現(xiàn)在談云計(jì)算，談公有云，似乎有點(diǎn)落伍，技術(shù)上也感覺不夠那么潮流、不夠性感。市場(chǎng)的技術(shù)趨勢(shì)分析似乎也在為我們的感覺給出注腳。Gartner給出的近一兩年需關(guān)注的技術(shù)列表里，基礎(chǔ)公有云云計(jì)算平臺(tái)應(yīng)用，已經(jīng)不在其中。而關(guān)注點(diǎn)，都集中在新興業(yè)務(wù)方向，例如微服務(wù)架構(gòu)、數(shù)據(jù)科學(xué)和機(jī)器學(xué)習(xí)、無服務(wù)器計(jì)算、人工智能云服務(wù)，NFT，元宇宙等等。其實(shí)，正因?yàn)榇蠹乙呀?jīng)不再認(rèn)為它是個(gè)潮流，反而恰恰體現(xiàn)了它的日趨成熟，也說明我們需要更多的去關(guān)注它日常的柴米油鹽。

談到日常，我們則需要回歸業(yè)務(wù)本質(zhì)，無論IT基礎(chǔ)平臺(tái)如何演化，我們依然需要面對(duì)業(yè)務(wù)和數(shù)據(jù)對(duì)安全、可靠的本質(zhì)要求。AWS作為云基礎(chǔ)架構(gòu)服務(wù)商的翹楚，應(yīng)該是認(rèn)識(shí)到了這點(diǎn)的，在云平臺(tái)優(yōu)秀架構(gòu)規(guī)劃的幾個(gè)核心點(diǎn)中，是把安全性和可靠性作為獨(dú)立專題討論的。新的架構(gòu)，云的環(huán)境下，保障客戶業(yè)務(wù)和數(shù)據(jù)的安全可靠，這是所有云中業(yè)務(wù)專家需要認(rèn)真考慮的，這就是云環(huán)境中的柴米油鹽醬醋茶，云環(huán)境IT運(yùn)維必不可少的關(guān)注點(diǎn)。

既然躲不過，那我們就先從云中數(shù)據(jù)層面的基礎(chǔ)保護(hù)需求出發(fā)，一起討論云環(huán)境中數(shù)據(jù)保護(hù)的特點(diǎn)。

首先，我們從數(shù)據(jù)保護(hù)管理的驅(qū)動(dòng)力來看，公有云云環(huán)境中相比原來的本地?cái)?shù)據(jù)中心環(huán)境有差異，但也有相同之處。最明顯的差異是，由各大公有云服務(wù)商專業(yè)運(yùn)營(yíng)的數(shù)據(jù)中心，相比原有各散落在企業(yè)中的數(shù)據(jù)中心，在基礎(chǔ)設(shè)施建設(shè)力度及IT運(yùn)維能力上會(huì)有明顯的提升?；A(chǔ)架構(gòu)損壞，大規(guī)模故障的概率大大降低，因上述原因而導(dǎo)致的數(shù)據(jù)丟失風(fēng)險(xiǎn)也隨之降低。這確實(shí)會(huì)讓很多云中業(yè)務(wù)專家產(chǎn)生幻覺，似乎無需考慮數(shù)據(jù)層面的保護(hù)了。但我們?nèi)孕枰诖顺吻澹?b>因人為因素帶來的風(fēng)險(xiǎn)，比如誤刪除，內(nèi)外部安全威脅、尤其外部的病毒及勒索安全威脅等，這類風(fēng)險(xiǎn)非但未能降低，還隨著云環(huán)境更大規(guī)模的開放而增加，導(dǎo)致因此類風(fēng)險(xiǎn)引發(fā)的數(shù)據(jù)不安全概率極大上升。同時(shí)，隨著業(yè)務(wù)形態(tài)在云中的越來越豐富，以前對(duì)企業(yè)內(nèi)部的各類法規(guī)監(jiān)管，會(huì)延伸到云環(huán)境。比如網(wǎng)絡(luò)安全等級(jí)保護(hù)（GB/T 22239-2019）、數(shù)據(jù)安全法、GDPR等等。包括一些具備行業(yè)屬性的信息系統(tǒng)管理規(guī)范，都會(huì)將對(duì)本地環(huán)境的數(shù)據(jù)保護(hù)規(guī)范要求，延伸到公有云云環(huán)境中。這方面的帶來的數(shù)據(jù)保護(hù)驅(qū)動(dòng)力，會(huì)與本地環(huán)境相同。

其次，云環(huán)境下的數(shù)據(jù)保護(hù)工作，所要考慮的數(shù)據(jù)源有變化。云環(huán)境的數(shù)據(jù)源形態(tài)，在業(yè)務(wù)轉(zhuǎn)向云時(shí)代的過程中，經(jīng)歷了re-host的試探,re-place/repurchase的糾結(jié), 再到re-platform/refactor的架構(gòu)性決然轉(zhuǎn)型。業(yè)務(wù)及數(shù)據(jù)被分散丟進(jìn)了各種類型的虛機(jī)中、在海量的EFS/S3中、在各種不同于傳統(tǒng)關(guān)系型數(shù)據(jù)庫的云中RDS中。管理和獲取這些數(shù)據(jù)的手段也應(yīng)稍有變化，對(duì)于這些新型的云中RDS類數(shù)據(jù)庫，虛機(jī)，K8S環(huán)境，可能需要利用適用于相關(guān)資源的技術(shù)手段，快速、并發(fā)的獲取并保護(hù)數(shù)據(jù)。當(dāng)然，在另外的很多場(chǎng)合下，傳統(tǒng)的很多類似用代理的手段依然需要使用，比如為了保障某些數(shù)據(jù)庫的一致性，利用標(biāo)準(zhǔn)的數(shù)據(jù)庫自身抽取數(shù)據(jù)能力，獲取一份完整一致性數(shù)據(jù)。這些能力不能遺忘。

再次，架構(gòu)要求有變化，云環(huán)境下，任何服務(wù)都要能適應(yīng)云中快速部署，具備快速橫向伸縮的能力。這方面，數(shù)據(jù)保護(hù)的技術(shù)能力要能跟得上節(jié)奏，既要能快速啟用，適配海量的云上備份要求，又要能適應(yīng)傳統(tǒng)應(yīng)用在重新構(gòu)建后的傳統(tǒng)高一致性數(shù)據(jù)獲取需要，還要能做到在非備份窗口期，嘗試去釋放備份所占用的計(jì)算資源。既要、又要、還要，云時(shí)代的技術(shù)發(fā)展就是這么卷。

最后，但是最為關(guān)鍵的，就是對(duì)成本要更敏感。很多企業(yè)決策在云上構(gòu)建業(yè)務(wù)，其決定因素之一就是起步成本很低，隨著很低的起步投入，業(yè)務(wù)系統(tǒng)能夠快速搭建，并提供服務(wù)。在這個(gè)過程中，很容易就發(fā)現(xiàn)，業(yè)務(wù)的服務(wù)能力和云中的使用成本，大體上是個(gè)線性關(guān)系，也就是說業(yè)務(wù)需求越多，云中成本會(huì)變大，業(yè)務(wù)需求如果逐步減少，可以快速的將資源釋放，降低當(dāng)前云中成本。但當(dāng)我們開始考慮對(duì)云中業(yè)務(wù)的數(shù)據(jù)加以保護(hù)，并且長(zhǎng)期保留下來時(shí)，那些用以保護(hù)這些數(shù)據(jù)的云上各種成本，會(huì)隨著保留份數(shù)以及時(shí)間周期的增長(zhǎng)，可能呈現(xiàn)指數(shù)級(jí)增長(zhǎng)了。更為麻煩的是，隨著監(jiān)管延伸到云上，云上數(shù)據(jù)會(huì)需要為監(jiān)管而保留，而不僅僅是為業(yè)務(wù)而保留，它可能會(huì)不依賴與業(yè)務(wù)的存續(xù)而存續(xù)。有幾率會(huì)出現(xiàn)，企業(yè)某方面的業(yè)務(wù)已經(jīng)停止了，但為了應(yīng)對(duì)監(jiān)管而需要保存數(shù)據(jù)的成本，還依然得支付。這些麻煩事兒，在本地系統(tǒng)中，體現(xiàn)的不會(huì)太明顯，本地系統(tǒng)投資是一次性，后續(xù)的管理和維護(hù)本可分?jǐn)偪煽?，但在云中，持續(xù)增長(zhǎng)的數(shù)據(jù)保護(hù)成本，如不妥善解決，會(huì)成為企業(yè)發(fā)展的一個(gè)成本黑洞。

云中數(shù)據(jù)保護(hù)需求的相關(guān)特殊性，決定了解決它要有不同的解決之道，我們列出些許想法，愿能拋磚引玉。

第一、要適應(yīng)云中架構(gòu)設(shè)計(jì)的方法論。

云環(huán)境下的架構(gòu)設(shè)計(jì)，有自己的一套方法論。有些數(shù)據(jù)安全方面的理論，與傳統(tǒng)本地架構(gòu)相同，比如管理邏輯上要為任何的變更和安全風(fēng)險(xiǎn)做好準(zhǔn)備；比如要讓非相關(guān)人員遠(yuǎn)離數(shù)據(jù)，并要將安全引入到各個(gè)層面。也有一些理念則相對(duì)于更具云計(jì)算特色，例如整個(gè)解決方案要具備很強(qiáng)的橫向伸縮能力，部署簡(jiǎn)單，快速的形成能力交付。適應(yīng)這些云中架構(gòu)規(guī)劃的方法論，才能更好的為云中的數(shù)據(jù)提供合適的保護(hù)能力。

第二、要幫助云環(huán)境去覆蓋那些他們所沒能想到的點(diǎn)。

相對(duì)傳統(tǒng)環(huán)境，云平臺(tái)高效便捷，大量業(yè)務(wù)專家在云計(jì)算的支撐下，快速的在云環(huán)境構(gòu)建了業(yè)務(wù)系統(tǒng)，一般來說，著眼點(diǎn)都在業(yè)務(wù)本身上。很少有人關(guān)注數(shù)據(jù)用什么樣的方法去保護(hù)，才能真正安全、有效、可靠的保護(hù)好數(shù)據(jù)，并支撐業(yè)務(wù)的可持續(xù)發(fā)展。很多情況下，業(yè)務(wù)專家就簡(jiǎn)單的用快照服務(wù)處理一下，丟進(jìn)了S3，再也不做過問。這些方法，是不符合數(shù)據(jù)保護(hù)管理規(guī)范，以及新的安全威脅形勢(shì)下數(shù)據(jù)保護(hù)安全需求的。云中的數(shù)據(jù)保護(hù)方案，仍然需要考慮適度遵循借鑒數(shù)據(jù)保護(hù)的3-2-1保護(hù)原則，將云中數(shù)據(jù)也從業(yè)務(wù)系統(tǒng)離線解耦，存放至少三份副本，兩種不同的存放目標(biāo)，并在異地（其他Region或者另外云環(huán)境）存放一份數(shù)據(jù)，同時(shí)更要考慮這些離線后的數(shù)據(jù)不受內(nèi)外部安全威脅，不被勒索病毒等網(wǎng)絡(luò)威脅所侵襲。此外，針對(duì)云中商業(yè)關(guān)系型數(shù)據(jù)庫的數(shù)據(jù)，依然要考慮為其提供完整一致性的數(shù)據(jù)保護(hù)手段。

第三、無論怎么關(guān)注成本，都不為過。

如前文所述的，由于合規(guī)要求和內(nèi)外部風(fēng)險(xiǎn)的影響，數(shù)據(jù)保護(hù)對(duì)成本影響，尤其是存儲(chǔ)成本的消耗，實(shí)際上是超出了云用戶的預(yù)期。

云中自帶的常見快照等數(shù)據(jù)保護(hù)服務(wù)，以存放的數(shù)據(jù)量計(jì)費(fèi)，這類服務(wù)很少會(huì)考慮幫助云用戶節(jié)省存下來的數(shù)據(jù)空間，隨著數(shù)據(jù)量的變大以及時(shí)間的推移，這些成本將會(huì)成為企業(yè)極大的負(fù)擔(dān)。因此，云中數(shù)據(jù)保護(hù)方案，首要是利用成熟的存儲(chǔ)技術(shù)手段，利用高效的去重技術(shù)，極大的降低所需要存放的數(shù)據(jù)量，以達(dá)到節(jié)省成本的目標(biāo)。

另一個(gè)方向，在數(shù)據(jù)保護(hù)計(jì)算能力層面，也要能夠在數(shù)據(jù)保護(hù)的非工作窗口，釋放出計(jì)算能力，降低這部分的計(jì)算成本支出。

最后一個(gè)很容易被人忽視的點(diǎn)，是管理成本，云中數(shù)據(jù)量，或者說業(yè)務(wù)系統(tǒng)比較少的時(shí)候，業(yè)務(wù)專家自己用云中自帶的快照服務(wù)或者自己寫個(gè)腳本，沒什么問題。但一旦數(shù)量變多，如何尋找要恢復(fù)的具體時(shí)間點(diǎn)？如何在一堆雜亂的環(huán)境里尋找所需要的那份數(shù)據(jù)？或者說如何從一個(gè)已經(jīng)離職的同事手里，理清楚他所存放數(shù)據(jù)的邏輯并完成恢復(fù)？更別提真正威脅是存在于惡意的將之前保護(hù)的數(shù)據(jù)刪除的情況。這些事情關(guān)注不到位，企業(yè)為之付出的成本，可能是無法估量的。

因此，真正可靠有效的云中數(shù)據(jù)保護(hù)手段，要完全考慮以上幾點(diǎn)關(guān)于成本的關(guān)注，幫助云中數(shù)據(jù)保護(hù)提供成本可控的保護(hù)手段。

第四、要足夠簡(jiǎn)單、有完整統(tǒng)一的視圖管理界面

大部分云用戶在使用云環(huán)境的時(shí)候，很少完全使用獨(dú)立的一朵云，而是將業(yè)務(wù)放在跨越本地或多個(gè)云環(huán)境之間，數(shù)據(jù)也是分散在各個(gè)環(huán)境上。在這種環(huán)境下，擁有一個(gè)簡(jiǎn)單、完整統(tǒng)一，并且能夠圖形化操作的保護(hù)手段，將極大的降低業(yè)務(wù)專家在多個(gè)云之間實(shí)現(xiàn)數(shù)據(jù)保護(hù)的學(xué)習(xí)成本，同樣的數(shù)據(jù)保護(hù)理論和概念，可以很輕易的從一個(gè)環(huán)境移植到另一個(gè)環(huán)境中去，而無需關(guān)注不同公有云環(huán)境帶來的差異。而數(shù)據(jù)，更應(yīng)該在這樣的保護(hù)體系下，具備快速高效的云間傳輸和復(fù)制能力。并能在統(tǒng)一，完整的一個(gè)視圖中，看到數(shù)據(jù)存放和流動(dòng)的情況，幫助業(yè)務(wù)專家和運(yùn)維人員實(shí)現(xiàn)對(duì)數(shù)據(jù)去向心中有數(shù)，從而真正的把握自己企業(yè)的數(shù)據(jù)，而不會(huì)再有一種面對(duì)數(shù)據(jù)黑洞無助感。

第五、做一個(gè)跨界的斜杠青年

實(shí)現(xiàn)上述幾個(gè)能力，在云環(huán)境里，就能構(gòu)建一個(gè)非常完整的數(shù)據(jù)保護(hù)能力。完成保護(hù)是整個(gè)數(shù)據(jù)保護(hù)方案的基本功課?！罢n余"，保護(hù)方案應(yīng)該能夠?yàn)楦嗟膱?chǎng)景提供服務(wù)，比如為業(yè)務(wù)的測(cè)試系統(tǒng)提供數(shù)據(jù)的快速供給能力；為分析系統(tǒng)，提供數(shù)據(jù)源供給；為容災(zāi)解決方案，提供底層數(shù)據(jù)傳輸手段；為集團(tuán)式管理，提供數(shù)據(jù)離線上收能力；為業(yè)務(wù)及數(shù)據(jù)上云需求，提供簡(jiǎn)單低成本的數(shù)據(jù)上云技術(shù)。這些都是優(yōu)秀的數(shù)據(jù)保護(hù)方案在云環(huán)境中均應(yīng)呈現(xiàn)出來的跨界能力。

我們已身入云時(shí)代之中，幫助業(yè)務(wù)系統(tǒng)在云中運(yùn)行的更好，這是拋開泡沫后，扎扎實(shí)實(shí)要考慮的柴米油鹽。我們需要將已經(jīng)在傳統(tǒng)架構(gòu)下非常成熟的數(shù)據(jù)保護(hù)思路，與云中的環(huán)境做適配，遵循云環(huán)境下的方法論和理念，配合云中業(yè)務(wù)專家，形成更有針對(duì)性的保護(hù)方案。