【51CTO 1月11日外電頭條】企業(yè)的IT基礎(chǔ)架構(gòu)如今面臨應(yīng)用程序、設(shè)備和數(shù)據(jù)呈爆炸式增長的態(tài)勢，以至于僅僅讓IT基礎(chǔ)架構(gòu)跑起來就夠難的了——似乎誰都沒有時間或人力來設(shè)計切實改善運營的新系統(tǒng)。不過，當(dāng)你面對瘋狂增長的勢頭時，可以采取一個措施來簡化你的工作、加強你的基礎(chǔ)架構(gòu)，那就是盡量使用邏輯隔離機制。

無論你談?wù)摰母綦x對象是計算機帶寬、存儲容量、網(wǎng)絡(luò)設(shè)備還是不同類型的數(shù)據(jù)，這其實并不重要；因為道理都一樣。確保出眾的性能、嚴(yán)密的安全、高效率和易于管理，都需要對不同類型的服務(wù)和數(shù)據(jù)深思熟慮地進行劃分——事后進行劃分常常極難實現(xiàn)，甚至不可能實現(xiàn)。

具體過程千差萬別，這取決于你使用什么樣的技術(shù)。但是一個共同的主題應(yīng)該貫穿于基礎(chǔ)架構(gòu)的每一個層面，那就是確保隔離。

隔離網(wǎng)絡(luò)

眼下你很可能待在組合使用的網(wǎng)絡(luò)安全硬件后面：防火墻、入侵檢測系統(tǒng)/入侵預(yù)防系統(tǒng)（IDS/IPS）、內(nèi)容過濾器等系統(tǒng)。如果貴企業(yè)在運行通過互聯(lián)網(wǎng)訪問的服務(wù)，比如Web服務(wù)器和電子郵件服務(wù)器，那些系統(tǒng)可能還包括一個或多個非軍事區(qū)（DMZ，又叫隔離帶），DMZ把那些易受攻擊的服務(wù)與內(nèi)部企業(yè)網(wǎng)絡(luò)的薄弱環(huán)節(jié)隔離開來。幾乎任何IP專業(yè)人士都很熟悉這種注重安全的網(wǎng)絡(luò)隔離——誰要是沒有采用這種隔離機制就貿(mào)然運行，后果自負。

但并不是說網(wǎng)絡(luò)安全方面的工作到此為止。哪怕在規(guī)模再小的企業(yè)網(wǎng)絡(luò)中，對內(nèi)部網(wǎng)絡(luò)進行重重劃分也能帶來切實的好處，即使沒有采用功能完備的內(nèi)部防火墻機制，至少也要使用虛擬局域網(wǎng)（VLAN）和三層路由機制。在過去，這種網(wǎng)絡(luò)隔離一般用于通過在非常龐大的網(wǎng)絡(luò)中控制廣播流量來提升性能。而如今，由于與網(wǎng)絡(luò)連接的設(shè)備數(shù)量和種類要多得多——從員工的智能手機到IT設(shè)施的暖通空調(diào)和制冷（HVACR）系統(tǒng)，把一度備受信賴的內(nèi)部網(wǎng)絡(luò)當(dāng)作需要防護的一種緊迫的威脅來對待顯得越來越重要。

問題在于，很少有企業(yè)決定實施這些種類的內(nèi)部安全措施，盡管我們生活在這樣一個環(huán)境：危害性極大的、專門定制的蠕蟲在伺機尋找和破壞工業(yè)控制系統(tǒng)。沒錯，這些種類的威脅仍然很不常見，但是可以肯定，它們不久之后會很普遍。

就算貴公司沒有擺放著大量的核離心機，也很可能擁有與網(wǎng)絡(luò)連接的暖通空調(diào)或者火警報警系統(tǒng)。你還很可能擁有一些聯(lián)網(wǎng)的不間斷電源（UPS）系統(tǒng)、VoIP電話系統(tǒng)或者基于IP的存儲基礎(chǔ)架構(gòu)——你幾乎肯定有自己的網(wǎng)絡(luò)打印機。幾乎每個人都擁有，但是很少有人覺得是安全風(fēng)險的眾多網(wǎng)絡(luò)設(shè)備似乎從來沒有得到臺式機那樣有力的保護。不要忽視了那些系統(tǒng)的安全。將這些系統(tǒng)隔離到屬于它們自己的網(wǎng)段上，只有需要訪問的用戶才可以訪問那些系統(tǒng)。

安全不是把這些不同類型的設(shè)備隔離到各自受保護的子網(wǎng)上的唯一原因。只有真正隔離了這些種類的系統(tǒng)、服務(wù)器和臺式機，你才能非常清楚地了解自己的網(wǎng)絡(luò)資源在如何得到使用。因而，萬一出現(xiàn)了網(wǎng)絡(luò)問題，你就完全有能力來監(jiān)控、隔離、排查和診斷這些問題。

如今，如果我為客戶重新設(shè)計網(wǎng)絡(luò)，即便是規(guī)模比較小的網(wǎng)絡(luò)，我也幾乎總是會在設(shè)計中考慮到相當(dāng)程度的網(wǎng)絡(luò)隔離機制。即使一開始沒有包括任何實際的訪問控制措施，萬一將來需要添加這種措施，就能輕松添加，這一點本身極其有用。我不止一次遇到過這種情況：由于網(wǎng)絡(luò)實現(xiàn)了重重隔離，零日病毒爆發(fā)因而被遏制——要是之前沒有落實隔離機制，幾乎不可能遏制零日攻擊。

無論你因何種原因而進行網(wǎng)絡(luò)隔離，有一點幾乎總是可以肯定：你的網(wǎng)絡(luò)會變得更龐大（哪怕貴公司沒有變得更龐大），而不是變得更小。而網(wǎng)絡(luò)越龐大，在將來實施你可能需要的這類措施就會越困難。

隔離存儲

企業(yè)數(shù)據(jù)正在以驚人的速度增長，這不是什么秘密。有效地應(yīng)對這種數(shù)據(jù)增長勢頭不僅僅需要部署大批的存儲硬件。比如說，導(dǎo)致非結(jié)構(gòu)化數(shù)據(jù)增長的最主要根源之一常常是對數(shù)據(jù)缺乏組織管理這么簡單的原因。如果企業(yè)沒有鼓勵用戶以井然有序的、易于管理的方式來存儲數(shù)據(jù)，想確定誰擁有什么數(shù)據(jù)、該數(shù)據(jù)是不是仍然需要變得幾乎不可能——因而導(dǎo)致了這種情況：存儲的一切數(shù)據(jù)都必須保留（或者如果你膽子很大，只好丟棄）。如果你在IT行業(yè)已有一段時日，毫無疑問你看到過那些臭名昭著的“公共”文件共享區(qū)。

如果根據(jù)私有用戶數(shù)據(jù)和部門數(shù)據(jù)等標(biāo)準(zhǔn)，對數(shù)據(jù)存儲進行劃分、實現(xiàn)邏輯劃分，你總是能讓某個人對生成的數(shù)據(jù)進行負責(zé)，成功遏制數(shù)據(jù)增長的可能性就要大得多。你還能夠精細化地監(jiān)控數(shù)據(jù)的使用情況，把這些數(shù)據(jù)組劃分到多個存儲系統(tǒng)上，還可以根據(jù)需要實施存儲配額等控制措施——如果每個人的數(shù)據(jù)都混在一起，或者缺乏組織管理，就不可能做到這一點。而與網(wǎng)絡(luò)隔離一樣，只要數(shù)據(jù)得到妥善隔離，運用嚴(yán)格的數(shù)據(jù)安全和審計規(guī)則就要容易得多。

這些種類的數(shù)據(jù)隔離不僅僅讓你能夠更充分地準(zhǔn)備遏制數(shù)據(jù)增長，還讓你更有能力實施節(jié)省成本的存儲技術(shù)，比如存儲分層和重復(fù)數(shù)據(jù)刪除。如果你非常了解自己在應(yīng)對哪種類型的數(shù)據(jù)，因而能獨立地處理它們，那么存儲分層和重復(fù)數(shù)據(jù)刪除這兩種方法的效果就要好得多。

什么都隔離

雖然企業(yè)網(wǎng)絡(luò)和存儲是典型的隔離對象，但是隔離這些種類的資源背后的動因適用于幾乎任何對象：服務(wù)器、應(yīng)用程序、備份方法，不一而足。如果控制著不進行邏輯隔離就徑直在現(xiàn)有系統(tǒng)上堆放新系統(tǒng)的沖動，你才能更有效地確保自己能夠提供足夠高的安全、性能和效率，哪怕你不知道將來會面臨什么樣的挑戰(zhàn)。

原文：Architectural rule No. 1: Segregate everything

【編輯推薦】

1. 業(yè)內(nèi)稱12306癱瘓為系統(tǒng)架構(gòu)規(guī)劃問題
2. 超大規(guī)模網(wǎng)絡(luò)架構(gòu)管理需求愈發(fā)凸顯
3. 資深架構(gòu)師Theo談統(tǒng)計學(xué)，業(yè)務(wù)與運維工程師的成長