混合云架構的信息安全特點與優勢：以印象筆記信息安全實踐為例

唐毅　岳峰

摘? 要： 印象筆記自2012年5月推向中國市場以來，經過數年的穩步發展，如今已積累了數千萬的注冊用戶，十余億條筆記數據，同時仍然保持著用戶數量和數據存儲量的快速增長。印象筆記成立初期，公有云市場尚未發展成熟，公有云服務的安全性、可靠性、健壯性等關鍵指標未經過充分驗證，因此2012年印象筆記采用了在IDC數據中心部署私有云的方式，通過合理的高可用架構設計和完備的數據安全保護方案，以相對較低的運營維護成本，向廣大用戶提供安全、穩定、高效、高質的服務。

關鍵詞： 混合云;信息安全;高可用性;數據備份

中圖分類號： TP393.08? ? 文獻標識碼： A? ? DOI：10.3969/j.issn.1003-6970.2019.07.033

【Abstract】： Since Yinxiang Biji service was introduced to the Chinese market in May 2012， after several years of growth， it has already had tens of millions of registered users and more than one billion notes safely stored， and the numbers are still rapidly increasing. Back in 2012， the public cloud market was not ready for production services yet and some of the key features such as security， reliability and robustness of public cloud services had not been fully verified. Therefore， in 2012， Yinxiang Biji deployed its own private cloud in IDC data centers， to achieve both high availability and data security solutions， and provide safe， stable， efficient and high quality service to the end users at lower operation and maintenance costs.

【Key words】： Hybrid cloud; Information security; High availability; Data redundency

0? 引言

印象筆記自2012年5月推向中國市場以來，經過數年的穩步發展，如今已積累了數千萬的注冊用戶，十余億條筆記數據，同時仍然保持著用戶數量和數據存儲量的快速增長。印象筆記成立初期，公有云市場尚未發展成熟，公有云服務的安全性、可靠性、健壯性等關鍵指標未經過充分驗證，因此2012年印象筆記采用了在IDC數據中心部署私有云的方式，通過合理的高可用架構設計和完備的數據安全保護方案，以相對較低的運營維護成本，向廣大用戶提供安全、穩定、高效、高質的服務。

1? 混合云架構背景

近年來，以AWS、騰訊云、阿里云為代表的公有云服務商持續發展完善，公有云服務在成本控制、功能集合、高可用性、高可擴展性方面的優勢愈發明顯。為了向用戶提供更優質的服務和更豐富的功能，印象筆記結合自身產品特點、未來技術規劃，以及國內外信息技術領域的發展趨勢，于2017年中制定了將核心服務和數據基礎架構設施遷移至公有云平臺的計劃，同時一部分安全相關的專用硬件設備、郵件發送服務、核心數據的備份、Mac/Windows 系統的編譯測試集群等無法部署于公有云的組件，繼續保留在IDC數據中心，從而形成了IDC/公有云混合部署的架構體系[1]。

這種混合架構體系為印象筆記服務架構提供了更高靈活性和擴展性，同時也帶來了新的挑戰，即如何保障數據傳輸和存儲的安全性和可靠性。因此，從基礎構架出發，采用了如下幾個方案，最大限度的保證印象筆記服務和數據的安全性，可用性。

2? 數據中心/公有云間通信安全保障

混合云架構中不可缺少的是連接公有云和IDC數據中心的高速專線網絡。印象筆記采用了兩條光纖專線，互為備份。這些專線由SDN服務商提供，在傳輸過程中，數據不可避免的會與該服務商的其他租戶共享相同的物理鏈路。為了防止印象筆記的數據被非法竊取甚至惡意篡改，在專線上層又增設了自有IPSec[2]數據加密通道，通過高強度的256位加密算法，對在IDC 與公有云之間進行傳輸的所有數據進行加密。隨之帶來的負面影響是網絡架構復雜度增加，數據傳輸的性能和帶寬也有部分損耗。

為了保障IPSec加密通道本身的高可用性和穩定性，通過部署keepalived[3]和路由策略，在IPSec通道兩端實現了故障自動監測和切換的功能。正常情況下多條IPSec通道共同使用兩條光纖專線。當某條IPSec通道出現故障時，其上加密數據傳輸將自動切換至其它可用通道。當某條底層光纖專線出現故障時，運行在其上的原有加密通道自動切換至另外可用的專線上。極端情況下，如果兩條光纖專線同時故障，IPSec加密通道仍可自動啟用公網線路進行數據傳輸。由于公網線路帶寬無法保障，此時會優先傳輸生產系統相關數據。

3? 數據可用性保障

數據是印象筆記服務的核心。數據可用是服務可用的必要條件。經過七年的不間斷運營，目前印象筆記服務的數據總量已經達到PB級，主要為用戶帳戶信息數據（注冊，升級等），用戶保存筆記數據（含筆記附件及搜索索引數據）。其中需要頻繁更新的事務型數據保存在關系型數據庫[4]中，而對于主要以讀取操作為主的筆記附件數據，則以文件對象的形式保存。