发布日期: 2023-03-31
-------------------------行业背景与趋势------------------------ 随着移动互联网普及和云计算、数据智能产业的不断发展,数字工作空间成为企业IT基础能力平台之一。在数字工作空间中,企业团队能够应用最新的科技能力安全地完成内外部协作,还能深度沉淀和高效复用知识,实现工作质量与效率的全面提升。在新冠疫情的背景下,在线办公逐渐成为新常态,企业对构建数字工作空间的需求在加速攀升。 联想Filez作为在企业网盘和在线文档两个赛道的市场和技术领航者,结合亚马逊云科技在云计算和对象存储领域的技术优势,打造了联想Filez+ Amazon S3的多云融合部署方案,为各行各业提供智能安全的文档管理手段,驱动企业业务高效运转。 -------------------------当前行业面临的挑战------------------------
当下企业存储数据转移的模型正在逐渐形成。现在的每一天都有海量的新数据被创建,如何安全便捷的获取并应用这些数据便成了当下一大课题。不仅如此企业还会面临纷繁复杂的需求与挑战:
•据权威数据统计,有大约42%的企业遭受过由于个人电脑损坏、数据丢失或员工离职交接导致的数据事故,并造成不同程度的损失,同时传统的存储方式存在诸多的安全隐患,极易造成泄露事故。如何保证员工办公数据存储以及安全性,是我们进行信息化建设过程急待解决的问题。
•随着非结构化数据的存储规模和复杂程度不断提高,特别对于大数据中海量文件的存储技术的实现,传统的存储方式在这样的场景下就显得捉襟见肘,大多数企业正在寻求成熟及领先的技术,以提高数据的存储可靠性,并通过弹性扩展机制保证了系统的延展性和高性能。
•随着移动办公能力的不断完善,特别是疫情常态化以来,远程、在线的协作式办公需求爆发式增长,而目前企业的文档编辑大都还停留在本地桌面端单人进行,跨部门、多人员的编辑场景很容易造成过程繁琐、版本冲突,极大的降低了工作效率与积极性,如何解决文档的多人实时参与并保证内容的安全,将是企业数字化进程的关键一步。
•当前经济形势下,企业出海打造全球市场正逐步成为了很多企业核心的战略举措,但是在当前的网络架构下,企业要实现高速的跨国访问往往要投入高额的成本,同时受限于欧盟GDPR保护条例,如何实现覆盖全球的高速传输并满足当地的安全准则,已经成为中国企业能否成功“走出去”的关键。
-------------------------解决方案-------------------------
纵观行业诸多挑战,联想Filez联合亚马逊云科技,基于云计算的优秀架构,应用面向未来的全容器微服务框架,完善的DevOps体系,可以支持与企业级的云平台与对象存储有效融合,持续集成、持续升级,为企业各种应用场景提供海量文件集中管理、共享和协作能力,通过高性能、高扩展的基础平台优势,实现企业数据安全管控的一整套多云融合解决方案。
云上架构解析
联想Filez,云上应用部分,基于SaaS的云上资源,采用开源堆栈(K8S+Docker)进行容器化,所有Filez服务,均运行在Pod中,根据监控状态,动态进行pod伸缩。
基于微服务架构提高灵活性和可维护性,借助敏捷方法、DevOps支持持续迭代和运维自动化,利用云平台设施实现弹性伸缩、动态调度、优化资源利用率,满足百万、千万级的用户并发访问。
租户共享同一个元数据库、同一个基础架构,产生的元数据均存在云上部分,应用计算模块分通道执行,既保证高效大数据处理能力,又保证数据本地化安全管理。支持用户根据所在任意位置均可访问,包括互联网、内网、专线等。
联想Filez,通过灰度发布技术,确保自动化迭代服务稳定可用,升级步骤可分为QA、灰度、正式环境、VIP客户公有环境、融合云环境的升级,升级过程逐级进行,每个环境运行一周无问题,自动开启下个环境的升级任务。升级过程一旦出现问题,马上执行回滚操作,确保用户访问不受影响。
云下架构解析
联想Filez云下部分,充分利用AWS自身优势的EC2、S3、VPC等基础资源,在AWS数据中心部署传输节点和预览/编辑等功能模块,构建基于Amazon S3的海量数据本地存储中心,与联想Filez云上部分打通形成运维与管理统一的多云融合部署方案。数据传输节点,通过在VPC虚拟网络内部构件融合云节点,类似于IDC存储服务器,使用一台单独的EC2,负责数据的传输。传输节点的用户需要提供S3桶位置,授权传输节点S3桶读写和管理权限。对于一个高级的用户,需要预览编辑等功能模块,这个是作为Filez的一个增值模块,提供更高级的服务,需要提供额外的一台EC2服务器,作为数据缓冲节点。
传输节点最核心的部分是AWS的对象存储S3。S3是AWS 2006年最早推出的服务,作为云盘的核心基础服务,S3不仅提供存储和传输的安全可验证的加密,同时提供数据完整性校验机制。对数据的访问控制方面,可以结合AWS强大的IAM策略机制,ACL访问控制机制,以及VPC端点访问控制实现灵活的访问策略。最后使用AWS自身的监控工具CloudWatch,以及特有的服务Macie可以来实现对数据的监控和敏感访问探测。
加密存储和传输
Amazon S3 支持服务器端加密(提供三个密钥管理选项:SSE-KMS、SSE-C、SSE-S3)和用于数据上传的客户端加密。Amazon S3 提供了灵活的安全功能,用于阻止未经授权的用户访问数据。使用 HTTPS (TLS) 帮助防止潜在攻击者使用中间人攻击或类似攻击来窃听或操纵网络流量。在 Amazon S3 存储桶策略上使用 aws:SecureTransport 条件,以只允许通过 HTTPS (TLS) 的加密连接。
保证数据完整性
S3支持4种校验算法(SHA-1、SHA-256、CRC32 和 CRC32C),以便对上传和下载请求进行数据完整性检查。在存储或检索 Amazon S3 中的数据时自动计算验证校验和,并且可以随时使用 GetObjectAttributes S3 API 或 S3 清单报告访问检验和信息。
Identity and Access Management
使用 IAM 角色来管理需要访问 Amazon S3 的应用程序或服务的临时凭证。在使用角色时,不需要将长期凭证(如用户名和密码或访问密钥)分配给 Amazon EC2 实例或 AWS 服务(例如 AWS Lambda)。角色可提供临时权限供应用程序在调用其他 AWS 资源时使用。
VPC端点限制数据访问和阻止数据泄漏
Amazon S3 的 VPC 端点提供多种方式来控制对 Amazon S3 数据的访问:
1. 可以控制允许通过特定 VPC 端点访问的请求、用户或组。
2. 可以使用 S3 存储桶策略控制哪些 VPC 或 VPC 端点有权访问 S3 存储桶。
3. 使用没有 Internet 网关的 VPC 来阻止数据泄露。
访问控制列表 (ACL)
Amazon S3 对象所有权禁用了访问控制列表 (ACL),将所有对象的所有权更改为存储桶拥有者,并简化了对存储在 S3 中的数据的访问管理。 配置 S3 对象所有权存储桶拥有者强制设置时,ACL 不存储桶及其中对象的权限。所有访问控制都将使用基于资源的策略、用户策略或这些策略的某种组合来定义。
AWS CloudWatch实施监控和
Macie敏感数据保护
CloudWatch 监控是保证 Amazon S3 和 AWS 解决方案的可靠性、安全性、可用性和性能的重要部分。AWS 提供了一些可用来监控 Amazon S3 和其他 AWS 服务的工具和服务。例如,可以监控 Amazon S3 的 CloudWatch 指标,特别是 PutRequests、GetRequests、4xx Errors 和 DeleteRequests。
Amazon Macie 大规模探索和保护 Amazon S3 中的敏感数据。Macie 通过扫描存储桶来识别和分类数据,从而自动提供完整的 S3 存储桶清单。列举出符合这些敏感数据类型的任何数据的可行性的安全发现,包括个人身份信息 (PII)(例如客户姓名和信用卡号码)和隐私法规(如 GDPR 和 HIPAA)定义的类别。Macie 还可以自动并持续评估任何未加密、可公开访问或与组织外的账户共享的存储桶的存储桶级预防控制措施,从而快速解决存储桶上的意外设置。
全球数据加速
联想Filez公有SaaS平台拥有7个国内数据中心、25个全球数据中心,全面覆盖了五大洲的文件交互。利用跨国传输能力,低成本实现品质级传输,让海外的同事、客户享受到本地化的文件传输速度,降低成本,保障品质。
1) 联想Filez的路由分发服务是根据全球的IP地址区域分布表和联想全球数据中心分布情况动态调整用户“抵近”节点的一个服务。
2) 通过全球DNS的分布式的解析,实现各个区域的高效访问。可以根据用户的请求位置(IP地址)来划分数据中心。
3) 独特的TCP协议加速,彻底解决TCP慢启动问题和长肥管道问题,让偏远地区,网络高延迟地区的访问速度得到优化,使用联想Filez相比FTP数据传输,性能提升最高达100倍。
4) 通过将数据在TCP管道内进行压缩去重,接受数据传输量。
5) 全球5大洲建立25个数据中心,包含国内7个数据中心,保证在全球范围内文件传输无阻碍。
6) 国内接入全球高速骨干网络,保证带宽和服务品质,境内外数据中心均可高速上传下载。
7) 全球高质量的基础设施建设,保证跨区域传输无死角。
8) 利用亚马逊全球数据中心实现海外合规区的独立数据存储部署,可以通过亚马逊数字海关进行数据出境检测,以及利用Transit Gateway SDWAN来进行接力加速。
零信任安全架构
联想Filez基于零信任安全架构,提供了文件和内容的全生命周期的安全体系。准入控制手段丰富,无论是双因子、设备绑定、还是IP地址、抑或是密码策略,均支持自由组合,多层叠加,确保非法用户无法破解。
数据在传输过程中全程加密,保证文件传输不落地。底层数据存储采用基于Hash算法的“碎片化加密”技术,确保存放的数据安全可靠。
系统提供数据全生命周期安全保障,从数据的产生、数据的备份,到数据的共享协作,再到数据的分享,提供全流程的控制策略。基于RBAC模型而设计的丰富的权限管理体系,提供了11种基础原子权限、12种权限模板,自定义权限150余种,覆盖各种业务场景。
同时凭借zOffice在线文档,不论是word、Exce都可以提供关键内容数据保护,不同的人有不同的权限,避免多人编辑时候的相互干扰,保证正确的数据输入。对于在线编辑的敏感数据,可以在提供信息的用户之间进行数据隔离,这样每个人只能查看/输入自己负责的数据,其他人输入的数据处于隐藏状态,更好的满足企业和组织对信息安全管控的要求。
-------------------------方案价值传递-------------------------
联想Filez与亚马逊云科技强强联手,联合推出了多云融合部署解决方案,利用Amazon S3的对象存储能力,借助行业领先的可扩展性、数据可用性、安全性和高性能,为企业级用户提供了海量数据的专有空间。同时结合构建在联想Filez云上的空间,与亚马逊海外数据中心的合规存储区,提供了基于零信任访问的安全体系,解决了全球数据的高效传输,打造企业统一的文档管理与协作空间,同时满足《数据安全法》、《个人信息保护法》、《GDPR》等合规性要求。
联想Filez凭借稳定运营10余年的SaaS服务,能够帮助企业在复杂的网络和安全环境下与企业内外部、上下游沟通,进行跨地域、跨组织的文件与内容协作,并沉淀企业数字资产,提升办公效率与质量。联想Filez多年占据企业网盘市场份额第一,是中国内容协作领域的领导品牌。
如果您的公司正在面临文件跨国传输相关的问题,希望获得更详细的解决方案,可以联系在线客服或者扫码直接添加联想Filez专属顾问,我们将为您提供最好的解决方案。