1、 数据存储安全技术数据存储安全技术一、什么是一、什么是DAS、NAS和和SAN 1、DAS(Direct Attached Storage):直接连接存储直接连接存储 以存储共享为基本目的,以存储共享为基本目的,存储设备可以通过各种不存储设备可以通过各种不同的方式直接连接到主机同的方式直接连接到主机上,包括内置或外联在单上,包括内置或外联在单台主机上的存储设备。台主机上的存储设备。数据存储安全技术数据存储安全技术DAS的适用环境l服务器在地理分布上很分散,通过服务器在地理分布上很分散,通过SAN或或NAS在它们之间进行互连非常困难时在它们之间进行互连非常困难时l存储系统必须被直接连接到应用服务
2、器;存储系统必须被直接连接到应用服务器;l包括许多数据库应用和应用服务器在内的包括许多数据库应用和应用服务器在内的应用,它们需要直接连接到存储器上,群应用,它们需要直接连接到存储器上,群件应用和一些邮件服务也包括在内。件应用和一些邮件服务也包括在内。数据存储安全技术数据存储安全技术DAS的实现方式的实现方式 存储设备可以通过不同的方式直接连接到主机上,这些方式包括:1、串行存储结构串行存储结构SSA(Serial Storage Architecture)一种高性能的开放式存储接口,速度可达160Mbps,采用串行连接技术,设备间的距离范围从15米到10公里。作为SCSI结构的替代技术而提出,
3、但并未被广泛接受。数据存储安全技术数据存储安全技术 2、通用串行总线(、通用串行总线(USB)由于USB接口的灵活性,许多存储设备都采用了USB接口,包括CD-R光驱、USB硬盘、USB磁带机等。l目前USB接口的两个版本:V1.1和V2.0 V1.1传输速度在1.5Mbps至12Mbps之间,V2.0传输速度可达480Mbps。l采用4线连接,2线用于数据传输,2线用于传递直流5V电源l采用串行传输方式l设备与设备或设备与集线器间的距离为35米,更长距离可以通过集线器的串级连接实现。数据存储安全技术数据存储安全技术 USB连接图示:连接图示:3、火线、火线 火线最早由苹果公司开发,目的是希望
4、利用更快更灵活的串行技术实现多台外部设备的连接。与USB相比,火线的最大差别在于设备间可以实现对等通信,火线的连接速度可达到400Mbps,采用6线连接,其中4线用于数据传输,2线用于传递直流5V电源。采用串行传输方式,连接距离为4.5米,通过中继器可延长至70米以上。数据存储安全技术数据存储安全技术 火线网络结构图示:火线网络结构图示:4、高性能并行接口(、高性能并行接口(HiPPI)l高性能并行接口主要用于高速存储设备与大型主机与超级计算机之间的连接。由于昂贵的价格,应用并不十分广泛。HiPPI的特性:l传输速度可达1600Mbps,6400Mbps的超级HiPPI正在开发中。l采用32(
5、800Mbps)位或64(1.6Gbps)位并行传输l标准电缆的连接距离为25米,通过光纤延长器可延长至10公里。数据存储安全技术数据存储安全技术 HiPPI网络应用图示:网络应用图示:5、综合驱动电子电路(、综合驱动电子电路(IDE)/高级技术连接(高级技术连接(ATA)lIDE主要应用于基于PC的系统,ATA是IDE总线的一种扩展。每个IDE控制器可以连接两个主从配置的IDE设备。采用40芯连接器,并行传输方式,传输速度在65Mbps1GMbps之间。数据存储安全技术数据存储安全技术6、小型计算机系统接口(、小型计算机系统接口(SCSI)主要特性:lSCSI的传输速率在4Mbps80Mbp
6、s之间l每条总线可以支持015台硬盘设备,采用双总线的SCSI卡可以连接多达30个硬盘设备。l单根SCSI电缆长度可以在325米之间。数据存储安全技术数据存储安全技术2、NAS(Network Attached Srorage):网络附加存储网络附加存储 即将存储设备通过标准的网络拓即将存储设备通过标准的网络拓扑结构,连接到一群计算机上,即扑结构,连接到一群计算机上,即通过网络拓扑实现共享。通过网络拓扑实现共享。数据存储安全技术数据存储安全技术NAS的主要特性:的主要特性:1、基于IP通信 NAS设备采用IP作为自己的基本通信手段,它允许来自本地或远程的各种不同的系统的访问。由于目前大多数设备
7、均采用IP通信方式,因此NAS设备为分布数据环境向集中数据网络环境转移提供较为容易的迁移手段。但要付出一定的安全代价。数据存储安全技术数据存储安全技术 2、基于文件访问 NAS的一个最大特点就是它是基于文件访问的,而不是基于数据块访问的。3、操作系统 为了提供基于文件的服务,NAS设备都配备有某种形式的操作系统,他们有些完全驻留在内存中。4、容错 提供了诸如RAID和数据复制(远距离)等容错特性数据存储安全技术数据存储安全技术 NAS设备的连接构成图示:设备的连接构成图示:NAS的限制的限制1、文件共享或数据库访问、文件共享或数据库访问NAS设备具有很大的灵活性,尤其对于那些需要长距离通信的环
8、境,设备具有很大的灵活性,尤其对于那些需要长距离通信的环境,但无论从功能方面还是从安全角度来讲,但无论从功能方面还是从安全角度来讲,NAS并不一定适应所有并不一定适应所有的情况。的情况。2、文件大小、文件大小NAS设备适合大量小型文件的传输,而设备适合大量小型文件的传输,而DAS和和SAN设备则对于大型设备则对于大型文件的传输更为有效。文件的传输更为有效。3、网络速度、网络速度由于由于NAS设备会给网络增加很多的请求、响应信号,因此大量以设备会给网络增加很多的请求、响应信号,因此大量以NAS设备为目标的通信量可能会使网络带宽出现饱和。设备为目标的通信量可能会使网络带宽出现饱和。数据存储安全技术
9、数据存储安全技术3、SAN:存储区域网络存储区域网络 从对比的角度来看,从对比的角度来看,DAS和和NAS都是通过网都是通过网络实现共享的存储设备,络实现共享的存储设备,SAN则是连接主机与存则是连接主机与存储设备的高速网络。存储设备的高速网络。存储区域网络通常是与生储区域网络通常是与生产网络完全分开的。产网络完全分开的。数据存储安全技术数据存储安全技术 SAN存储结构图示:存储结构图示:lDAS所能容纳的存储量是有限的,这主要受制于DAS技术所支持的设备限制。而SAN技术所支持的物理设备数量更多,跨越的距离更远,传输的速度更快。SAN不是设备,而是以存储共享为目的的一些相互连接并相互通信的设
10、备集合。lNAS设备是基于文件系统的,而SAN通信是基于数据块的。另外SAN的磁盘设备最终是连接到主机上的,NAS设备本身就具备主机功能。数据存储安全技术数据存储安全技术 二、数据可用性二、数据可用性1、数据可用性定义:、数据可用性定义:从存储网络的角度看,数据可用性的目标就是确保在任何情况下的授权数据访问的及时性。数据存储安全技术数据存储安全技术2、数据可用性要素、数据可用性要素构成数据可用性的最基本要素:(1)容量规划 具备充足的存储空间来容纳所有的数据,是保证数据高可用性的前提。(2)访问方法 数据的访问方法决定着数据的存取方式。构成数据访问的环节包括:最终用户设备、数据存取方法、数据访
11、问安全、数据接口、数据访问方式等,所有这些构成数据可用性的要素都决定着我们的访问方法,影响着我们将要采取的数据可用性的保护措施。数据存储安全技术数据存储安全技术(3)故障缓解 所谓故障缓解就是找出任何可能造成数据不可用的故障类型并采取必要措施降低这些故障发生的可能性的过程。故障缓解需要解决的问题包括:硬件故障、数据损坏、网络连接故障、安全设备故障、主机故障电源故障以及在所有这些故障情况下确保数据可用性的方法。数据存储安全技术数据存储安全技术(4)灾害缓解 所谓灾害缓解就是针对可能出现的多种并发故障或灾害事件采取必要措施减少此类事件发生的可能性的过程。(5)数据复制 数据复制就是采用各种方法对数
12、据进行备份、拷贝、克隆或冗余,并利用复制数据来确保数据的可用性。(6)主动监视/报警 监视通常是人们最容易忽略的薄弱环节,监视工具是我们把握设备故障前期状态的一个具有预见性的工具。许多故障是可以通过存储框架的冗余设计和某些阈的设置和监视来简单的加以避免。数据存储安全技术数据存储安全技术(7)后备支援 制定一个良好的支援计划是确保数据可用性的一个重要环节。(8)数据保护(9)备份窗口 备份窗口是指完成一组数据备份所需花费的时间。数据存储安全技术数据存储安全技术3、磁盘可用性、磁盘可用性 磁盘可用性是数据可用性的根本。没有磁磁盘可用性是数据可用性的根本。没有磁盘的可用性,存储在磁盘上的数据也就没盘
13、的可用性,存储在磁盘上的数据也就没有任何可用性可言。有任何可用性可言。改善和提高磁盘可用性的技术:改善和提高磁盘可用性的技术:(1)RAID技术技术 RAID系统在减轻设备故障的影响方面具有较好的价值。系统在减轻设备故障的影响方面具有较好的价值。RAID可以通过软件或硬件实现。可以通过软件或硬件实现。数据存储安全技术数据存储安全技术(2)快照技术)快照技术 快照技术是用来创建某个时间点的故障表述,构成某种形式的数据快照。创建快照必须具备一定量的存储空间。在创建快照时,快照中包含着指向原数据块的指针。在数据块发生变化时,在存储数据变化的同时,原数据块将会备保留。由于存储卷中的每一个数据块都可能发
14、生变化,因此一个存储卷快照的最大存储空间需求为100的卷空间。数据存储安全技术数据存储安全技术快照技术的用途快照技术的用途l数据备份:快照可以在数据库系统持续运行的情况下进行备份。l回退保护:快照可以用来提供一种将系统回退到某个已知时刻的正常状态的方法。l开发测试l节省存储空间:快照的使用常常是由于缺乏足够的空间来实现完整的数据复制。数据存储安全技术数据存储安全技术(3)数据克隆技术)数据克隆技术数据克隆是另一种提高数据可用性的方法。克隆技术与快照技术不同,快照只是抓取数据的表述,而克隆则是对整个卷的复制。因此克隆需要有一个完整的磁盘复制空间。数据存储安全技术数据存储安全技术数据克隆技术的用途
15、:数据克隆技术的用途:l数据备份:克隆不会像快照那样大幅缩小数据 的备份窗口l回退保护:即使与原是卷脱开,仍然可以完成 回退保护l开发应用l缩短系统建立时间数据存储安全技术数据存储安全技术(4)数据复制技术)数据复制技术 数据复制技术既可以完成整个物理盘或逻辑盘的数据复制,还可以对复制的数据进行选择。与克隆技术一样,在数据复制初始启动时需要一定的时间进行数据拷贝,但在数据复制完成后则只有变化的数据才会被传送给复制数据。数据存储安全技术数据存储安全技术数据复制技术的用途:数据复制技术的用途:l灾难恢复:由于数据可以实现跨城市、跨州甚至跨国家的远程复制,一旦发生灾害,我们可以通过适当的规划,对灾害
16、恢复场所进行重建。l回退保护l开发应用l缩短系统建立时间l双向复制:数据复制的某些实现可以采用双向操作,即某处的数据可以复制到另一个地点,在那里经过使用和处理后它的变化和结果还可以被复制回来,这样保证了企业生产数据的高可用性,同时又可以实时使用。数据存储安全技术数据存储安全技术 三、数据备份三、数据备份 电子数据存储量的飞速增长以及数据集中管理的趋势对与数据备份解决方案提出了更高的要求。基于这种原因,在存储实施的策略中同样要将数据备份的一些问题纳入到我们的考虑范围内。这些问题包括:l备份系统的基本目标l备份窗口l备份数据的一致性l备份数据的验证l备份数据的索引和目录l备份存储介质的寿命管理l备
17、份解决方案的冗余l数据的复制与业务的持续性l备份的安全策略数据存储安全技术数据存储安全技术1、备份系统的基本目标、备份系统的基本目标l对数据丢失的影响进行评估。l对备份要达到的基本目的有一个清楚的认识,正确选择备份技术。数据存储安全技术数据存储安全技术三个概念:三个概念:(1)数据备份 数据备份就是创建一份电子数据的拷贝。这里的数据可以是整个磁盘数据、分区数据、文件系统或个别文件甚至数据块或数据位。这种拷贝可以在因系统故障造成数据无法使用的情况下提供一种数据恢复手段。数据存储安全技术数据存储安全技术(2)数据恢复数据恢复是数据备份的逆过程。当故障造成数据丢失时,我们可以通过备份介质上的数据来予以恢复。(3)数据归档l长期保存l向廉价低速的存储介质中转移数据存储安全技术数据存储安全技术2、备份窗口、备份窗口 所谓备份窗口就是完成给定备份所需花费的时间,它取决于两个因素:l所需备份的数据量l备份设备的数据处理速度数据存储安全技术数据存储安全技术3、备份的完整性 对备份到磁带或其它存储介质上的数据进行比较或定期的数据恢复测试。4、备份数据的验证 采取必要的措施来验证数据备份的一致性。5、索引和目录为客户的备份过程管理提供帮助,以便缩短故障情况下的数据恢复过程。6、介质寿命7、备份冗余数据存储安全技术数据存储安全技术