随着数字时代的加速到来,数据已成为驱动社会经济发展的新要素和新动能。“数据即资产”已经成为广泛共识,越来越多的企业将数据的分析和利用提到了新的高度。

然而,不少企业发现自己面对的是一个充满挑战的局面:一方面是数据爆炸性增长带来的存储压力,根据IDC的预测,2025年全球数据总量将达到180ZB,是2018年(33ZB)的5.4倍;另一方面,数据安全也面临非常严峻的挑战,Gartner预测,到2025年75%的组织将面临一种或多种勒索软件的威胁。

面对海量增长的数据和不断攀升的安全威胁带来的挑战,亚马逊云科技坚持创新,不断丰富存储服务的功能和类型、降低成本,同时在数据保护和合规上持续改进,以帮助客户更有效地构建起云上安全环境及满足合规要求,为其业务保驾护航。

丰富的存储服务,满足不同业务需求

 

众所周知,存储与计算、网络一起共同构成了传统数据中心的三大基础能力,在云时代同样如此,存储也是公有云的核心基础服务。

实际上,公有云市场大幕正是从云存储服务开启的。2006年3月14日亚马逊云科技推出了自己的第一项云服务Amazon S3,这也是世界上首个公有云的云存储服务。

如今,Amazon S3的服务类型已经达到8种,存储的对象数量超过230万亿个,平均每秒有超过1亿次请求。已经成为对象存储的事实标准。亚马逊云科技的存储服务也从最初的Amazon S3,扩展到包括块存储、文件存储、数据库服务等在内的多种数据存储服务。Amazon S3还是成百上千个数据湖的基础。

为了致敬Amazon S3,亚马逊云科技会在每年的3月14日这一天举办Pi day活动,纪念S3服务的诞生。这一天,亚马逊云科技的专家会在Twitch上举办长达4个小时的教学和培训,不仅有关于Amazon S3的最佳实践,还有Amazon在数据服务方面的最新创新。

除了不断丰富存储类型之外,亚马逊云一直通过创新降低数据的存储成本,其中的Amazon S3智能分层服务尤为值得一提。

一般而言,数据存储的费用与访问频度和性能相关,读得越频繁、读取性能要求越高,费用就越高。亚马逊云科技Amazon S3的不同存储服务分别对应不同的访问频度和不同性能要求,但客户有时候很难确定到底该选择哪一种(不知道或者难以预测)。Amazon S3智能分层就为解决这个问题推出的创新服务。

2018年推出的这项可根据访问频次自动将数据移动到最经济的访问层,在保证性能的同时不会产生额外的检索费用或运营开销。比如,如果客户将每年仅访问几次的数据从Amazon S3 Standard-IA迁移到Amazon S3 Glacier Instant Retrieval,就可节省高达近70%的存储成本。鉴于Amazon S3智能分层广受欢迎,如今亚马逊云科技还将它从Amazon S3扩展至云原生文件存储Amazon EFS。从该服务推出以来,已经为客户节省了超过2.5亿美元的存储成本。

除了Amazon S3智能分层服务外,亚马逊云科技还提供多种技术手段来监控并确保实际成本在预算之内。比如,可通过亚马逊云科技Budgets设定预算,在花费超过预算或者预测会超过预算时预警;可通过Amazon CloudWatch监控每日的存储用量和每分钟的数据访问请求,或者根据数据访问请求设定预警值。正是得益于这些创新,17年来亚马逊云科技将存储成本平均降低了70%,为全球客户累计节约了超过10亿美金的支出。

多层保护,确保数据安全与合规

 

亚马逊云科技一方面帮助客户把数据方便、高效地存储到云上,另一方面也在致力于为上云数据提供最大程度的安全保证,帮助客户确保合规。为此,亚马逊云科技还首创了安全责任共担模型,即亚马逊云科技负责云基础设施和服务的安全, 而客户负责云基础设施之上的操作系统、应用和数据安全。

通过多年持续不断的努力,如今亚马逊云科技打造出了多种安全服务,包括Amazon IAM、Amazon CloudTrail、Amazon Config、Amazon VPC Flow Logs等,可以实现多重认证和加密、持续监控,结合各种存储服务本身的功能,用户可以建立其一个多层次的数据安全防护体系。

以Amazon S3为例,在数据访问控制上,Amazon S3提供基于Attribute-based access control(ABAC)的控制策略,结合亚马逊云科技IAM服务、Amazon S3 Bucket Policy和Amazon S3 Object Tags等可以实现对S3的访问控制。ABAC相比传统的Role-Based Access Control(RBAC)拥有更多优势,包括可以随着资源的增加而扩展需求,可以节省Policy的数量,可以更粒度的进行控制,以及更快速地对团队进行修改等。

在数据保护上Amazon S3也提供了多种手段。比如,可以通过版本管理和多因子认证来减少数据错误删除,还支持存储加密和传输加密。而在监控方面,Amazon S3支持通过亚马逊云科技IAM Access Analyzer持续分析是否有资源被公开或者跨账号访问,以及验证各种策略是否正确书写等;还可以启用Amazon Macie服务,它使用人工智能算法对Amazon S3存储桶中的数据进行分析,以发现潜在的安全风险,保护敏感数据。

同样,亚马逊云科技的文件存储服务Amazon EFS也为客户提供了极强的控制力,比如可以通过POSIX权限严密控制对文件系统的访问;使用Amazon Virtual Private Cloud (Amazon VPC) 管理网络访问;使用亚马逊云科技Identity and Access Management (IAM) 控制对Amazon EFS API的访问;对静态和动态数据进行加密以保护存储的数据和传输中的数据等。

另外,亚马逊云科技还致力于简化安全策略的设置和管理。比如,通过创建访问点(Access Point),用户和应用程序可以使用它来访问Amazon EFS文件系统和Amazon S3,并根据IAM中定义的访问控制和基于策略的权限强制实现更细粒度的访问控制,以简化对对象和文件的共享访问。相比传统方式(如POSIX ACL)访问点在设置、管理和维护上都更为简单,提高了效率同时降低了潜在风险。

而在合规方面,亚马逊云科技的各项云服务符合PCI DSS、HIPAA、SOC 1/2/3等国际安全标准和条款,可以保障用户数据的合法性和安全性,帮助客户实现合规。

一站式数据备份与恢复,守住最后的防线

 

近年来,勒索软件事件一直处于高发态势,给企业数据安全带来了严重威胁。为了应对勒索软件的威胁、减少人为误操作带来的损失以及合规的需求,企业对数据备份和灾备的需求不断增加。然而,一直以来,云上备份就面临管理复杂、安全合规、高昂成本等挑战,这是企业面临的难题,也是亚马逊云科技要解决的问题。

亚马逊云科技的解决之道就是云上的一站式备份服务Amazon Backup——一种完全托管的、基于策略的备份服务,可以轻松地集中管理和自动化跨Amazon云服务的数据备份。

Amazon Backup支持亚马逊云科技的全部存储服务(块、文件、对象),以及各类数据库、计算和存储网关,可以一站式保护其中的数据。Amazon Backup通过图形界面来简化操作以帮助用户降低整个运维的成本,用户还可以通过预设的策略进行自动化的备份,降低手动备份带来的问题。

而安全合规方面,Amazon Backup深度集成了亚马逊云科技自带的KMS数据加密服务,整个备份操作权限数据访问权限都可以用IAM进行细颗粒度监控,满足个人信息安全规范等安全合规的要求。

对于很多企业,特别是传统企业,有不少数据保留在传统数据中心。对此亚马逊云科技提供了亚马逊云科技Storage Gateway服务,它部署在客户数据中心,可以与Amazon的数据中心连通,并通过Amazon Backup实现云下、云上数据的统一存储和备份。

在此过程中,亚马逊云科技还与合作伙伴(如NetApp、IBM、Veritas等)开展合作,实现对来自第三方软件的数据进行存储和备份。利用Amazon Backup的图形化管理控制台,客户只需要点击鼠标,就能够实现跨应用,跨数据源的集中备份操作。用户可以针对不同的数据类型设置备份策略和备份数据保留周期,实现自动备份。Amazon Backup所有的备份数据都支持KMS加密,备份恢复操作权限和数据访问权限都可以通过IAM细颗粒度授权,同时支持备份库锁定和备份审计功能,满足企业法规遵从需求。

勒索病毒攻击事件时有发生,国内也有很多企业都遭受到了巨大损失,利用Amazon backup的集中数据备份,以及备份库锁定功能,可以有效的防止勒索病毒的攻击,生产数据备份到备份库,设置备份库锁定功能,病毒或者恶意操作都无法改变或者删除备份库里的数据。这样能确保客户在遇到生产数据损坏或者遇到恶意攻击时,能够有效恢复数据,

最后,值得一提的是,亚马逊云科技云服务在种类丰富的各种云服务外,还提供了各种安全最佳实践。作为用户,利用好这些服务,并遵守亚马逊云科技的安全最佳实践,就可以为自己的数据提供最大程度的安全保障。

结束语

 

在一个全面数字化和云化的时代,数据已经成为关键生产要素,面对不确定因素和多变的市场环境中,如何持续降低数据存储和使用成本、提升效率是每一个企业都要面对的问题。作为云时代的技术引领者,亚马逊云科技在存储领域的探索,帮助正在数字化转型中的各行各业从数据中收获价值打下了很好的基础。同时,其产品和技术创新的思路给业界提供了很好的参考。

点击Amazon Backup | 集中式云备份,了解Amazon Backup更多信息!