多方位实现云数据中心的数据存储安全

云计算的一个特征就是通过公有或者私有网络来提供资源和服务，租户的数据的存储和计算资源都在云端，服务的结果通过网络返回给租户。于此同时云计算数据中心面临的安全威胁是前所未有的，云计算数据中心为了提高资源的使用效率，不同租户之间共享计算资源池、存储资源池、网络资源池，在这种情况下如何实现租户之间的安全隔离和防护恶意攻击等安全问题，是我们尤为关注的。云计算的安全涉及的领域非常广，本文仅以云计算平台（以下简称云平台）的数据存储安全如何实现，并结合云平台建设的实际案例进行分析阐述。

云平台面临的数据存储安全的挑战主要有几个方面：数据的高可用性；数据的稳定性；数据的持久可用性和数据的访问安全性。

1、数据的高可用性，即数据存储装置的可用性达到99.99%以上的级别。

目前云计算数据中心使用的数据存储装置，主要分为几类，即在线存储，近线存储和离线存储。满足租户业务实时性要求高的，安全性要求高的，保证业务连续性要求高的数据存储装置一般是在线存储。目前的在线存储主要是通常我们所说的存储阵列，存储阵列又分为基于SAN、NAS、DAS架构的存储阵列。其中基于数据块的SAN网络化的存储架构和基于文件网络附加存储NAS，底层磁盘技术很通用，为此近两年推出的统一存储Unified Storage可以支持不同的存储协议，为主机系统提供统一的数据存储，越来越多的云计算数据中心已经或计划采用这种多协议存储。云计算数据中心的存储利用存储虚拟化技术，可以将底层传统的多种存储进行池化统一管理，可以满足不同租户灵活的存储需求。

存储阵列的高可用性主要体现在存储控制器结构以及磁盘RAID保护技术。不同存储的存储控制器有着不同的结构，中低端存储阵列多采用双控制器结构，多采用主备方式来保证存储的高可用性；高端存储阵列多采用多控制器结构（矩阵直连式，矩阵交换式，全分布式，智能矩阵式，全交换式，动态虚拟矩阵式等等），多采用负载均衡方式不但满足存储的高可用性，而且适应高端存储的高I/O吞吐量需求。

我们在进行一个云平台建设项目的存储选型过程中，结合实际应用场景以及成本预算考虑，最终采用中高端存储，采用多控制器结构，多控制器负载均衡方式保证控制器节点的高可用性。

存储阵列的高可用性的另一个方面是磁盘RAID保护技术的应用，目前企业级用户根据不同的应用场景会选择RAID0,1,10,3,5,6等等RAID方式，通常设计RAID保护类型的时候会结合业务的特点，同时考虑成本、保护级别、读写性能以及写惩罚（RAID Write Penalty）几个方面。RAID-1提供比较好的读写性能，RAID-5读性能不错，但是写入性能就不如RAID-1，RAID-6保护级别更高，但写性能相对比较差，RAID10是提供最好的性能和数据保护，不过成本最高。存储的性能直接影响到前端应用访问的能力，所以要求存储具有较高的可用性保障能力，要求存储阵列不仅仅能达到“能运行”这个等级，还要达到能够支撑前端应用的实时访问的性能要求。为此在RAID层面上分析写惩罚和磁盘提供的吞吐能力IOPS也是非常关键的。如下表所示，不同RAID级别的写惩罚值。

其中RAID-0是直接数据条带方式，数据每次写入会对应物理磁盘上的一次写入操作，所以写惩罚值为1。RAID-1和RAID10，由于数据是镜像方式存在的，所以对于每一个数据写入会有两次写入磁盘操作，所以写惩罚值为2。RAID-5是采用奇偶校验的计算机制，对于任何一次数据写入，在存储端，需要分别进行两次读加两次写的磁盘操作，需要读数据、读校验位、写数据、写校验位四个步骤，所以RAID-5的写惩罚值是4。RAID-6由于有两个校验位的存在，与RAID-5相比，需要读取两次校验位和写入两次校验位，所以RAID-6的写惩罚值是6。设计存储的IO吞吐量需要参考存储中磁盘可以提供的IOPS值，这个值就是通过下面公式估算出来的：

可提供的IOPS=（物理磁盘的IOPS×磁盘数目×写百分比÷RAID写惩罚）+ （物理磁盘总的IOPS × 读百分比）。

业界通用参考的不同应用程序对应的I/O大小、读写比例、随机和顺序比例如下面：“不同应用的I/O读写比例表”所示。

我们在进行云平台的设计过程中充分考虑了承载业务的类型，通过对比分析以及实际测试得出了较为合理的设计结论，云平台建设过程中根据应用访问读写比例类型的不同采用RAID10，RAID5不同的级别，满足顺序和随机读写比例不同的应用需求，同时结合成本因素通过SAS，SATA的混合磁盘布局方式，充分体现云计算平台共享，低耗，低成本的特点。

2、数据的稳定性，不同租户存放在云计算数据中心中的数据需要隔离不同负载的彼此影响，确保数据访问的稳定性。

云计算数据中心的提供的数据存储服务要保证每个租户访问的稳定性，不会因为个别租户对存储的突发性大量I/O访问，影响到其他租户的正常业务访问。在SAN网络架构设计中考虑主机到存储之间的过载比，避免造成拥塞或性能的降低，同时采用核心-边缘的SAN网络设计架构实现灵活扩展，在设备选择上充分考虑SAN网络的响应时间，设备的处理能力，尽量选择低延时、大吞吐量的技术和设备满足牢靠的SAN网络架构需求。同时在存储的设计中也要能满足大吞吐量的需求，并且采用基于存储虚拟化技术实现快速灵活的横向扩展（scale out）。在建设实施过程中可以采用SAN网络的硬件分区的技术，以及存储的掩蔽技术实现数据的隔离，这样不仅仅实现数据的访问控制，而且在一定程度上可以达到隔离I/O压力的作用。

我们在建的一个云平台项目不仅仅在设计、建设阶段充分考虑了以上的要求，同时通过必要的监控手段，对SAN网络、存储的流量，延时等进行监控，制定策略对发现的异常情况及时进行处理，例如采用端口隔离等措施。

3、数据的持久可用性，云计算数据中心要保证每个租户所存储的数据不丢失，那么镜像保护，灾备保护的手段是必不可少的。

数据对于任何租户都是至关重要的，如何保证存储在云端数据不丢失是首要任务。存储底层的RAID保护技术，仅能提供一部分数据保护功能，防止数据丢失的最好方法就是采用多种备份方式进行多份备份。根据不同租户的服务水平协议要求，提供本地的镜像保护，本地的归档备份空间，异地的数据灾备保护等等保护策略确保数据的持久可用性。

我们建设的云平台通过磁盘镜像，数据备份，数据归档，连续数据保护，异地数据复制等等技术，为不同租户提供多种级别的数据保护能力，确保租户数据安全不丢失。

4、数据的访问安全性，云计算数据中心要通过完善的安全策略，避免租户的数据被非法访问，篡改，以及数据的泄露。

租户访问云计算数据中心的存储数据，可以在数据传输阶段和数据存储阶段采用加密技术，在一定程度上增加数据的安全性。云平台通过身份认证管理租户的登录，通过服务授权，分权分域等方式控制租户的访问权限，运用动态访问控制策略能够更好的适用云计算环境下多变的租户对资源的安全以及访问需求。

在云计算环境下，数据的存取是通过虚拟机来实现的，虚拟主机层面的安全直接影响到数据存储的安全，虚拟主机共用宿主主机的物力资源，很多恶意的访问可以通过共享资源进行进行侧通道攻击，导致数据的非法访问以及泄露。比较好的云平台需要通过技术手段实现共享资源的隔离，通过资源监控，行为监控等手段进行攻击识别，并阻断攻击，确保租户数据的安全。

云计算环境中的SAN网络架构的存储，通过SAN网络的zone（建议采用硬件分区，通过底层硬件芯片阻隔的方式）以及存储的LAN masking等方式实现数据的隔离，确保租户的主机只能访问专属的存储空间。

云平台不仅仅从技术角度保护租户的数据的访问安全性，并且从运维管理角度上有严格的制度和方法，例如存储阵列更换的损坏磁盘，需要依据《数据管理制度》，专人安全更换磁盘，并且硬盘销毁设备进行处理，确保租户数据不会外泄。

综上所述，随着云计算技术的大力发展，数据存储的安全会日益受到重视，数据存储的安全技术手段必将随之不断完善，云平台建设也会随着技术的发展不断进行改革创新，完善平台的安全体系建设，为租户提供更加安全可靠的数据服务。