當(dāng)今，Kubernetes已經(jīng)成為全球大部分企業(yè)云戰(zhàn)略的核心部分。根據(jù)Veritas的調(diào)研顯示,超過四分之一的中國企業(yè)已經(jīng)投入使用該技術(shù),90%的中國企業(yè)預(yù)計(jì)將在未來兩到三年內(nèi)部署該技術(shù)。然而,到目前為止,在已經(jīng)部署Kubernetes的中國企業(yè)中,只有35%的企業(yè)具備防范勒索軟件攻擊等數(shù)據(jù)丟失事件的保護(hù)措施。在部署了Kubernetes的中國企業(yè)中,有35%經(jīng)歷過對其容器化環(huán)境的勒索軟件攻擊。

防勒索是安全環(huán)境中最熱的話題。在過去的一年中，勒索攻擊頻率急劇上升,對經(jīng)濟(jì)、社會信任和信息管理造成了嚴(yán)重影響。有高達(dá)73%的中國受訪者認(rèn)為勒索軟件對Kubernetes環(huán)境的攻擊是其企業(yè)目前面臨的一個嚴(yán)峻問題。由此可見，保護(hù)Kubernetes環(huán)境以及其中的應(yīng)用程序和數(shù)據(jù)，是企業(yè)的當(dāng)務(wù)之急。

當(dāng)然，任何一種環(huán)境中的數(shù)據(jù)安全，包括容器環(huán)境、Kubernetes環(huán)境等，都是由來已久，且將不斷持續(xù)下去的話題。安全運(yùn)維本身是一個動態(tài)話題，不是實(shí)現(xiàn)了某一個安全運(yùn)維標(biāo)準(zhǔn)、部署了某些安全運(yùn)維的解決方案，部署了Kubernetes或者其他的安全工具，就可以一勞永逸。

在數(shù)字化轉(zhuǎn)型、混合云多云環(huán)境下，企業(yè)無法回避 “4C”難題挑戰(zhàn)，即成本(Cost)、網(wǎng)絡(luò)威脅(Cyberthreats)、云的使用(Cloud)、合規(guī)(Compliance)。一旦企業(yè)數(shù)據(jù)管理能力跟不上轉(zhuǎn)型的需求，就會面臨成本失控，容易受到勒索攻擊、業(yè)務(wù)中斷、管控不足的風(fēng)險。

在Kubernetes方面，Veritas提出，要在六個方面幫助企業(yè)應(yīng)對惡意攻擊、惡意軟件和人為失誤,使其在Kubernetes環(huán)境中的數(shù)據(jù)更具韌性：遵循基本的安全原則；妥善保護(hù)Kubernetes環(huán)境下的數(shù)據(jù)；完整地保證Kubernetes環(huán)境下所有命令空間的安全，缺一不可；要明確Kubernetes環(huán)境的各種運(yùn)維人員和使用用戶的訪問權(quán)限；要簡化運(yùn)維，通過自動化的方式解放DevOPs團(tuán)隊(duì)和備份團(tuán)隊(duì)的工作量；基于現(xiàn)有的企業(yè)整體環(huán)境，不僅是Kubernetes環(huán)境，包括其他所有的環(huán)境，整體環(huán)境下的統(tǒng)一、一致性的備份平臺。

在具體的運(yùn)維產(chǎn)品選擇上，企業(yè)應(yīng)該仔細(xì)考慮產(chǎn)品的選型，選擇一個能夠與企業(yè)共同成長的合作伙伴，一個被市場長期驗(yàn)證的、可靠的、有效的、平臺性的解決方案。超過八萬家企業(yè)級客戶, 包括 87％的全球財富 500強(qiáng)企業(yè)，均依靠Veritas確保其數(shù)據(jù)的保護(hù)、可恢復(fù)性和合規(guī)性。

Kubernetes環(huán)境下，企業(yè)面臨的三大挑戰(zhàn)

Veritas公司大中華區(qū)技術(shù)銷售與服務(wù)總監(jiān)顧海巍將Kubernetes環(huán)境下，企業(yè)面臨的挑戰(zhàn)總結(jié)為三點(diǎn)：“效率、應(yīng)用復(fù)雜性、可移植性”。

Veritas公司大中華區(qū)技術(shù)銷售與服務(wù)總監(jiān)顧海巍

首先是保證容器環(huán)境的備份效率。備份的是否有效、是否及時，關(guān)鍵在于Kubernetes環(huán)境保護(hù)是否能夠提供原生支持，是否符合客戶的運(yùn)維標(biāo)準(zhǔn)，包括集成Kubernetes環(huán)境本身的CI/CD（持續(xù)性集成、持續(xù)性部署、持續(xù)性交付）。

在進(jìn)行Kubernetes環(huán)境保護(hù)的時候，不能降低Kubernetes本身的運(yùn)維水準(zhǔn)，所以必須在數(shù)據(jù)保護(hù)平臺的架構(gòu)層面就能實(shí)現(xiàn)和Kubernetes環(huán)境的契合、架構(gòu)的契合，包括大規(guī)模Kubernetes環(huán)境的保護(hù)、恢復(fù)，總體擁有成本是否合理、以及擴(kuò)展性如何，是否會被限制在某一個煙囪里等。

第二是保證Kubernetes的容器應(yīng)用復(fù)雜性，進(jìn)行一致性保護(hù)。傳統(tǒng)數(shù)據(jù)中心的架構(gòu)遷移上云，本意是希望由云來屏蔽原先傳統(tǒng)數(shù)據(jù)中心的復(fù)雜性。但隨著多云的快速增長，出現(xiàn)了更多的復(fù)雜性，Kubernetes也需要進(jìn)行運(yùn)維標(biāo)準(zhǔn)的統(tǒng)一，來消除多云環(huán)境下的運(yùn)維復(fù)雜性。

保護(hù)Kubernetes的環(huán)境不像保護(hù)一個虛機(jī)、一個客戶端或者一個存儲那樣簡單，一個Kubernetes環(huán)境下的業(yè)務(wù)涉及幾十、上百、上千甚至上萬個微服務(wù)容器環(huán)境，需要進(jìn)行復(fù)雜的編排。想要保證Kubernetes環(huán)境下的業(yè)務(wù)安全，必須要把一個業(yè)務(wù)涉及到的所有資源看作一個整體，并且能夠處理好不同Kubernetes微服務(wù)之間的編排關(guān)系，只有這樣才能夠真正保護(hù)好業(yè)務(wù)。

第三是保護(hù)好Kubernetes環(huán)境的可移植遵從性。企業(yè)之所以選擇Kubernetes，一個很重要的原因是Kubernetes的環(huán)境有很大的可移植性，可以從物理的數(shù)據(jù)中心移植到不同的云上、不同的虛擬化環(huán)境中。對Kubernetes環(huán)境的保護(hù)就要在數(shù)據(jù)恢復(fù)、業(yè)務(wù)恢復(fù)、容災(zāi)恢復(fù)的時候保護(hù)好可移植性。也就是說數(shù)據(jù)備份后，一旦需要容災(zāi)回復(fù)，數(shù)據(jù)需要能夠在不同的物理數(shù)據(jù)中心和云之間、不同的云之間、不同的商業(yè)版本之間，保證代碼的可移植性。  

Veritas的NetBackup?10由云級技術(shù)提供支撐,是業(yè)界首個云優(yōu)化、規(guī)?；臄?shù)據(jù)管理解決方案。在保證容器環(huán)境的備份效率方面，NetBackup 10的設(shè)計(jì)遵從Kubernetes的原生架構(gòu)，力爭實(shí)現(xiàn)Kubernetes的原生工具。其部件本身是容器化的，而不是笨重的客戶端，如容器化的Operator、基于容器helm chart的代碼分發(fā)等?；赗BAC用戶角色權(quán)限分配的API，允許Kubernetes的管理員基于自己的CI/CD運(yùn)維標(biāo)準(zhǔn)進(jìn)行自服務(wù)設(shè)計(jì)。針對普通的備份管理員，可以通過簡單地敲擊鼠標(biāo)，像平時備份其他工作負(fù)載一樣進(jìn)行NetBackup的備份和恢復(fù)。

四招解決應(yīng)用復(fù)雜性難題

針對應(yīng)用復(fù)雜性的挑戰(zhàn)。Veritas提供了Kubernetes環(huán)境下的企業(yè)級業(yè)務(wù)韌性的做法。

首先，與傳統(tǒng)的以具體的工作負(fù)載為標(biāo)準(zhǔn)的備份不同，Kubernetes環(huán)境下，一個業(yè)務(wù)會涉及到大量的容器資源，比如各種微服務(wù)部件、容器部件、持續(xù)數(shù)據(jù)卷、配置文件或者其他各種各樣的資源，當(dāng)某一個業(yè)務(wù)上線或者擴(kuò)展變更的時候，需要知道這些資源屬于哪個業(yè)務(wù)，一起保護(hù)起來。

第二，基于Kubernetes的CSI標(biāo)準(zhǔn)，CSI是Kubernetes存儲資源的接口標(biāo)準(zhǔn)。Kubernetes環(huán)境下，作為平臺級的資源是非常靈活的，客戶會使用不同的標(biāo)準(zhǔn)，備份保護(hù)也要跟得上。此外還要基于CSI的標(biāo)準(zhǔn)進(jìn)行快照級的開發(fā)。  

第三，基于應(yīng)用復(fù)雜性能夠?qū)崿F(xiàn)大規(guī)模的恢復(fù)。Kubernetes是基于命名空間來組織業(yè)務(wù)資源的。一個大型的、復(fù)雜的業(yè)務(wù)可能涉及到幾千個命名空間，要適應(yīng)大規(guī)模的保護(hù)和大規(guī)模的恢復(fù)。

第四，能夠靈活恢復(fù)，能夠支持各種資源級別的恢復(fù)。比如恢復(fù)一個持續(xù)數(shù)據(jù)卷或者單個配置文件，或者某個業(yè)務(wù)中幾十個Namespace（命名空間）中的一個命名空間，不同級別的資源力度恢復(fù)都要能夠支持。

“如果想實(shí)現(xiàn)消除應(yīng)用復(fù)雜性，實(shí)現(xiàn)以應(yīng)用為中心的數(shù)據(jù)保護(hù)目標(biāo)，以上四點(diǎn)都需要做到?！?顧海巍表示。

Veritas從NetBackup 8.3版本開始支持基本的Kubernetes容器環(huán)境的備份保護(hù)。9.0版本能夠?qū)崿F(xiàn)各種高級備份、高級恢復(fù)，甚至能夠?qū)崿F(xiàn)Agent和AWS之間多云的容災(zāi)編排。

NetBackup 10在效率挑戰(zhàn)、以應(yīng)用為中心的備份、增加可移植性等方面，有了進(jìn)一步的提高。

在中國，NetBackup在運(yùn)營商、金融、制造行業(yè)已經(jīng)積累了大量客戶。在歐洲，一些大型的金融連鎖機(jī)構(gòu)、物流機(jī)構(gòu)正在部署NetBackup 10，來保護(hù)多云環(huán)境下的Kubernetes環(huán)境。

以云服務(wù)和數(shù)據(jù)為目標(biāo)的黑客攻擊只增不減，勒索攻擊等威脅成為每一個企業(yè)需要正視的問題。Veritas正在幫助企業(yè)應(yīng)對這一挑戰(zhàn)，Veritas的產(chǎn)品、技術(shù)致力于幫助企業(yè)減少云資源消耗和成本，保護(hù)數(shù)據(jù)免受勒索軟件的侵害，為數(shù)據(jù)自治打造堅(jiān)實(shí)基礎(chǔ)。