间的过载比，为避免造成拥塞或性能的降低，需同时采用核心—边缘的SAN网络设计架构实现灵活扩展。在设备选择上要充分考虑SAN网络的响应时间、设备处理能力，尽量选择低延时、大吞吐量的技术和设备满足牢靠的SAN网络架构需求。同时在存储的设计中要能满足大吞吐量的需求，且基于存储虚拟化技术实现快速灵活的横向扩展（Scale Out）。在建设实施过程中可以采用SAN网络硬件分区技术，以及存储的掩蔽技术实现数据隔离，这样不仅能实现数据的访问控制，而且在一定程度上可以达到隔离I/O压力的作用。

        金电云平台不仅在设计、建设阶段充分考虑了以上的要求，同时通过必要的监控手段，对SAN网络、存储的流量，延时等进行监控、制定策略。对发现的异常情况及时进行处理，例如采用端口隔离等措施等。

三、数据的持久可用性

        数据的持久可用性是指，云计算数据中心要保证每个租户所存储的数据不丢失，其中必不可少的手段是镜像保护和灾备保护手段。

        数据对于任何租户都是至关重要的，如何保证存储在云端的数据不丢失是首要任务。存储底层的RAID保护技术，仅能提供一部分数据保护功能，防止数据丢失的最好方法就是采用多种备份方式进行多份备份。可根据不同租户的服务水平协议要求提供本地的镜像保护、本地的归档备份空间、异地的数据灾备保护等保护策略确保数据的持久可用性。

        金电云平台通过磁盘镜像、数据备份、数据归档、连续数据保护、异地数据复制等等技术，为不同租户提供多种级别的数据保护能力，确保租户数据安全不丢失。

四、数据的访问安全性

        数据的访问安全性，是指云计算数据中心要通过完善的安全策略，避免租户的数据被非法访问、篡改以及数据的泄露。

        在数据传输阶段和数据存储阶段采用加密技术，可在一定程度上增加数据安全性。云平台可通过身份认证管理租户登录，通过服务授权、分权分域等方式控制租户的访问权限，运用动态访问控制策略也能够更好地适用云计算环境下多变的租户对资源安全以及访问的需求。

        在云计算环境下，数据的存取是通过虚拟机来实现的。虚拟主机层面的安全直接影响到数据存储的安全，虚拟主机共用宿主主机的物理资源恶意访问，可能通过共享资源进行侧通道攻击，导致数据的非法访问以及泄露。较好的云平台需要通过技术手段实现共享资源的隔离，通过资源监控、行为监控等手段进行攻击识别，并阻断攻击，确保租户数据的安全。

        云计算环境中的SAN网络架构的存储，可通过SAN网络的Zone以及存储的LANmasking等方式实现数据隔离，确保租户的主机只能访问专属的存储空间。

        金电云平台不仅从技术角度保护租户的数据的访问安全性，并且从运维管理角度上有严格的制度和方法。例如存储阵列更换的损坏磁盘，需依据《数据管理制度》专人安全更换磁盘，且对硬盘销毁设备进行处理，确保租户数据不会外泄。

（文章来源：《金融电子化》杂志）

扫码即可手机
阅读转发此文