• support@thclouds.com
  • +400-990-1512

项目需求

  •     金融数据归档平台 是东方财富信息股份有限公司一个重要的数据归档平台,金融数据的可靠性和安全性非常重要。为保证数据的安全性,东方财富要求数据在传输过程以及静态存储时均必须加密。
  •     东方财富建设了一条AWS Direct Connect专线用于连接AWS公有云,并为实现高可用设计配置了备用的 VPN 链路。通过这条 AWS Direct Connect线路,本地数据中心管理员将定时的完成数据到云上对象存储的同步。同时,东方财富也期望能尝试使用公有云上托管的数据分析服务,构建一个小型、敏捷的云分析平台。
  •     此次在AWS(AWS 北京区域)进行系统部署。

架构图

架构图

架构设计

在本方案中,为了实现项目需求中平台的搭建,我们将主要采用以下技术方法来实现架构设计和部署

  • • 通过Amazon Virtual Private Cloud 实现隔离的应用网络环境;
  • • 在多个可用区创建私有子网;
  • • 在私有子网中创建一个Amazon Elastic Compute Cloud 管理服务器用于管理目的,通过AWS Direct Connect 或VPN 连接到管理服务器;
  • • 通过AWS Direct Connect 的公共VIF 连接到Amazon Simple Storage Service;
  • • 通过AWS Direct Connect Private VIF 连接到Amazon Virtual Private Cloud;
  • • 部署并配置在本地数据中心的 Veritas NetBackup产品,将AWS的Amazon Simple Storage Service配置为备份目的地,配置定时任务(每日)通过本地数据中心到AWS之间的 Direct Connect网络将数据定期同步到Amazon Simple Storage Service;
  • • 使用Amazon Simple Storage Service 作为金融数据归档平台的主存储,并配置Amazon Simple Storage Service 后端KMS 加密机制;
  • • Amazon Simple Storage Service 中的文件级访问日志通过Cloudtrail 进行监控,访问记录可以通过Amazon Athena 轻松查询。
  • • 根据数据保留规则和计划,使用Amazon Simple Storage Service 生命周期规则,自动完成数据到不同Amazon Simple Storage Service 存储类型的转换,以获得最具成本效益的解决方案。将文件传输到智能分层或 Glacier 或 Glacier Deep Archive 等。
  • • 无法立即访问存储在Amazon Simple Storage Service Glacier 或Amazon Simple Storage Service Glacier Deep Archive 存储类中的Amazon Simple Storage Service 对象。要访问这些存储类中的对象,必须将对象的临时副本恢复到 Amazon Simple Storage Service 存储桶。 AWS 有不同的数据恢复方法,例如加急/1-5 分钟、标准/3-5 小时、批量/5-12 小时。
  • • 使用Amazon EMR / Amazon Athena 等数据分析服务进行小规模数据分析尝试。

安全设计

在本方案中除了实现业务需求和技术需求,我们也将针对项目中所涉及的信息在数据传输安全、数据存储安全方面进行良好的规划、设计和协助部署。包括:

  • • AWS Identity and Access Management (IAM)安全设计
    •     o 确认用户、组、角色、联合认证设计、命名及安全规范标准;
    •     o 编制用户、组、角色、联合认证设计列表,制定各部门权限并和用户确认并调整
  • • 网络安全设计
    •     o Amazon Virtual Private Cloud (Amazon VPC)、子网、网络地址数量规模、命名规范、以及基础网络环境互通策略
    •     o 编制Amazon Virtual Private Cloud (Amazon VPC)、子网、网络地址、弹性IP地址、NAT网关设计列表及基础网络访问控制,和用户确认并调整
    •     o 网络安全组、网络访问控制列表设计
    •     o 确认各个应用系统的关联关系和子网流量控制策略规划,确认运维管理的安全组策略
    •     o 编制网络安全组策略列表、NACL以及子网关联和路由策略列表,请用户确认并调整
  • • 存储安全设计
    •     o 确认数据分类、保密级别等要求
    •     o 确认各部门、人员对数据访问的权限设计
    •     o 确认需加密存储的数据范围
    •     o 设计针对 AMAZON Elastic Block Store(Amazon EBS)、Amazon Simple Storage Service(Amazon S3)、Amazon Relational Database Service(Amazon RDS)、Amazon Elastic File System 等存储的数据加密方式
    •     o 设计相应的数据访问权限,如 Amazon Simple Storage Service(Amazon S3) Access Control List、AWS Identity and Access Management (IAM) Policy 等
  • • 日志/审计安全设计
    •     o 确认企业安全合规对于日志管理的要求,日志收集范围,日志存放方式以及日志生命周期保留策略
    •     o 编制日志收集策略、存储桶列表,请用户确认并调整
    •     o 确认企业安全合规对于安全审计的要求,建议开启 AWS Cloudtrail、AWS Config 等服务监控
    •     o 指导用户完成AWS Cloudtrail、AWS Config 等服务监控的查看和分析,并协助制定相应的应急措施

成果

  • • 整个系统的数据传输效率、存储成本和安全性满足客户的需求:
  • • 通过使用 AWS Direct Connect,数据传输效率大大提高。借助 AWS Direct Connect 的 1Gb 带宽,每天可以将大约 7TB 的数据传输到 Amazon Simple Storage Service;我们还配置和部署 VPN 网络链接作为 AWS Direct Connect 的冗余备份。
  • • 通过使用 Amazon Simple Storage Service,并通过 Amazon Simple Storage Service 提供的生命周期策略,大幅降低总长期存储的 TCO,比使用本地磁带库的 TCO 降低约 40%;
  • • 通过使用 Amazon Simple Storage Service Glacier 的加速恢复模式,归档数据(50GB)的恢复时间仅需 10 分钟,远低于用户预期的 30 分钟要求;
  • • 通过配置 Amazon Simple Storage Service 存储加密和访问审计日志,可以满足客户的数据安全和合规要求。

合作伙伴