運用 Pure 5//S 原則建立營運網路彈性

企業面臨不斷演變的威脅。了解建立在五大關鍵支柱上的資料平台如何幫助您增強營運網路的韌性,並為客戶提供更好的體驗。

Operational Cyber Resilience

概要

The five key pillars of a cyber resilient architecture are: Speed, Security, Simplicity, Scale, and Sustainability. With a data platform built on these principles, organizations can improve SLAs, reduce cost and complexity, and free up resources to drive innovation.

image_pdfimage_print

過去 5 到 10 年間,網路韌性(又稱業務永續性或災害復原)已大幅改變。  以前,它主要集中在自然和營運災害上,如颶風、龍捲風或高速公路上的危險潑灑。 

如今,勒索軟體、網路釣魚、能源成本上升、AI 自動化,以及許多額外的複利因素都增加了攻擊的可行性和頻率,同時降低了攻擊的複雜性和執行時間。這些惡意攻擊需要在復原過程中採取其他步驟,我們定義為網路復原。事件回應協定旨在了解攻擊是如何發生的,並確保資料免於或清除被利用的威脅和/或弱點。  

為了協助解決這些不斷演變的威脅,組織需要一個以快速快閃為基礎的新一代資料平台,並建立在五大關鍵支柱之上:速度、安全性、簡易性、擴展性與永續性。

這些原則可確保關鍵應用程式資料的可用性,以便組織能夠從自然或惡意事件中迅速恢復營運。  它們提供安全、有彈性的資料基礎,協助您提供可靠的應用程式和服務、、網路安全,甚至是合規性結果。

讓我們來看看如何應用:

原則 1:速度

“速度是戰爭的本質。善用敵人的未準備能力。”

– Sun Tzu, “戰爭的藝術”,第十一章

攻擊者是否準備好了您能做出多快、多完整的回應? 速度原則是關於為使用者復原應用程式堆疊和還原服務的時間。

當您能夠從已知的時間點快速恢復應用程式和環境時,以數分鐘甚至數小時為單位,為什麼要支付贖金? 這種需求不只是財務需求,更常是監管需求,像是 DORA 驅動這些時間表。兩個小時的作業支付系統具有積極性,但可透過正確的技術和調度選擇來實現。  

舉例來說,Pure Storage 客戶的應用程式和資料被勒索軟體加密,從備份中還原是唯一可用的選項;此時他們尚未部署 Pure 的任何彈性功能。他們開始從廣泛部署的磁碟式專用備份設備 (PBBA) 還原資料,希望機械元件不會中斷或燒壞。經過 10 天後,約有 10% 的環境已復原,而且沒有關鍵的應用程式。對他們而言,從頭開始重建的速度比實際繼續復原要快。 

該客戶採用以 5S 為基礎建立的基礎架構,並採用 Pure Storage 的兩項關鍵創新技術:使用 SafeModeza 快照進行應用程式復原的分層方法,並與我們的資料保護合作夥伴進行快速復原。這使他們能夠每季在大約三小時內測試並驗證完整的資料中心復原。當他們再次受到攻擊時,他們能夠在大約 15 分鐘內將 Tier-0 應用程式恢復到線上狀態,15 分鐘內即可復原 Pure Storage 提供的「良好副本」資料。

原則 2:安全性


“…經常是冒犯性的作業,如果不是唯一的…防禦的手段,那就是最確定的。” 

喬治華盛頓

良好的防禦能力有助於您處於成功應對攻擊的最佳位置。您希望攻擊者透過增加攻擊成本來失去攻擊的誘因,從而以指數級的方式減少任何金錢、政治或社會上的利益。您希望他們在攻擊初期就放棄並繼續進行。  

我們可以與安全應用程式和 XDR/EDR 系統合作加速並採取行動。重要的是,我們的核心目標之一是您的資料和應用程式的安全性和可復原性,以便有目的地使用。防禦性安全足跡必須涉及三個關鍵領域:

  1. 周邊偵測: 第一個發生在網路邊緣的防禦性屏障。防火牆、入侵偵測、VPN 和存取控制,如多重要素驗證,都是最佳做法。這透過隔離網路中的應用程式和協定層級,增加進入網路和應用程式的難度,有助於減少攻擊的急速半徑。
  2. 處理偵測: 第二層的防禦功能可讓您評估應用程式消費者的行為。「這個過程運作是否正確?」 「此使用者行為或互動設定檔是否有所改變?」 SIEM 等級系統詢問這些問題,以判斷攻擊是否進行中。
  3. 持續性偵測:如此可評估儲存系統中的資料是否有主動或潛伏的威脅,並提供幾乎立即復原已知資料複本的功能。

在持久性層,基礎架構系統必須符合兩個功能定義:不褪色和不可變。這些屬性可確保特權攻擊者無法變更系統的安全性狀態,也無法消除系統中的資料,而無需預先定義的保留期完成和手動頻外授權流程。在 Pure Storage,我們稱之為不褪色的 SafeMode 執行層,它建立在我們的不可變層、磁碟區快照的基礎上,為您的資料提供不可變更的即時呈現。 

原則 3:簡易性

「我們努力讓事情更全面、更簡單。當您開始嘗試解決問題時,您首先想出的解決方案非常複雜,大多數人都會停下來。但如果您繼續…您通常可以找到一些非常優雅、簡單的解決方案。大多數人只是不投入時間或精力去實現。”

Steve Jobs, “Newsweek” 採訪,2006 年 10 月 14

這個主意讓 Apple 的 iDevices 變得如此成功。不幸的是,簡易性很難做到。其核心的簡易性使團隊能夠專注於對企業而言創新且重要的事物。團隊被警示和誤報所淹沒,掙扎於保護不同的系統,並應用現代安全工具,傳統架構的技術債務,或結構不良的單調和重複性任務,都分散了業務真正嘗試實現的目標。

如果系統易於部署,該怎麼辦? 操作簡單? 自我修復? 不需要低層級的 LUN 管理嗎? 能辨識出已知好的資料副本,或更棒的是,哪些資料遭到入侵? 當偵測到攻擊時,是否會觸發自動化工作流程來保護應用程式和服務?

當然,這會導致更多可用的應用程式,並減少關鍵事件。想像一下,您可以藉由這種思維和技術的改變來建立什麼。

原則 4:擴展

「工程是世界上最接近魔力的東西。」

Elon Musk

規模化是解決最困難的工程挑戰之一。當環境受限於固定數量的資源時,優化相對簡單。工作負載、使用量和使用率可能受到限制,進而確保服務水準。現今的網際網路規模系統創造了全新的典範。我們必須學習新的技術,超越舊答案,並以我們之前未曾想過的方式進行創新。

影響應用程式和資料規模,結合了協定層、網路層、中繼資料層和儲存持續性層的創新。我使用“儲存持久性層”,因為傳統的“檔案系統”術語和概念不再是可擴展性和高效能系統的建立方式。這一領域的創新技術從協定層中摘錄了這些概念,並使用了較新的技術,如關鍵價值儲存,以確保擴展性和耐久性。

網路規模對資料中心而言是一大問題。每個配置的連接埠都具備必要的資本、營運和原始資料中心成本,例如電力、冷卻和機架空間。改善這一點的方法之一,就是確保資料儲存和網路連接埠能獨立擴展。分解這些元件可確保儲存的成長能專注於增加容量、交易和傳輸量,而非增加基礎架構成本。

美國一家大型銀行未達到其 SLA,無法從備份中恢復。目前的系統消耗了 700+ 10Gb 網路連接埠,無法及時提供復原吞吐量。Pure Storage 與我們的網路恢復夥伴之一,提供了一項解決方案,將網路連接埠數量減少至低於 100 個 10Gb 網路連接埠,並大幅超越復原 SLA。該銀行節省了空間、基礎架構成本和資料中心成本,並因此多次擴展系統。

現今的網路頻寬可以為可處理網路的平台啟用新功能。它需要一個架構模型,將系統的任意規模納入考量:儲存、運算和網路資源。

協定和 API 在這個分解式架構中也很重要。彈性應用程式應簡單地連接到端點(例如,S3 協定雲端儲存消費者的 URL),服務會自動平衡所有可用運算、網路和儲存資源的連接。沒有特殊的配置或技術,因為 Evergreen 功能運作正常,您再也不必移轉資料或再次停機,進而提高規模和服務可用性的限制。

原則 5:永續性


了解未來的關鍵就是一個詞:永續發展」

Patrick Dixon, “Futurewise”

永續性統稱為運行與維護系統所需的資源總和:電力與冷卻成本、營運工作或特定任務所需的元件。減少資源能直接改善系統與解決方案的永續性。隨著能源成本的增加,彈性將意味著以次世代的效率,領先資源限制。

本文介紹了 “現代化儲存裝置如何抵消資料中心的電力利用率“,我們了解了我們專門打造的 DirectFlash® 模組如何節省大量能源、地面空間和相關冷卻成本。不只儲存成本和效能受到影響,也與基礎架構相關的所有營運成本。

我看到客戶用它來使新關鍵專案的資料中心經濟變得可行。將 34 個機架合併為 4 個機架,機架、基礎架構和所有相關公用設施減少了 88%!一家多 exabyte 規模的視訊供應商預計能節省大量電力,在所有資料中心內可能達到兆瓦,同時大幅降低網路連接埠需求和基礎架構。這些可以釋放成本和資源,提供更好的客戶體驗,同時確保關鍵的次世代創新資源可用。

Pure Storage 平台也會影響員工的永續性。在部署以 5S 為基礎的網路彈性架構後,公司員工於原則 1 中提到,如果沒有這種復原應用程式的能力,他們就無法在任何地方工作。有了 Evergreen,堆疊式升級和資料搬移帶來的風險是過去的任務,變更控制會議、搬移規劃、預定的應用程式中斷、零件更換和其他營運工作也是如此。

結論

「我們非常滿意地為他人打造好工具。」

Freeman Dyson, “穿越宇宙”

5S 是應用於網路沉默架構的關鍵屬性,可讓您為客戶提供更好的服務與體驗。它大幅改善了 SLA、降低了成本和複雜性,並釋放了資源來應對下一個大型專案。

聯繫您的 Pure Storage 團隊,並要求與網路恢復專家洽談,了解 5S 原則將如何協助您。