當前,全球大部分企業已經將Kubernetes作為其云戰略的核心部分。根據Veritas最新調研,有超過四分之一的中國企業目前已經投入使用該技術,90%的中國企業預計將在未來兩到三年內部署該技術。然而,到目前為止,在已部署Kubernetes的中國企業中,只有35%具備防范勒索軟件攻擊等數據丟失事件的保護措施。調查發現,在部署了Kubernetes的中國企業中,有35%經歷過對其容器化環境的勒索軟件攻擊,而令人震驚的是,有高達73%的中國受訪者認為勒索軟件對Kubernetes環境的攻擊是其企業目前面臨的一個嚴峻問題。這些都意味著企業必須采取措施保護其Kubernetes環境以及其中的應用程序和數據。

那么具體又該如何做呢?Veritas發現,目前在中國市場,約有一半的企業正在使用獨立的產品對部分或全部Kubernetes環境進行保護,導致其保護環境復雜化。76%的中國受訪者表示,這可能是因為他們對可以在傳統、虛擬和Kubernetes環境中保護數據的解決方案知之甚少甚至一無所知。

在Kubernetes數據保護迷霧中,如何選擇正確的道路?Veritas點亮“六盞明燈”,幫助企業在應對惡意攻擊、惡意軟件和人為失誤時,使其在Kubernetes環境中的數據更具韌性。

一 遵循基本安全原則

Veritas建議Kubernetes用戶采用安全系數高且多個不同的密碼以保證安全,并設置訪問權限,根據不同訪客身份相應調整訪問權限。此外,關鍵數據在容器和資料庫之間傳輸時要進行加密。Linux基金會就對如何正確配置、管理和保護數據集群的細節進行過詳細的闡述。

二 保護數據不出錯

保護數據不出錯并不能排除人為因素。如果想自行備份Kubernetes環境中的數據,并避免人為失誤的后果,應該備份相應文件。為了不浪費Kubernetes的巨大優勢,其結構和架構需要采取特殊的方法。Kubernetes平臺由多個工作節點和位于頂端的集群主節點組成的結構構成,主節點和工作節點通過特定進程進行通信。命名空間和吊艙或容器可以自動設置,推出到各自的工作節點,并進行監控。

企業應該對這些元素都進行備份,而且備份需要完全支持市場上最常用的發行版。目前,紅帽Openshift和VMware Tanzu是Kubernetes環境中較大玩家,備份解決方案需要考慮到不同平臺的保護支持。

三 全面保障命名空間的安全

Kubernetes基于不同的命名空間進行操作(可以理解為項目或應用程序),備份軟件可以通過命名空間接口與集群集成,自行檢測集群并進行備份操作及數據恢復。

為了在應用程序得到全面保護的基礎上保留Kubernetes環境的可擴展性和可移植性,應該備份包含所有組件的命名空間。同時,在恢復數據時,考慮到數據架構可能發生邏輯錯誤,必須要獨立于命名空間恢復持久卷。為了保持Kubernetes的敏捷性,備份解決方案還應該支持在其他集群上恢復命名空間。

四 明確訪問權限

Veritas建議,只有擁有管理和使用Kubernetes環境訪問權限的用戶才能備份和恢復數據。也就是說,備份用戶只能看到他們有權限的命名空間和持久卷。這樣可以將開發、測試和生產人員的責任分開。同時,也建議在配置中明確訪問權限,通過備份系統中的用戶身份角色識別。如此一來,可以加強對網絡攻擊的恢復能力。

五 通過自動化解放DevOps與備份團隊

備份解決方案應該定期自動檢查集群中是否創建了新的命名空間。因此,Kubernetes發行版和備份解決方案必須完美配合。隨著相應的備份計劃分配到新的命名空間,也可以自動智能地分配邏輯選擇。在不斷擴展的Kubernetes環境中,這降低了項目或應用程序未被正確備份的風險。此外,自動化分擔了IT團隊檢查和配置的工作負擔,減少了DevOps團隊的數據丟失風險。有了適當的權限,這些團隊也可以自行恢復他們的數據庫存。這縮短了開發時間,減輕了負責備份的工作人員的負擔,之前未完成的備份過程也可以在限制時間內重新啟動。之后可以在相應的GUI,通過事件警報通知那些負責人。

在Veritas最新發布的NetBackup 10中,自動化的優勢得以體現。NetBackup 10為更多平臺即服務工作負載提供新的自動檢測和保護,其中就包括所有主要Kubernetes發行版。

六 考慮一致性備份

備份系統既應該遵循Velero等既定標準,也需要支持智能擴展。具體來說,采用由具有復制能力的備份軟件控制的保留管理系統,可以幫助防范勒索軟件攻擊。同時,要牢記3-2-1備份規則。此外,備份守護程序可以幫助備份存儲目標能夠擴展到供應商支持的兼容性。由此,Kubernetes可以被端到端地集成到一個集中的備份和恢復系統中,這避免了每個工作負載進行單獨備份,可以降低成本,控制復雜性,并減少風險。

備份工具也是Kubernetes用戶對抗勒索攻擊和人為失誤造成的數據丟失的最有力措施。Veritas的NetBackup平臺針對Kubernetes設計的原生解決方案可以幫助企業解鎖“跨版本分發及可移植性”這一關鍵技能,無論Kubernetes應用位于何處。此外,NetBackup能夠實現高水平的自動化,這減少了備份的工作量和成本。NetBackup可以保證在備份過程中,避免遺漏任何關鍵的系統或文件,即便勒索軟件或人為失誤破壞了關鍵數據,Kubernetes用戶也可以安心進行數據恢復。

關于Veritas

Veritas Technologies是多云數據管理領域的領導者。超過八萬家企業級客戶, 包括 87%的全球財富 500強企業,均依靠Veritas確保其數據的保護、可恢復性和合規性。Veritas在規模化的可靠性方面享有盛譽,可為企業提供抵御勒索軟件等網絡攻擊威脅所需的彈性。Veritas通過統一的平臺,支持超過800種數據源,100多種操作系統,1400多種存儲設備以及60多類云平臺。在云級技術的支持下,Veritas現正在實踐其自治數據管理戰略,在提供更大價值的同時,降低運營成本。

責任編輯：劉沙