【51CTO 1月11日外電頭條】企業(yè)的IT基礎(chǔ)架構(gòu)如今面臨應(yīng)用程序、設(shè)備和數(shù)據(jù)呈爆炸式增長(zhǎng)的態(tài)勢(shì)，以至于僅僅讓IT基礎(chǔ)架構(gòu)跑起來(lái)就夠難的了——似乎誰(shuí)都沒(méi)有時(shí)間或人力來(lái)設(shè)計(jì)切實(shí)改善運(yùn)營(yíng)的新系統(tǒng)。不過(guò)，當(dāng)你面對(duì)瘋狂增長(zhǎng)的勢(shì)頭時(shí)，可以采取一個(gè)措施來(lái)簡(jiǎn)化你的工作、加強(qiáng)你的基礎(chǔ)架構(gòu)，那就是盡量使用邏輯隔離機(jī)制。

無(wú)論你談?wù)摰母綦x對(duì)象是計(jì)算機(jī)帶寬、存儲(chǔ)容量、網(wǎng)絡(luò)設(shè)備還是不同類型的數(shù)據(jù)，這其實(shí)并不重要；因?yàn)榈览矶家粯?。確保出眾的性能、嚴(yán)密的安全、高效率和易于管理，都需要對(duì)不同類型的服務(wù)和數(shù)據(jù)深思熟慮地進(jìn)行劃分——事后進(jìn)行劃分常常極難實(shí)現(xiàn)，甚至不可能實(shí)現(xiàn)。

具體過(guò)程千差萬(wàn)別，這取決于你使用什么樣的技術(shù)。但是一個(gè)共同的主題應(yīng)該貫穿于基礎(chǔ)架構(gòu)的每一個(gè)層面，那就是確保隔離。

隔離網(wǎng)絡(luò)

眼下你很可能待在組合使用的網(wǎng)絡(luò)安全硬件后面：防火墻、入侵檢測(cè)系統(tǒng)/入侵預(yù)防系統(tǒng)（IDS/IPS）、內(nèi)容過(guò)濾器等系統(tǒng)。如果貴企業(yè)在運(yùn)行通過(guò)互聯(lián)網(wǎng)訪問(wèn)的服務(wù)，比如Web服務(wù)器和電子郵件服務(wù)器，那些系統(tǒng)可能還包括一個(gè)或多個(gè)非軍事區(qū)（DMZ，又叫隔離帶），DMZ把那些易受攻擊的服務(wù)與內(nèi)部企業(yè)網(wǎng)絡(luò)的薄弱環(huán)節(jié)隔離開來(lái)。幾乎任何IP專業(yè)人士都很熟悉這種注重安全的網(wǎng)絡(luò)隔離——誰(shuí)要是沒(méi)有采用這種隔離機(jī)制就貿(mào)然運(yùn)行，后果自負(fù)。

但并不是說(shuō)網(wǎng)絡(luò)安全方面的工作到此為止。哪怕在規(guī)模再小的企業(yè)網(wǎng)絡(luò)中，對(duì)內(nèi)部網(wǎng)絡(luò)進(jìn)行重重劃分也能帶來(lái)切實(shí)的好處，即使沒(méi)有采用功能完備的內(nèi)部防火墻機(jī)制，至少也要使用虛擬局域網(wǎng)（VLAN）和三層路由機(jī)制。在過(guò)去，這種網(wǎng)絡(luò)隔離一般用于通過(guò)在非常龐大的網(wǎng)絡(luò)中控制廣播流量來(lái)提升性能。而如今，由于與網(wǎng)絡(luò)連接的設(shè)備數(shù)量和種類要多得多——從員工的智能手機(jī)到IT設(shè)施的暖通空調(diào)和制冷（HVACR）系統(tǒng)，把一度備受信賴的內(nèi)部網(wǎng)絡(luò)當(dāng)作需要防護(hù)的一種緊迫的威脅來(lái)對(duì)待顯得越來(lái)越重要。

問(wèn)題在于，很少有企業(yè)決定實(shí)施這些種類的內(nèi)部安全措施，盡管我們生活在這樣一個(gè)環(huán)境：危害性極大的、專門定制的蠕蟲在伺機(jī)尋找和破壞工業(yè)控制系統(tǒng)。沒(méi)錯(cuò)，這些種類的威脅仍然很不常見，但是可以肯定，它們不久之后會(huì)很普遍。

就算貴公司沒(méi)有擺放著大量的核離心機(jī)，也很可能擁有與網(wǎng)絡(luò)連接的暖通空調(diào)或者火警報(bào)警系統(tǒng)。你還很可能擁有一些聯(lián)網(wǎng)的不間斷電源（UPS）系統(tǒng)、VoIP電話系統(tǒng)或者基于IP的存儲(chǔ)基礎(chǔ)架構(gòu)——你幾乎肯定有自己的網(wǎng)絡(luò)打印機(jī)。幾乎每個(gè)人都擁有，但是很少有人覺得是安全風(fēng)險(xiǎn)的眾多網(wǎng)絡(luò)設(shè)備似乎從來(lái)沒(méi)有得到臺(tái)式機(jī)那樣有力的保護(hù)。不要忽視了那些系統(tǒng)的安全。將這些系統(tǒng)隔離到屬于它們自己的網(wǎng)段上，只有需要訪問(wèn)的用戶才可以訪問(wèn)那些系統(tǒng)。

安全不是把這些不同類型的設(shè)備隔離到各自受保護(hù)的子網(wǎng)上的唯一原因。只有真正隔離了這些種類的系統(tǒng)、服務(wù)器和臺(tái)式機(jī)，你才能非常清楚地了解自己的網(wǎng)絡(luò)資源在如何得到使用。因而，萬(wàn)一出現(xiàn)了網(wǎng)絡(luò)問(wèn)題，你就完全有能力來(lái)監(jiān)控、隔離、排查和診斷這些問(wèn)題。

如今，如果我為客戶重新設(shè)計(jì)網(wǎng)絡(luò)，即便是規(guī)模比較小的網(wǎng)絡(luò)，我也幾乎總是會(huì)在設(shè)計(jì)中考慮到相當(dāng)程度的網(wǎng)絡(luò)隔離機(jī)制。即使一開始沒(méi)有包括任何實(shí)際的訪問(wèn)控制措施，萬(wàn)一將來(lái)需要添加這種措施，就能輕松添加，這一點(diǎn)本身極其有用。我不止一次遇到過(guò)這種情況：由于網(wǎng)絡(luò)實(shí)現(xiàn)了重重隔離，零日病毒爆發(fā)因而被遏制——要是之前沒(méi)有落實(shí)隔離機(jī)制，幾乎不可能遏制零日攻擊。

無(wú)論你因何種原因而進(jìn)行網(wǎng)絡(luò)隔離，有一點(diǎn)幾乎總是可以肯定：你的網(wǎng)絡(luò)會(huì)變得更龐大（哪怕貴公司沒(méi)有變得更龐大），而不是變得更小。而網(wǎng)絡(luò)越龐大，在將來(lái)實(shí)施你可能需要的這類措施就會(huì)越困難。

隔離存儲(chǔ)

企業(yè)數(shù)據(jù)正在以驚人的速度增長(zhǎng)，這不是什么秘密。有效地應(yīng)對(duì)這種數(shù)據(jù)增長(zhǎng)勢(shì)頭不僅僅需要部署大批的存儲(chǔ)硬件。比如說(shuō)，導(dǎo)致非結(jié)構(gòu)化數(shù)據(jù)增長(zhǎng)的最主要根源之一常常是對(duì)數(shù)據(jù)缺乏組織管理這么簡(jiǎn)單的原因。如果企業(yè)沒(méi)有鼓勵(lì)用戶以井然有序的、易于管理的方式來(lái)存儲(chǔ)數(shù)據(jù)，想確定誰(shuí)擁有什么數(shù)據(jù)、該數(shù)據(jù)是不是仍然需要變得幾乎不可能——因而導(dǎo)致了這種情況：存儲(chǔ)的一切數(shù)據(jù)都必須保留（或者如果你膽子很大，只好丟棄）。如果你在IT行業(yè)已有一段時(shí)日，毫無(wú)疑問(wèn)你看到過(guò)那些臭名昭著的“公共”文件共享區(qū)。

如果根據(jù)私有用戶數(shù)據(jù)和部門數(shù)據(jù)等標(biāo)準(zhǔn)，對(duì)數(shù)據(jù)存儲(chǔ)進(jìn)行劃分、實(shí)現(xiàn)邏輯劃分，你總是能讓某個(gè)人對(duì)生成的數(shù)據(jù)進(jìn)行負(fù)責(zé)，成功遏制數(shù)據(jù)增長(zhǎng)的可能性就要大得多。你還能夠精細(xì)化地監(jiān)控?cái)?shù)據(jù)的使用情況，把這些數(shù)據(jù)組劃分到多個(gè)存儲(chǔ)系統(tǒng)上，還可以根據(jù)需要實(shí)施存儲(chǔ)配額等控制措施——如果每個(gè)人的數(shù)據(jù)都混在一起，或者缺乏組織管理，就不可能做到這一點(diǎn)。而與網(wǎng)絡(luò)隔離一樣，只要數(shù)據(jù)得到妥善隔離，運(yùn)用嚴(yán)格的數(shù)據(jù)安全和審計(jì)規(guī)則就要容易得多。

這些種類的數(shù)據(jù)隔離不僅僅讓你能夠更充分地準(zhǔn)備遏制數(shù)據(jù)增長(zhǎng)，還讓你更有能力實(shí)施節(jié)省成本的存儲(chǔ)技術(shù)，比如存儲(chǔ)分層和重復(fù)數(shù)據(jù)刪除。如果你非常了解自己在應(yīng)對(duì)哪種類型的數(shù)據(jù)，因而能獨(dú)立地處理它們，那么存儲(chǔ)分層和重復(fù)數(shù)據(jù)刪除這兩種方法的效果就要好得多。

什么都隔離

雖然企業(yè)網(wǎng)絡(luò)和存儲(chǔ)是典型的隔離對(duì)象，但是隔離這些種類的資源背后的動(dòng)因適用于幾乎任何對(duì)象：服務(wù)器、應(yīng)用程序、備份方法，不一而足。如果控制著不進(jìn)行邏輯隔離就徑直在現(xiàn)有系統(tǒng)上堆放新系統(tǒng)的沖動(dòng)，你才能更有效地確保自己能夠提供足夠高的安全、性能和效率，哪怕你不知道將來(lái)會(huì)面臨什么樣的挑戰(zhàn)。

原文：Architectural rule No. 1: Segregate everything

【編輯推薦】

1. 業(yè)內(nèi)稱12306癱瘓為系統(tǒng)架構(gòu)規(guī)劃問(wèn)題
2. 超大規(guī)模網(wǎng)絡(luò)架構(gòu)管理需求愈發(fā)凸顯
3. 資深架構(gòu)師Theo談統(tǒng)計(jì)學(xué)，業(yè)務(wù)與運(yùn)維工程師的成長(zhǎng)