企业的IT基础架构如今面临应用程序、设备和数据呈爆炸式增长的态势,以至于仅仅让IT基础架构跑起来就够难的了——似乎谁都没有时间或人力来设计切实改善运营的新系统。不过,当你面对疯狂增长的势头时,可以采取一个措施来简化你的工作、加强你的基础架构,那就是尽量使用逻辑隔离机制。
无论你谈论的隔离对象是计算机带宽、存储容量、网络设备还是不同类型的数据,这其实并不重要;因为道理都一样。确保出众的性能、严密的安全、高效率和易于管理,都需要对不同类型的服务和数据深思熟虑地进行划分——事后进行划分常常极难实现,甚至不可能实现。
具体过程千差万别,这取决于你使用什么样的技术。但是一个共同的主题应该贯穿于基础架构的每一个层面,那就是确保隔离。
隔离网络
眼下你很可能待在组合使用的网络安全硬件后面:防火墙、入侵检测系统/入侵预防系统(IDS/IPS)、内容过滤器等系统。如果贵企业在运行通过互联网访问的服务,比如Web服务器和电子邮件服务器,那些系统可能还包括一个或多个非军事区(DMZ,又叫隔离带),DMZ把那些易受攻击的服务与内部企业网络的薄弱环节隔离开来。几乎任何IP专业人士都很熟悉这种注重安全的网络隔离——谁要是没有采用这种隔离机制就贸然运行,后果自负。
但并不是说网络安全方面的工作到此为止。哪怕在规模再小的企业网络中,对内部网络进行重重划分也能带来切实的好处,即使没有采用功能完备的内部防火墙机制,至少也要使用虚拟局域网(VLAN)和三层路由机制。在过去,这种网络隔离一般用于通过在非常庞大的网络中控制广播流量来提升性能。而如今,由于与网络连接的设备数量和种类要多得多——从员工的智能手机到IT设施的暖通空调和制冷(HVACR)系统,把一度备受信赖的内部网络当作需要防护的一种紧迫的威胁来对待显得越来越重要。
问题在于,很少有企业决定实施这些种类的内部安全措施,尽管我们生活在这样一个环境:危害性极大的、专门定制的蠕虫在伺机寻找和破坏工业控制系统。没错,这些种类的威胁仍然很不常见,但是可以肯定,它们不久之后会很普遍。
就算贵公司没有摆放着大量的核离心机,也很可能拥有与网络连接的暖通空调或者火警报警系统。你还很可能拥有一些联网的不间断电源(UPS)系统、VoIP电话系统或者基于IP的存储基础架构——你几乎肯定有自己的网络打印机。几乎每个人都拥有,但是很少有人觉得是安全风险的众多网络设备似乎从来没有得到台式机那样有力的保护。不要忽视了那些系统的安全。将这些系统隔离到属于它们自己的网段上,只有需要访问的用户才可以访问那些系统。
安全不是把这些不同类型的设备隔离到各自受保护的子网上的唯一原因。只有真正隔离了这些种类的系统、服务器和台式机,你才能非常清楚地了解自己的网络资源在如何得到使用。因而,万一出现了网络问题,你就完全有能力来监控、隔离、排查和诊断这些问题。
如今,如果我为客户重新设计网络,即便是规模比较小的网络,我也几乎总是会在设计中考虑到相当程度的网络隔离机制。即使一开始没有包括任何实际的访问控制措施,万一将来需要添加这种措施,就能轻松添加,这一点本身极其有用。我不止一次遇到过这种情况:由于网络实现了重重隔离,零日病毒爆发因而被遏制——要是之前没有落实隔离机制,几乎不可能遏制零日攻击。
无论你因何种原因而进行网络隔离,有一点几乎总是可以肯定:你的网络会变得更庞大(哪怕贵公司没有变得更庞大),而不是变得更小。而网络越庞大,在将来实施你可能需要的这类措施就会越困难。
隔离存储
企业数据正在以惊人的速度增长,这不是什么秘密。有效地应对这种数据增长势头不仅仅需要部署大批的存储硬件。比如说,导致非结构化数据增长的最主要根源之一常常是对数据缺乏组织管理这么简单的原因。如果企业没有鼓励用户以井然有序的、易于管理的方式来存储数据,想确定谁拥有什么数据、该数据是不是仍然需要变得几乎不可能——因而导致了这种情况:存储的一切数据都必须保留(或者如果你胆子很大,只好丢弃)。如果你在IT行业已有一段时日,毫无疑问你看到过那些臭名昭著的“公共”文件共享区。
如果根据私有用户数据和部门数据等标准,对数据存储进行划分、实现逻辑划分,你总是能让某个人对生成的数据进行负责,成功遏制数据增长的可能性就要大得多。你还能够精细化地监控数据的使用情况,把这些数据组划分到多个存储系统上,还可以根据需要实施存储配额等控制措施——如果每个人的数据都混在一起,或者缺乏组织管理,就不可能做到这一点。而与网络隔离一样,只要数据得到妥善隔离,运用严格的数据安全和审计规则就要容易得多。
这些种类的数据隔离不仅仅让你能够更充分地准备遏制数据增长,还让你更有能力实施节省成本的存储技术,比如存储分层和重复数据删除。如果你非常了解自己在应对哪种类型的数据,因而能独立地处理它们,那么存储分层和重复数据删除这两种方法的效果就要好得多。
什么都隔离
虽然企业网络和存储是典型的隔离对象,但是隔离这些种类的资源背后的动因适用于几乎任何对象:服务器、应用程序、备份方法,不一而足。如果控制着不进行逻辑隔离就径直在现有系统上堆放新系统的冲动,你才能更有效地确保自己能够提供足够高的安全、性能和效率,哪怕你不知道将来会面临什么样的挑战。
英文原文:Architectural rule No. 1: Segregate everything
原文链接:http://os.51cto.com/art/201201/311943.htm