想“刪庫(kù)跑路”？沒門兒！

在IT行業(yè)，有一個(gè)流傳多年的經(jīng)典段子——“刪庫(kù)跑路”。

雖然很多人把它當(dāng)成段子，但在真實(shí)世界里，這類事情并不完全是玩笑。在企業(yè)IT環(huán)境中，總有一些操作屬于“高風(fēng)險(xiǎn)級(jí)別”：刪除關(guān)鍵卷、清除文件系統(tǒng)、修改關(guān)鍵系統(tǒng)配置……

這些操作一旦執(zhí)行，往往很難撤回。

如果是惡意行為，后果可能不亞于一次嚴(yán)重的網(wǎng)絡(luò)攻擊。而如果只是一次普通的誤操作，影響同樣可能波及整個(gè)業(yè)務(wù)系統(tǒng)。

現(xiàn)實(shí)情況是，大多數(shù)IT事故并不是因?yàn)榧夹g(shù)復(fù)雜，而是因?yàn)橐粋€(gè)簡(jiǎn)單的問題：某些關(guān)鍵操作，只需要一個(gè)人就可以完成。

而在這個(gè)數(shù)據(jù)成為企業(yè)最核心資產(chǎn)的時(shí)代，這樣的設(shè)計(jì)顯然存在隱患。隨著企業(yè)對(duì)數(shù)據(jù)安全與運(yùn)維治理要求不斷提高，一個(gè)問題也變得越來(lái)越重要：

關(guān)鍵操作，是否應(yīng)該由一個(gè)人單獨(dú)決定？

在最新的PowerStoreOS 4.3中，戴爾科技為這個(gè)問題提供了一個(gè)清晰的答案。

從“單人操作”到“雙人確認(rèn)”

PowerStoreOS 4.3增加了一項(xiàng)新的安全能力：Multiparty Authorization（MPA，多方授權(quán)）。顧名思義，這是一種關(guān)鍵操作需要多方確認(rèn)的安全機(jī)制。

當(dāng)MPA啟用后，一些具有高影響風(fēng)險(xiǎn)的管理操作不再立即執(zhí)行，而是會(huì)進(jìn)入待審批狀態(tài)，系統(tǒng)會(huì)生成一條操作請(qǐng)求，需要由另一位具備授權(quán)權(quán)限的管理員進(jìn)行審批，操作才會(huì)真正生效。

換句話說(shuō)：

任何可能影響關(guān)鍵數(shù)據(jù)或系統(tǒng)穩(wěn)定性的操作，都不再由一個(gè)人單獨(dú)完成。

這種機(jī)制在安全領(lǐng)域其實(shí)并不陌生。在金融、航空、能源等高安全要求行業(yè)中，Dual Control（雙重控制）早已是標(biāo)準(zhǔn)實(shí)踐。例如金庫(kù)操作、關(guān)鍵系統(tǒng)切換等，都需要至少兩名人員共同確認(rèn)。

PowerStoreOS 4.3將這一成熟的安全原則引入到企業(yè)數(shù)據(jù)基礎(chǔ)設(shè)施之中，使關(guān)鍵操作從“個(gè)人行為”變成可控制、可審批、可追溯的流程。

在啟用MPA后，PowerStore會(huì)對(duì)部分關(guān)鍵操作增加審批流程。當(dāng)管理員嘗試執(zhí)行這些操作時(shí)，系統(tǒng)不會(huì)立即執(zhí)行，而是：

1、生成操作請(qǐng)求

2、進(jìn)入待審批狀態(tài)

3、第二位授權(quán)管理員審批或拒絕

4、操作真正執(zhí)行或終止

整個(gè)流程能夠被完整記錄，操作請(qǐng)求、審批人和審批結(jié)果都可以在系統(tǒng)中進(jìn)行審計(jì)和追蹤。通過這種方式，PowerStore在系統(tǒng)層面為關(guān)鍵操作增加了一道明確的安全閘門。

MPA解決的，不只是安全問題

從表面上看，MPA是一個(gè)安全功能。但在實(shí)際企業(yè)環(huán)境中，它帶來(lái)的價(jià)值遠(yuǎn)不止于此。

第一，防止誤操作

在真實(shí)的運(yùn)維環(huán)境中，很多事故并不是攻擊造成的，而是誤操作。而MPA相當(dāng)于為關(guān)鍵操作增加了一次“冷靜期”， 當(dāng)?shù)诙还芾韱T對(duì)操作進(jìn)行審核時(shí)，很多潛在問題往往可以被及時(shí)發(fā)現(xiàn)。

第二，提高運(yùn)維透明度

在傳統(tǒng)環(huán)境中，很多關(guān)鍵操作只存在于管理員的操作記錄里。而在MPA機(jī)制下，操作請(qǐng)求、審批記錄、審批人、操作結(jié)果等都會(huì)被系統(tǒng)記錄。這意味整個(gè)過程更可追溯、可審計(jì)。

第三，讓安全策略落到系統(tǒng)層面

很多企業(yè)其實(shí)已經(jīng)有變更審批流程、IT治理規(guī)范或較完善的運(yùn)維管理制度，但如果這些流程完全依賴人工執(zhí)行，在緊急操作或壓力環(huán)境下，很容易被繞過。而MPA的價(jià)值在于——把治理規(guī)則寫進(jìn)系統(tǒng)。安全策略不再只是流程文件，而是直接由系統(tǒng)進(jìn)行強(qiáng)制執(zhí)行。

PowerStoreOS 4.3持續(xù)演進(jìn)

過去，企業(yè)數(shù)據(jù)安全更多關(guān)注的是“如何防止攻擊”，而現(xiàn)在，越來(lái)越多企業(yè)開始關(guān)注“當(dāng)事情發(fā)生時(shí)，如何避免災(zāi)難性后果”。這就是所謂的數(shù)據(jù)韌性。

在這個(gè)體系里，企業(yè)需要同時(shí)具備：

身份認(rèn)證與訪問控制

操作審計(jì)與合規(guī)能力

數(shù)據(jù)保護(hù)與恢復(fù)能力

關(guān)鍵操作與安全控制

MPA正是其中一個(gè)非常重要的環(huán)節(jié)，它的意義并不只是防止“刪庫(kù)跑路”，而是讓企業(yè)數(shù)據(jù)系統(tǒng)在面對(duì)攻擊、誤操作或內(nèi)部風(fēng)險(xiǎn)時(shí)，擁有更多緩沖空間。

事實(shí)上，MPA只是PowerStoreOS 4.3眾多更新中的一項(xiàng)。在這一版本中，PowerStore帶來(lái)了數(shù)十項(xiàng)功能增強(qiáng)，從平臺(tái)能力到安全控制持續(xù)演進(jìn)，使企業(yè)在日常運(yùn)維與數(shù)據(jù)保護(hù)之間能夠建立更加穩(wěn)健的安全邊界。

通過不斷完善關(guān)鍵操作控制、訪問管理與數(shù)據(jù)保護(hù)機(jī)制，PowerStore正在幫助企業(yè)構(gòu)建更加可靠的數(shù)據(jù)基礎(chǔ)設(shè)施環(huán)境，并逐步向零信任安全理念與網(wǎng)絡(luò)韌性架構(gòu)對(duì)齊。

這些能力的持續(xù)演進(jìn)，也體現(xiàn)了PowerStore設(shè)計(jì)理念的一部分——不僅關(guān)注性能與效率，同樣關(guān)注數(shù)據(jù)安全與業(yè)務(wù)穩(wěn)定性。