企业数据存储是企业运营中一个复杂关键的过程,它涉及多个方面,包括选择合适的存储解决方案、实施数据备份与恢复策略、确保数据安全以及优化存储性能等。
本案例中,我们将以企业网盘文件存储和共享为例,介绍一下办公场景和出差场景中企业网盘的数据安全是如何实现的。
一、企业数据存储方案
1. 评估存储需求
- 数据量分析:首先,企业需要对其数据量进行准确的分析,包括现有数据量、数据增长速度以及未来可能的数据增长趋势。
- 数据类型识别:识别不同类型的数据,如结构化数据、非结构化数据等,以便选择适合的存储方案。
- 性能需求评估:根据应用需求评估存储系统的性能要求,如读写速度、响应时间等。
2. 选择合适的存储解决方案
- 本地存储:对于需要高速访问且数据量不是非常大的场景,可以考虑使用本地存储,如硬盘阵列或固态硬盘(SSD)。
- 网络附加存储(NAS、企业网盘):适用于需要集中存储和共享大量文件的环境,如文档、图片、视频等。
- 存储区域网络(SAN):对于需要高性能、高可用性和可扩展性的存储系统,SAN是一个不错的选择。
- 云存储:对于需要灵活扩展、降低运维成本和实现数据备份与容灾的场景,云存储是一个理想的选择。企业可以选择将部分或全部数据存储在云端,通过互联网进行访问和管理。
- 混合云存储:结合本地存储和云存储的优势,企业可以根据数据的重要性和访问频率,将关键数据存储在本地,而将非关键数据存储在云端,以实现存储成本的优化和数据的灵活管理。
3. 实施数据备份与恢复策略
- 定期备份:制定定期备份计划,确保数据的完整性和可恢复性。备份数据应存储在独立于主存储设备的位置上,以防止单点故障导致数据丢失。
- 增量备份与全量备份:根据实际需求选择增量备份或全量备份策略。增量备份只备份自上次备份以来发生变化的数据,而全量备份则备份所有数据。
- 数据恢复演练:定期进行数据恢复演练,以验证备份数据的完整性和恢复流程的可行性。
4. 确保数据安全
- 数据加密:对敏感数据进行加密存储和传输,以防止数据泄露和窃取。
- 访问控制:实施严格的访问控制策略,确保只有授权用户才能访问和修改数据。
- 安全审计:记录用户的操作日志并进行安全审计,以便追踪潜在的安全问题和违规行为。
- 多层防御:采用防火墙、入侵检测系统和反病毒软件等多层防御机制来保护存储系统免受外部攻击和恶意软件的侵害。
5. 优化存储性能
- 负载均衡:通过负载均衡技术将访问请求分散到多个存储节点上,以提高存储系统的整体性能。
- 数据压缩与去重:对存储的数据进行压缩和去重处理,以减少存储空间的需求并提高存储效率。
- 缓存机制:利用缓存机制将频繁访问的数据存储在高速缓存中,以减少对存储系统的直接访问次数并提高访问速度。
6. 监控与维护
- 性能监控:实时监控存储系统的性能指标,如读写速度、响应时间等,以便及时发现并解决潜在的性能问题。
- 容量规划:根据数据增长趋势进行容量规划,确保存储系统具有足够的容量来满足未来的存储需求。
- 定期维护:定期对存储系统进行维护和保养工作,如清理冗余数据、更新固件和软件版本等,以确保存储系统的稳定性和可靠性。
二、安当TDE透明加密组件在企业网盘场景中的应用
我们知道在NAS和企业网盘,非常适合用于文件集中存储和大量共享的场景。安当的一个企业客户购买了企业网盘的云服务,然后公司员工安装了企业网盘的客户端。在办公场景和出差场景中,通过网盘客户端上传和下载工作文件。
客户担心关键机密工作文档存储在网盘不安全,有泄露的风险。安当的KSP密钥管理平台+TDE透明加密组件,正好可以解决这个问题。最终方案架构如下:
客户公司的办公电脑和出差便携机都是通过网盘客户端来共享文件的。当企业内部电脑都安装TDE客户端软件,不同的电脑不同的用户就可以通过部署在云端的KSP密钥管理系统共享加密策略。这个方案将带来以下好处:
- TDE保护了网盘客户端的本地目录,使得本地磁盘文件和上传到企业网盘服务器的文件是加密的,实现了云端数据的安全。
- 出差员工只需要到达出差地后,从网盘同步工作文件即可。通过策略配置,使得出差便携机上的指定应用打开网盘目录下的文件时,文件被自动解密,出差异地工作完全不受影响。当工作完成,修改被写入磁盘时会自动加密,同步到云端的也是加密文件。
- 通过这套方案,具体哪一台机器,哪一个用户、哪一个进程访问了什么文件,都有日志可查。
- 如果出现风险,管理员可以通过变更KSP上的策略,实现特定的用户无法访问网盘文件。
一套方案,同时实现了数据加密、访问控制、安全审计,甚至当关键数据文件被保护后,保护的动作发生在操作系统内核态,事实上也可以防范勒索软件的攻击。
三、安当TDE组件功能
安当透明加密也就是TDE组件,基于文件系统驱动层的加解密技术,能够对数据库实例文件、常见的磁盘文件数据实现存储加密和访问控制。在数据写入磁盘前加密数据,在应用程序读取磁盘文件时解密数据,加密和解密过程是在内核驱动进行,对用户及应用程序完全透明。其核心功能如下:
1、数据库透明加密
用户只需要声明需要加密哪个表。当用户插入数据的时候,数据库透明的加密数据然后存储加密后的数据,当用户读取数据时,数据库自动进行解密。加解密操作对应用程序来说都是透明的,数据库表加密和解密没有任何额外的编码及数据类型或模式修改。
2、非结构化数据加密
针对文件类的非结构化数据,可实现落盘加密,读盘解密。用户通过 KSP 密钥管理平台可以进行加解密策略配置和细粒度的访问控制,即可实现数据在写入存储之前,实时自动加密,并在存取器读取时进行解密。
3、权限控制
用户配置策略的同时可指定不同用户的访问权限,细粒度的最低特权访问策略可保护数据免受外部攻击和特权用户滥用,控制包括进程、文件类型和其他参数。
四、后续
企业数据存储需要综合考虑多个方面因素并采取相应的措施来确保数据的完整性、安全性、可恢复性和性能。通过选择合适的存储解决方案、实施数据备份与恢复策略、确保数据安全以及优化存储性能等措施可以有效地解决企业数据存储的问题。
如果您对安当TDE透明加密方案有兴趣,可以通过www.andang.cn联系到我们。欢迎随时联系,共同维护数据安全。
文章作者:太白
©本文章解释权归安当西安研发中心所有