為什麽NVMe-OF很重要？

NVMe發展的過程，就是不斷給SSD“開綠燈”的過程。

今天午夜看片网址已經知道，SSD的出現帶給存儲係統性能提升是革命性的，然而在當時的年代裏，SSD卻麵臨著“有力使不出”的瓶頸。

這是因為是當時的存儲係統都是麵向機械硬盤而設計的。早期的全閃或混閃陣列中很多是在使用傳統的存儲技術——SATA SSD，這類存儲基於AHCI(Advanced Host Controller Interface，高級主機控製器接口)命令協議。而AHCI是為機械硬盤而生，采用AHCI的SATA III總線隻允許數據傳輸速度達到600MB/s。

因此，為了讓SSD在存儲中跑得更暢快，NVMe規範誕生了。

NVMe全稱是Nonvolatile Memory Express（非易失性內存標準），NVMe是一種基於性能並從頭開始創建新存儲協議，它可以使午夜看片网址能夠充分利用SSD和存儲類內存（SCM）的速度。

NVMe替代了原有的AHCI規範，並且軟件層麵的處理命令也進行了重新定義，不再采用SCSI／ATA命令規範。並且NVMe SSD利用了計算機或服務器中的PCIe高速總線，將其直接連接到計算機，從而減少了CPU開銷，簡化了操作，降低了延遲，提高了IOPS和吞吐量。

什麽是端到端NVMe？

關注戴爾易安信的童鞋一定經常看到，當午夜看片网址在描述PowerMax或PowerStore時，會常常使用到支持“端到端NVMe”這個詞匯。其實，這也意味著SSD的性能還能得到進一步的釋放。

這是因為當時的全閃存陣列大部分是在存儲後端支持NVMe SSD，與使用SATA或SAS SSD的全閃存陣列相比，確實帶來了性能的提升。然而，這並不意味NVMe SSD已經發揮出了它的性能極限。事實上，NVMe SSD全閃存陣列理論上可以提供更大的性能提升——比使用SAS和SATA SSD的全閃存陣列多10倍性能。

這種巨大的性能差異源於這樣一個事實，即當時的全閃存陣列控製器架構也是為了適應機械硬盤而設計的，而在使用NVMe SSD時，這種控製器就成為了阻礙，為此，陣列控製器以及存儲網絡協議必須不斷發展。

而NVMe over Fabrics（簡稱NVMe-OF）的出現，就是將NVMe應用到前端，作為存儲陣列與前端主機連接的通道，取代過去的FC、iSCSI。由此，主機可以使用本機NVMe協議直接與NVMe SSD通信，進一步提高性能和降低延時。

說到這兒，小編必須要提一下2016年發布的DSSD D5存儲，它是戴爾易安信推出的業界初款端到端NVMe存儲。這款存儲專為性能而生，其控製器、閃存模組到前端主機I/O卡全都是專屬規格，其性能可達到千萬級的IOPS和100 GB每秒的吞吐量，而且延時能則降到100微秒——性能數據足以秒殺當前市麵上任何一款存儲係統。

不過，也許是因為設計理念太過超前，這款產品並沒有延續下去，而是轉化為寶貴的技術資產，戴爾易安信PowerMax和PowerStore上所支持的端到端NVMe技術，實際上就有來自DSSD的技術積澱。

戴爾易安信PowerStore采用英特爾®至強®可擴展處理器,該處理器可以優化工作負載,可靠性強,還有高計算力、高穩定性和高效敏捷性，不僅幫助PowerStore輕鬆滿足既定工作負載，也可以為數字化變革做好準備。

不是所有NVMe都是相等的，這就是為什麽NVMe-OF很重要。

今天，NVMe由於其低延遲和高吞吐量的多任務處理速度而變得越來越受歡迎。雖然NVMe也用於個人計算機中以改進視頻編輯，遊戲等，但通過NVMe-oF，企業中可以看到真正的好處，特別是在分秒必爭的企業場景。如實時客戶互動，人工智能 (AI)、機器學習 (ML)等。處理和訪問數據的速度越快，對業務就越能帶來價值。

版本，避免勒索病毒通過未修複的漏洞進行攻擊。內外網分開，嚴格的防火牆策略，嚴禁未經授權的訪問等等。這些都是基本的防禦措施，可以在一定程度上防止勒索病毒攻擊。

但請注意，對於有組織的、內外結合的且以勒索贖金為目的勒索病毒攻擊，這些基本措施是很難完全有效的！

國家保密局官網轉載了《保密科學技術》雜誌2018年12月刊的文章，文章中提到防範勒索病毒需要係統治理，構建多層防禦。特別指出了可參考美國國家標準技術研究院（NIST）發布的旨在幫助遭受勒索病毒攻擊的企業恢複數據的專門指南，構建防禦體係。

在NIST網絡安全參考架構中，包含了識別、保護、檢測、響應和恢複等五個環節，五個環節是一個整體，相輔相成，構成一個多層次的防禦體係。其中保護環節是容易被用戶疏忽的環節。如前麵談到，僅僅依靠通用的數據備份係統是無法防止勒索病毒攻擊的。

因此，保護是NIST架構中非常重要的一環，又是容易被用戶忽視的一環。隻有保護有效，才能在遭受勒索病毒攻擊後，進行有效的恢複。NIST網絡安全參考架構如下圖所示▼

什麽樣的數據保護

能夠在病毒攻擊後恢複數據？

午夜看片网址看到，在NIST網絡安全參考架構中，保護變成極為重要的一環，如何才能有效保護數據呢？基於數據保護的較佳實踐，戴爾科技提出了建立備份、容災和Cyber Recovery多重數據保護的較佳數據保護能力模型，即：

❶ 對所有業務相關的數據都要進行本地備份，做到基本的保護。

❷ 對關鍵業務數據，除了本地備份外，還要做到異地容災，防止站點級別的災難。

❸ 對於至關重要的數據，除了建立本地備份和異地容災外，還需要建立防止勒索病毒的Cyber Recovery Vault數據避風港，防止數據被勒索病毒綁架後，需要付出巨大代價恢複數據。

怎樣建立完善的Cyber

Recovery Vault數據避風港？

組織要建立完善的Cyber Recovery Vault數據避風港，可以遵循以下幾個步驟：

 初步：優化已有的備份係統，包括：

❶ 優化備份係統的第 一招，叫“離”，即備份服務器盡量遠離容易受勒索病毒攻擊的平台，具體措施包括選擇不容易受勒索病毒感染的操作係統，及時修複軟件漏洞，保持較新的操作係統補丁等。同時，備份索引必須在備份作業完成後自動備份到備份設備。防止備份服務器被勒索病毒綁架後，備份索引丟失而無法恢複數據。

❷ 優化備份係統的第二招，叫“舍”，即備份過程必須通過重複數據刪除技術，舍去大量重複數據，提高備份效率，確保較高效的方式快速完成備份，以便為接下來將備份數據複製到Cyber Recovery Vault數據避風港做好準備。

❸ 優化備份係統的第三招，叫“斷”，即斷開備份主機與備份儲存的直接聯係，較大程度地避免備份主機及備份數據同時被勒索病毒感染。這裏的“斷”，指的是隻能通過專用協議才能訪問，不能通過NFS、CIFS、ISCSI/FC等通用協議直接讀寫，通過專用的協議，可做到傳輸加密，備份數據加鎖等功能。

第二步：建立Cyber Recovery Vault數據避風港，包括：

❶ 在上一步優化備份係統的的基礎上，將數據快速複製到Cyber Recovery Vault數據避風港，同時利用Air Gap技術設置自動的網絡彈性隔離，通過Air Gap技術，使得數據中心與Cyber Recovery Vault數據避風港之間的連接隻有在數據複製期間連通，其他時間網絡自動斷開，且所有的網絡訪問都是從Cyber Recovery Vault數據避風港單向發起訪問，較大限度地減少網絡攻擊入侵Cyber Recovery Vault數據避風港的風險。

❷ 數據複製到Cyber Recovery Vault數據避風港後，對數據進行快照拷貝，並鎖定數據，在鎖定期間，不容許篡改！這一招可簡單稱為“鎖”。

❸ 數據鎖定後，還需要對數據進行掃描，通過AI/機器學習等算法，偵測數據是否完整，是否被破壞或者加密，形成分析報告。這一招可簡單稱為“偵”。

Cyber Recovery Vault數據避風港架構示意圖如下所示▼

通過以上兩個步驟，可以說已經建立起了比較完善的Cyber Recovery數據避風港。基於前麵提到的較佳數據保護能力模型，戴爾科技集團建議企業級用戶建立覆蓋備份、容災、Cyber Recovery全方位的數據保護。通過戴爾科技集團業界領先的數據保護套件DPS suites和專用備份設備PowerProtect DD或者備份一體機IDPA進行構建。

下圖顯示了戴爾科技集團全麵數據保護解決方案體係結構概覽。這個體係完美契合前麵所討論的較佳數據保護能力模型，亦具備“斷”、“舍”、“離”、“鎖”、“偵”等特點，完全符合NIST網絡安全架構的較佳實踐，可幫助企業級客戶有效抵禦勒索病毒攻擊、內部惡意刪除、數據中心災難等，為企業的發展保駕護航。

與其“亡羊補牢”，不如“未雨綢繆”，麵對來勢洶洶的勒索病毒，組織隻有建立更完備的數據安全策略，拋棄一切遭遇不可能發生在自己身上的幻想，腳踏實地做好數據保護，遵循較佳數據保護能力模型，建立起備份+容災+Cyber Recovery的多重數據保護係統，才能在防不勝防的風險中確保組織的數據安全。

戴爾科技集團Cyber Recovery網絡恢複軟件及服務，提供了業務彈性和從勒索病毒攻擊中的數據恢複能力。創新的自動化、工作流程和安全分析工具，結合分層的數據保護方法，能夠確保關鍵數據的重要副本被隔離但仍然可用，使企業免遭各種惡意網絡攻擊的威脅，支持企業盡快恢複業務流程。

讓身處數字時代的企業能夠能把數據保護主動權握在手中，為數據驅動價值構築安全防線。煙台午夜福利理论片在线观看