儲存設備如何防範病毒與勒索軟體的入侵

這幾天大概全台灣或是全世界的MIS人員都忙翻了,為什麼呢?因為一個來自於美國NSA(現在有人說北韓,反正就是系統漏洞)的勒索軟體大規模的侵犯全世界的電腦,只要你跑的是Windows的作業系統,幾乎無一倖免; 其實資訊安全是重要的一環,但是很多時候使用者的使用情況,是MIS工程師無法想像的。

第一線的防護

5/12開始就陸陸續續有傳出新的一個勒索軟體的消息,第一線的防護應該要怎麼做?這個有裕笠科技的專業,大家如果有興趣可以去看一下它的連結,我就不多提了

http://ns2.ublink.org/viewtopic.php?f=27&t=5954

第二線的防護 / 補救

我們主要是做儲存解決方案的,當然就是做儲存方面相關的一些防護措施或者是補救方式來作討論。首先第一道當然就是個人端的電腦,因為大部分的感染途徑都是從這裡發動第一波攻擊,只要有某個人點了來路不明的勒索軟體連結之後,大概很快的全公司的網路就全部通通會中毒了。病毒的散播不在我們這個討論! 我們要討論的是如何去防範被病毒加密之後,或者是人為的疏失誤砍了,或者是其他的硬體因素導致檔案不見的情況,我們可以怎麼去補救。其實大家會說的都是勤備份!

備份!! 備份!! 備份!!

的確,要保護你重要的資料不二法門,就是勤做備份備份。這分兩個部分,如果公司裡面一些個人的重要資料是放在個人電腦裡,這時候可能需要詢問公司是否有集中式的儲存空間,可以去作為備份的空間。 如果有的話可以使用Windows 內建的robocopy,或者是其他的一些免費的檔案複製軟體。若是沒有,可能自己要想辦法利用其他的儲存媒體,例如隨身碟來作備份的空間。

自動化的儲存及資料保護

但若是企業內有集中式的儲存空間但是備份要有每個人去運作恐怕執行上會有困難因為人總是健忘的。所以在我們的儲存解決方案中除了傳統的robocopy的方式以外,也可以透由我們另外提供的TFSync 或者syncthing 來做即時的資料防護,或者是日常的備份作業;同時結合上儲存設備內部的快照機制,可以讓資料儲存在媒體上有更好的一個資料防患。

儲存設備內建防毒

當然如果儲存媒體內部就有內建防毒的機制那就更好了! 像我們的儲存設備 NexentaStor 以及 TrzeNAS都有內建的防毒,但是防毒總不可能可以防一輩子,也不可能有100%的方式防毒,所以做好必要的補救措施才是關鍵。

廣告

資料快速交換 – VRP(Volume Replication Package)

自己的程式自己寫!

在我們接觸的客戶環境底下,很多時候是需要提供一個高速、安全、穩定的資料備份或者備援方案;而且客戶的資料動輒幾TB,或者是幾十TB,檔案的數量更是異常的多,從一兩千萬個到幾億個都有,再加上為了即時的資料救援而作的資料快照,總數加起來更是不得了!傳統的檔案複製或者是備份的方案,都已經沒有辦法符合。為了這樣的需求, 我們也花了非常非常多的精力與時間在尋找與測試,於是有了 VRP 的開發!

一般市售的儲存設備,對於自身的資料保護或者是備份,都有一定的方案;但是如果碰到是異機或者是異種平台,大部分的設備多只是支援自家的資料互相備份,而且很多還是只能以檔案的格式做資料複製,當檔案數量非常多的時候,這樣的方式就會造成非常大的系統的負載,不只降低的原有儲存設備的效能,同時也降低了資料複製的可靠性。 而比較高階或者是一些進口品牌,就會有自己額外的資料複製方式,通常是以區塊格式做資料複製,如 NetApp 的 SnapVault 或 SnapMirror,EMC 的SnapView 等。而這些設備,有的時候會因為原有自身系統資源不足,而導致資料的複製速度異常的慢,甚至失敗;也有些時候會因為儲存系統本身的新舊韌體版本不相容而導致失敗。我們為了能夠解決像這樣的問題,同時為了能夠跨不同的平台,於是開始開發VRP,讓VRP能夠在 TrzeNAS 與 NexentaStor ,甚至未來新開發的 SDS(Software Defined Storage)上快速地交換資料。

VRP是一個可以跨NexentaStor與TrzeNAS的資料交換神器,VRP是威傑科技在NexentaStor以及TrzeNAS上面獨立開發的一個拿來做資料交換的工具。我們可以很輕易的在NexentaStor把一整個Volume,或者是一個Folder,或者甚至是一個目錄,拿來做快速的資料搬移到另外一台NexentaStor或者是TrzeNAS,反之,從 TrzeNAS 上也可以作相同的事情到 NexentaStor 或另一台 TrzeNAS。VRP的使用有什麼樣的好處?VRP的資料交換是只會傳遞異動的區塊,所以它可以利用很小的頻寬,傳遞非常大量的資料。也因此他可以拿來做非常有效的資料備援,或者是備份的機制。以下是我們的一個客戶實際案例

Himax case study

VRP是利用NexentaStor 或 TrzeNAS的內部引擎,可以快速識別兩個副本之間的文件和目錄差異。通過查找兩個副本之間的差異,避免了傳統備份軟體在增量備份期間對差異文件的掃描過程,將備份處理的資料區塊轉移到另一座NexentaStor 或 TrzeNAS儲存,減少了對新增和異動資料處理所需的時間。實際的客戶使用經驗來看,備份的時間可以大幅減少到約只有原本備份時間的二十分之一,異動資料的傳輸量約只有原本備份資料的0.1%。除此之外透過VRP傳遞過去的資料,是完整的檔案;當使用者不小心誤刪了原有的檔案,系統管理員可以直接從另外一台儲存設備上直接把檔案複製回來,大幅提高了資料的可用性,降低了系統的錯誤率,即使是人為的錯誤。

VRP也可以使用在新舊設備的資料交換上。客戶使用的設備年代已久,硬體廠商已經不再支援的情況下,客戶要用新設備去替換掉原有的舊設備,如何能夠降低客戶在做新舊設備更換時候所受到的影響, 就是一個非常重要的課題了。先前的幾個客戶系統轉移的經驗,25TB的實際使用量,可以在一小時內完成設備的更換;最近一個新的專案正在進行中是36 TB的使用量,預計也是在一小時甚至30分鐘內要完成設備轉移 。

儲存設備的快照真的不能拿來當純備份嗎?

之前我PO的一篇文章提到,儲存設備的快照不應該拿來當成備份使用;但是儲存設備的快照,真的不適合拿來當備份用嗎?當然不是這樣的!! 但是儲存設備作快照份數多,真的一定要把主要的儲存跟備份用的儲存分開!!

實際案例

以下分享一個我的客戶,實際上如何透過兩種不同的儲存以及快照技術,來達到本機備份備援,以及異地/機備份備援的方式,如下圖一:

Himax case study
(圖一:客戶主要儲存與備份設備架構圖)

如上圖示可以看到,這個客戶在台北、新竹跟台南三個點都各有一個大的辦公室,每一個點辦公室的主要儲存設備,都是我們公司的NexentaStor,作為他們研發人員設計工具產出的資料主要目的地。但是人總有不小心的時候,而且這一個客戶又是一家上市公司,基於各方面的規範,他們必須要做到本地備份以及異地備份,來應付日常研發人員的工作需求,以及上市公司的規範。 但是作為備份的設備,一般的規劃都會是一個冷資料儲存的裝置,大部分都會選擇用磁帶作為備份的設備。但是磁帶的備份曠日費時,尤其是在資料需要回存的時候,時間更是一個最大的考量;同時資料回存的時候,如果需要回存的資料量非常龐大,對於主要的儲存設備,需要挪出額外的空間又是一個很大的負擔。 為了解決備份問題,同時考量設備可以有最大的使用性,因此,我們跟客戶提出用我們公司的另一產品 TrzeNAS 當成備份及異地備份的儲存設備。這樣的設計,可以達到

  1. 資料的快速一致性。
  2. 資料的高度可用性。
  3. 快速地資料複製。
  4. 無痛地資料回存。

 

透過我們開發的 VRP(Volume Replication Package),可以快速地把資料在本地端備份,並且在很短的時間內立刻複製一份到另一座 TrzeNAS,然後再快速地複製到異地的 TrzeNAS 上,立刻達成了D-D-D 的3(份)D備份效果。因為資料都是在 Disk 上,所以當使用者不小心誤刪了資料時,可以非常快速地從 Disk 上回復,實際測試,平均一分鐘可以回存約200GB到500GB的資料量,甚至到TB等級的資料;由於是由 VRP 執行資料備份作業,在本地端幾乎可以達到與主要儲存設備備份資料無時差;又因為全部是在 Disk 上作業,當資料需要回存時,並不需要額外的儲存空間來儲放回存資料。

 

 

 

何謂 VRP (Volume Replication Package)

VRP是利用 Nexenta 與 TrzeNAS 的內部引擎,快速識別兩個Snapshot副本之間的文件和目錄差異。通過查找兩個Snapshot副本之間的差異,避免了傳統備份軟體在增量備份期間對差異文件的掃描過程,從而將備份處理的資料區塊轉移到另一座Nexenta 或 TrzeNAS存儲,減少了對新增和異動資料處理所需的時間。實際的客戶使用經驗來看,備份的時間可以大幅減少到約只有原本備份時間的百分之一,異動資料的傳輸量約只有原本備份資料的0.1%

儲存設備的快照是否可以拿來當成備份用途?

快照不是免費的!!!!

快照不是免費的!!!!

快照不是免費的!!!!

因為很重要,所以要說三次!

很多人以為快照是一個備份的方案,其實快照並不是用來作備份的。我們俗話說,救急不救窮,快照就是屬於救急的一個方案。你想看看如果你的檔案,被使用者不小心刪除了,而且刪除的檔案是一、二千個,簡單說就是一個目錄,那你要怎麼樣可以快速的把使用者的檔案存回到他的原本目錄去呢?這時候快照就派上用場了! 快照就像是時光回溯機一樣,你可以在不同的時間點,根據不同的用途去做檔案系統的快照。但是既然他是快照,就是有所謂的使用期限的;換句話說,你在短時間內的檔案這個是有效益的,放長的時間來看,這就是一個無效益的檔案,所以他跟備份是一點關係也沒有的。

錯誤的示範

然而很多人卻誤解了快照的用意。反正快照的處理方式非常快速,而且非常的精簡,他可以用大約不到原始檔案的千分之一空間,儲存跟原本一模一樣的檔案數量與容量 ,於是在小聰明的MIS管理下,快照就成了備份的一個項目了,而且只有這個備份。這就造成的像我的一個客戶的實際案例,如下圖一:

GMT snapshot usage

(圖一:folder 的總使用量與真正資料跟快照資料分別使用量)

 

各位可以看到,這個的總使用空間大約是13.3TB,真正的資料量其實還不到9TB, 有大約4.5TB都是快照佔用的空間。大家可能會覺得很奇怪,快照不是佔用的空間很少嗎?為什麼在這個案例中快照佔用那麼大的空間?那是因為這個客戶把快照當成備份在使用,他的快照的保留份數,日常的日快照保留90天,也就是90份。另外呢! 針對異動量很大的日間的工作目錄,他每個小時又做一份快照,而這一份快照一天24小時有24份,這樣的快照要再保留7天,所以各位可以算一下他的快照份數其實是超過400份。而且快照的期間是超過90天,當然他的快照使用空間會很大量!因為這是一個錯誤的使用,客戶應該是要把快照跟備份分開來!

GMT volume IO

(圖二:客戶的volume存取每秒資料存取量,並非是少量存取)

GMT snapshot hourly

(圖三:客戶的folder 異動量,並非是少量異動)

 

開源軟體如何營運?

在 FB 上波出有個系統整合商,自己學習我們代理的 Nexenta ,也自己找了客戶買單;相較於前個星期有家大的系統整合商,因為自己有大客戶,開頭來找我們就是要我們免費支援他們去跟客戶介紹產品及解決方案,呵! 差好多!!

承蒙台大的洪老師看的起,要我簡要寫一篇分享給推開源軟體的人,小的文筆不好,寫的不好的地方,還請大家諒!

我們是專門作儲存的,從線上/近線/離線我們都作過,跟一般公司一樣,我們原本都是代理一般認知的大公司大品牌,如IBM、EMC、NetApp等。先給大家看看以下的連結

https://en.wikipedia.org/wiki/NetApp_filer

https://www.emc.com/collateral/software/specification-sheet/h8514-vnx-series-ss.pdf

以上二家都是大公司,也都是大品牌的儲存產品。如果去仔細看它的硬體規格,應該不難發現,其實他們都是一般的 x86 主機架構,上面再執行各家開發出來的系統,如 NetApp 的 OnTAP、EMC 的MCx,它們都是基於開源的 BSD / Linux 去開發出來的(早期的 EMC CLARiiON,就是現在 VNX 的前身,還是用Windows NT 開發的),那為何這些機器上面的硬體規格稍好一點,價格就差距很大呢?而且動不動就EOL / EOS(註1.)!

現今很多的企業 IT 都在哭喊沒有預算,但,是真的沒有預算嗎?

我們為了打破這樣的觀念,所以引進二套基於開源開發的SDS – Software Defined Storage,NexentaStor 與 TrzeNAS。它的主要發想,就是要讓使用者可以免於被 vendor lock-in 的問題。在企業 IT 預算有限的情況下,你可以選擇採購較低階的硬體去搭這軟體;當企業有更高的儲存需求(效能 / 容量 / 可靠度…..),你可以選擇採購更高階與更可靠的硬體去搭這軟體,軟體本身並沒有不同,唯一不同的是你搭這軟體的硬體。這套儲存的限制在那?在於企業所選擇的硬體!

SDS 的硬體可以任意的選用嗎?當然可以! 你可以隨便找一台 PC 安裝再把硬碟塞滿後把它當一套儲存設備來使用。然而如果是企業中要使用,相對的可靠就必須要考量,這就呼應了洪老師一直在強調的,系統的軟硬整合能力。企業內的 IT 可以選擇花錢省時間找我們公司來協助建置,也可以選擇花時間省錢自己自建,這都是企業內自己可以有的選項,而不會被 vendor lock-in。

我本身也是中華民國軟體自由協會的成員之一,剛好在這成果發表這一天,協會理事長來拜訪我,我們也互相交換推廣開源的一些有趣的事,其中他就提到,他曾到某個單位去上課,單位內有個人就問說

“像你們這樣推廣開源軟體,如果我們都學會了,不就可以把你們踢開了?"

是啊! 我們就是希望企業內的使用者都把這開源拿來使用,並且當作成功案例,同時也來一起推廣,讓開源的使用可以更貼近使用單位,這就是我們要推廣開源的一個主要目的啊!!

你要加入了嗎?

 

註1. http://virtualgeek.typepad.com/virtual_geek/2016/05/emc-world-2016-unity-the-story-behind-the-story.html

 如何提昇備份的效能

很多人在問,如何可以加快備份的速度。

這有幾個面向要討論,

1. 目前備份的瓶頸是在備份的 client?還是型態?還是其它?

2. 備份的方式有何改善方式可用?

我們都知道,作D-D的方式備份是最快的。我們有個案例,客戶希望可以在MS SQL2008 或2012上,把二座不同的儲存設備作到幾近同步,資料庫是將近400GB的OLTP系統;我們利用了我們儲存設備上的 VRP 方案,作到每分鐘資料資料同步一次,而且SQL資料庫可以異機上在不到五分鐘把資料庫打開。這個案例我們可以另外開一個論述來談。

當然最近也有一個客戶,也是使用我們的 Nexenta 儲存,原本的只是拿來作RD作 file server用途;但因為資料量愈來愈大,備份問題就更麻煩。原本的全備份在只有一台LTO2的磁帶櫃下,已經要3-4天才能完成,再加上 Nexenta 的RD資料要備份,時間預估會拉長到一周以上!而這3-4天就沒有辦法作差異備份了,以致客戶在使用者不小心刪除資料時發生沒有備份的情況而造成損失。

我們在這客戶的作法是,利用二台 Nexenta 作異機備援,而第二台異機備援部份,因為有多餘空間,加上原本客戶的備份軟體 NetVault 也是我們熟悉的,因此建議客戶在原本的Nexenta D-D 方案外,再加上 B-D 的方案,在客戶完全不需額外的投資下,將原本的全備份從3-4天降到不到12小時內完成,並且利用磁帶櫃空閒時間,再作D-T完成磁帶的備份,以達到客戶原本 ISO 與外部稽核的要求,將磁帶作異地備份。

在這案例中,原本的備份廠商提井一個百萬等級的備份需求,而且還不確效益會有多大;經過這樣的調整,預計只需要40萬就可以把客戶原本不足的買齊,對現在 IT 預算愈來愈少的情況下,對資訊部門來說,是有絶大的效益的。

TrzeNAS 如何作效能的提昇 – 增加 SSD

TrzeNAS 的效能提昇 – 增加SSD能提昇到如何的效能

先前有一篇討論到 TrzeNAS 的效能壓測結果,連結如下:

https://wordpress.com/read/feeds/48736712/posts/1071930370

在那篇裡面,可以看到IOPS 很高,但是 IO Response Time 也高,在一般的應用下,是足夠的;但是如果在一個 mission critical 的環境下,可能就會顯得不足。我在前一篇也提到,TrzeNAS 的效能不只如此而已,給它資源,它一定會回報。

所有的測試環境都跟之前一樣:

壓力測試軟體:IOMeter 2006.7.27 ,測試樣本存在我的雲端硬碟https://drive.google.com/file/d/0Bw4Yre7OzRuBNGUzSHpBTk84dGc/view?usp=sharing

壓力測試主機:Dell R720XD, CPU: E5-2609V2 * 1,RAM: 16GB,OS: Windows 2008R2,NIC: 10Gb * 1。

受測儲存設備:TrzeNAS T2112s,RAM:32GB(Max.),HD: 2TB 7200RPM SATA HD * 6,NIC: 10Gb * 1。但多加了一顆SSD當寫入快取。

結果如何呢?

IOPS從原來的8300一下提昇到30000,快了近四倍;重要的是 IO Response Time 降到4ms,將近原來的四分之一,整體的效能比起傳統的儲存設備全15KRPM 的SAS硬碟相同容量還要再快上許多! 而這就是 TrzeNAS 能展現出來的效能!

TrzeNAS 32GB IOPS wlog