Resumen técnico

Ejecutar en cualquier lugar, escalar en todas partes

Cloud Data Fabric de Qumulo le permite ampliar o integrar fácilmente sus aplicaciones en cualquier entorno, ubicación y plataforma. Ofrece la única solución de datos no estructurados globalmente unificada e independiente de la plataforma que admite todos sus flujos de trabajo empresariales, de nube híbrida y de múltiples nubes. El sistema de archivos escalable de Qumulo y las potentes herramientas WebUI y CLI simplifican la gestión de datos, tanto si los necesita para sus flujos de trabajo más exigentes como para un almacenamiento rentable de archivos en la nube. Nuestra exclusiva arquitectura nativa de la nube le libera de las restricciones de plataforma y lugar, permitiéndole acceder a los datos desde cualquier lugar, ya sea en su centro de datos o en la nube.

Nuestro objetivo en Qumulo es hacer que el almacenamiento de datos no estructurados sea sencillo, escalable y global para la empresa moderna. Hacemos que sea sencillo proteger sus datos. Simplificamos la ejecución de sus flujos de trabajo más exigentes, ya sea en las instalaciones o en la nube. Simplificamos el almacenamiento en la nube híbrida.

Arquitectura de software de Qumulo

Hemos diseñado nuestra plataforma de almacenamiento como un servicio escalable y preparado para la nube que puede soportar cualquier flujo de trabajo basado en archivos en cualquier lugar. Hemos creado una plataforma ampliable globalmente. También proporcionamos API sólidas para ofrecer una gestión automatizada y visibilidad en tiempo real del uso del sistema y los datos. Nuestras soluciones de almacenamiento cumplen los requisitos de seguridad y protección de datos de las empresas Fortune 500.

Esta página proporciona una visión general de la arquitectura, componentes y servicios de la solución de datos no estructurados de Qumulo. Muestra cómo nuestro producto soporta una amplia gama de casos de uso, desde medios de comunicación y entretenimiento hasta sanidad y ciencias de la vida, desde computación de alto rendimiento basada en la nube hasta almacenamiento rentable de archivos en la nube a largo plazo. También mostraremos cómo nuestro exclusivo Cloud Data Fabric puede unificar datos críticos entre plataformas, sitios y nubes para ofrecer acceso en tiempo real a datos remotos, agilizar la colaboración entre equipos muy dispersos y acelerar el desarrollo empresarial en prácticamente cualquier sector.

Arquitectura de Qumulo

La arquitectura modular de Qumulo se puede abstraer en una serie de capas, con controles de servicio específicos y características agrupadas en cada capa. Estas capas trabajan juntas para apoyar la escalabilidad, el rendimiento, la seguridad y la fiabilidad de los datos no estructurados en una instancia de Qumulo, así como el propio sistema Qumulo.

Fundamentos de Qumulo

Antes de sumergirse en los componentes individuales de la arquitectura de Qumulo, hay varios principios fundamentales que es importante enumerar:

1. Qumulo proporciona un sistema de archivos distribuido 100% definido por software que presenta un único espacio de nombres. Un clúster Qumulo local consiste en una agregación de nodos independientes que no comparten nada, y cada nodo contribuye a la capacidad y rendimiento generales del clúster. Los nodos individuales se mantienen en constante coordinación entre sí. Cualquier cliente puede conectarse a cualquier nodo y leer y escribir en todo el espacio de nombres.

2. Las instancias de Qumulo basadas en la nube utilizan almacenamiento de objetos (ya sea AWS S3 o Microsoft Azure Blob storage, dependiendo de dónde se desplieguen) para la capa de datos, en la que los bloques asociados con cualquier archivo dado se abstraen y distribuyen a través de una colección lógica de objetos discretos.

   • Esta arquitectura nativa de la nube elimina la relación heredada entre computación, almacenamiento y rendimiento, creando un servicio de almacenamiento de archivos totalmente elástico que puede escalar la capacidad a cientos de petabytes, y puede escalar el rendimiento más allá de 100 GBps.

   • Con la completa desagregación de computación y almacenamiento que permite la arquitectura nativa en la nube de Qumulo, los clientes tienen la flexibilidad de elegir los niveles específicos de rendimiento y capacidad que necesitan, independientemente unos de otros. Un cliente puede incluso desplegar una instancia de Qumulo con una huella computacional inicialmente baja, luego escalar temporalmente la asignación computacional del servicio para aumentar drásticamente el rendimiento durante un breve período de tiempo, y luego escalarlo de nuevo hacia abajo sin necesidad de desplegar capacidad adicional en ningún momento.

3. Qumulo está diseñado para escalar. Nos aseguramos de que todos los aspectos de nuestro producto puedan soportar cómodamente petabytes a exabytes de datos, billones de archivos, millones de operaciones y miles de usuarios en docenas de sitios, regiones e implementaciones.

4. Qumulo está diseñado para la distribución geográfica, lo que permite a equipos muy dispersos colaborar en conjuntos de datos compartidos sin riesgo de corrupción o pérdida de datos.

5. Qumulo se autooptimiza para obtener el máximo rendimiento. Cada instancia de Qumulo rastrea el acceso a los datos utilizando un mapa de calor para identificar los bloques de datos a los que se accede con más frecuencia. Estos bloques se mueven de forma proactiva mediante un algoritmo interno de precarga: los bloques de datos en medios de almacenamiento a largo plazo se mueven al almacenamiento flash a medida que aumenta su puntuación térmica. Si la puntuación térmica sigue aumentando, los datos que ya están en el almacenamiento flash se mueven de forma proactiva a la memoria del sistema para un acceso aún más rápido. A nivel global, en todas las instancias de Qumulo para todos los clientes de Qumulo, la tasa de éxito de la caché es de ~95% de todas las solicitudes de lectura.

6. Qumulo es altamente disponible y estrictamente consistente, construido para soportar fallos de componentes en la infraestructura sin dejar de proporcionar un servicio fiable a los clientes. Esto lo conseguimos mediante el uso de abstracción de software, codificación de borrado, tecnologías de red avanzadas y pruebas rigurosas. Cuando se escriben datos en el sistema de archivos de Qumulo, la operación de escritura no se confirma al servicio, usuario o cliente hasta que los datos se han escrito en el almacenamiento persistente. De este modo, cualquier solicitud de lectura posterior dará como resultado una visión coherente de los datos (en contraposición a modelos eventualmente coherentes).

7. Qumulo ofrece servicios de archivos independientes de la plataforma para la nube pública, privada e híbrida. El software de Qumulo hace pocas suposiciones sobre la plataforma en la que se ejecuta. Abstrae los recursos de hardware físicos o virtuales subyacentes para aprovechar la mejor infraestructura de nube pública y privada. Esto nos permite aprovechar la rápida innovación en tecnologías de computación, redes y almacenamiento impulsada por los proveedores de la nube y el ecosistema de fabricantes de componentes.

8. El modelo de gestión de Qumulo es API-first. Cada capacidad creada por Qumulo se desarrolla primero como un punto final de la API. A continuación, presentamos un conjunto curado de esos puntos finales en nuestra interfaz de línea de comandos (CLI) y la WebUI, nuestra interfaz visual. Esto incluye la creación de sistemas, gestión de datos, análisis de rendimiento y capacidad, autenticación y accesibilidad de datos.

9. Qumulo lanza nuevo software con rapidez y regularidad. Lanzamos nuevas versiones de nuestro software cada pocas semanas. Esto nos permite responder rápidamente a los comentarios de los clientes, impulsar la mejora constante de nuestro producto e insistir en la calidad de producción del código de nuestros equipos.

10. La arquitectura basada en contenedores de Qumulo permite un proceso de actualización único que minimiza las interrupciones para los usuarios y los flujos de trabajo. De forma continua, nodo por nodo, el nuevo software operativo se despliega en un contenedor paralelo a la versión antigua. Una vez que la nueva instancia se ha inicializado, el entorno antiguo se apaga de forma automática y la actualización continúa en el siguiente nodo hasta que se ha actualizado todo el clúster.

11. El equipo de Éxito del Cliente de Qumulo es altamente receptivo, conectado y ágil. Qumulo tiene la capacidad de supervisar cada implementación de Qumulo de forma remota a través de nuestro servicio Mission Qontrol basado en la nube, que nos permite realizar un seguimiento pasivo del almacenamiento y la telemetría del servicio (no tenemos la capacidad de ver o acceder a los datos del sistema de archivos en ninguna implementación de clientes de Qumulo). Nuestro equipo de éxito del cliente utiliza esos datos para ayudar a los clientes a resolver incidentes, proporcionar información sobre el uso del producto y alertar a los clientes cuando sus sistemas experimentan fallos de componentes. Esta combinación de asistencia inteligente y rápida innovación de productos impulsa una puntuación NPS líder en el sector de 80+.

El sistema de archivos Qumulo

Todos los datos no estructurados almacenados en un sistema de archivos Qumulo se organizan en un único espacio de nombres. Este espacio de nombres es compatible con POSIX para soportar clientes NFS3, mientras que también soporta el estándar de Lista de Control de Acceso utilizado por los protocolos NFSv4.1 y SMB.

Qumulo destaca por varias características clave: su capacidad para escalar un único espacio de nombres hasta prácticamente cualquier tamaño, la perfecta integración de la analítica de sistemas y datos en las operaciones del sistema de archivos, la compatibilidad con S3 y protocolos tradicionales como NFS y SMB, y su innovador enfoque de la gestión de permisos multiprotocolo.

Operaciones del sistema de archivos

El sistema de archivos de Qumulo se diseñó desde el principio para escalar sin problemas a una capacidad superior a los exabytes en un único espacio de nombres que puede alojar billones de archivos que pueden compartirse a través de los protocolos estándar NFS y SMB. Además, el sistema de archivos se diseñó con la capacidad de supervisar eficazmente las actualizaciones y acciones del sistema de archivos, y de agregar estadísticas y operaciones basadas en metadatos, lo que permite realizar análisis de datos y del sistema en tiempo real sin tener que recurrir a recorridos en árbol que consumen muchos recursos y tiempo.

Escalabilidad del sistema de archivos

Una sola instancia de Qumulo puede escalar hasta exabytes de capacidad y 264 nodos (~18,4 quintillones de archivos) sin ninguno de los problemas comunes a otras plataformas, como el agotamiento de los inodos, las ralentizaciones del rendimiento y los largos tiempos de recuperación tras fallos de los componentes.

Agregación de metadatos

La arquitectura única de Qumulo rastrea los metadatos en tiempo real a medida que se crean o modifican archivos y directorios. Los distintos campos de metadatos se resumen para crear un índice virtual. A medida que se producen cambios, se recopilan nuevos metadatos agregados y se propagan desde los archivos individuales hasta la raíz del sistema de archivos. Se tiene en cuenta cada operación de archivo y directorio, y los cambios resultantes se fusionan inmediatamente en el análisis del sistema. Los resultados, agregados en todo el sistema de archivos, se hacen visibles a través del motor de análisis integrado de Qumulo, proporcionando visibilidad de datos procesables sin necesidad de costosos recorridos por el árbol de la plataforma de datos de archivos.

El almacén de bloques escalable

Debajo del sistema de archivos Qumulo hay una capa protegida y modular que sirve de interfaz entre miles de millones (o más) de archivos y directorios y el soporte físico de datos en el que están almacenados. En la arquitectura modular de Qumulo, la capa Scalable Block Store desempeña este papel.

Sistema global de transacciones

Dado que Qumulo utiliza una arquitectura distribuida, no compartida, que garantiza la consistencia inmediata, cada nodo del servicio necesita tener una visión globalmente consistente de todos los datos en todo momento. El Almacén de Bloques Escalable aprovecha un enfoque transaccional global para garantizar que cuando una operación de escritura implique más de un bloque, la operación escriba todos los bloques relevantes o ninguno de ellos. Para un rendimiento óptimo, el sistema maximiza el paralelismo y la computación distribuida, al tiempo que mantiene la coherencia transaccional de las operaciones de E/S.

Este enfoque minimiza la cantidad de bloqueos necesarios para las operaciones transaccionales de E/S y permite que cualquier implementación de Qumulo pueda escalar a muchos cientos de nodos.

NeuralCache y precarga inteligente

El software de Qumulo incorpora una serie de funciones inherentes y controles configurables, todos ellos diseñados para proteger los datos del clúster.

1. Todos los metadatos, que son los que se leen con más frecuencia en cualquier conjunto de datos, residen permanentemente en el nivel flash de la instancia de almacenamiento.

2. Los bloques virtuales que se leen con frecuencia (según un "índice de calor" patentado) se almacenan en flash, mientras que los bloques virtuales que se leen con poca frecuencia se trasladan a medios más fríos, es decir, al nivel de disco duro del sistema (si está disponible).

3. A medida que se leen los datos, la instancia de Qumulo monitoriza el comportamiento del cliente y preconfigura de forma inteligente los nuevos datos en la memoria del sistema en el nodo más cercano al cliente para acelerar los tiempos de acceso.

Despliegues físicos de Qumulo (clusters)

En un clúster físico de Qumulo, el Almacén de Bloques Escalable sirve de interfaz entre el sistema de archivos y los medios de almacenamiento subyacentes, que pueden ser dispositivos flash de estado sólido (SSD) o unidades de disco duro (HDD). Esta capa es la principal responsable de garantizar la consistencia de los datos en todos los nodos de un clúster físico, asegurando un rendimiento óptimo para las peticiones de lectura y escritura, y proporcionando seguridad, integridad y resistencia a los fallos de los componentes.

Bloques virtuales protegidos

La capacidad de almacenamiento de un clúster físico de Qumulo se organiza conceptualmente en un espacio de direcciones virtual protegido. Cada dirección dentro de ese espacio almacena un bloque de datos de 4K o un hash de codificación de borrado de 4K que puede utilizarse para reconstruir cualquier bloque de datos perdido por un fallo de hardware. La proporción entre bloques de datos y bloques de codificación de borrado viene determinada por el tamaño del clúster físico: a medida que se añaden más nodos, la proporción se ajusta para proporcionar una mayor eficiencia general, sin dejar de proteger contra fallos de disco y de nodo.

Además de la protección que ofrece la codificación de borrado, el sistema de bloques virtuales también incluye un algoritmo de detección de rotura de bits para proteger contra la corrupción de datos en disco.

Instancias de Qumulo en la nube

Para las instancias de Qumulo implementadas en Azure, muchas de las funciones proporcionadas en las instalaciones por la capa de almacenamiento en bloque escalable, como el cifrado en disco, la codificación de borrado, la detección de rotación de bits y la gestión de bloques, se proporcionan como características principales del servicio de almacenamiento en bloque de Azure subyacente.

Cifrado en reposo

En los clústeres físicos de Qumulo, el Almacén de Bloques Escalable incluye un algoritmo AES de 256 bits basado en software que cifra todos los datos del sistema de archivos antes de escribirlos en la capa de datos. Este algoritmo se inicializa como parte del proceso de construcción inicial del clúster, y encripta todos los datos y metadatos del sistema de archivos a nivel de bloque durante toda la vida útil del clúster.

Los clústeres de Qumulo en la nube se basan en el cifrado a nivel de bloque en la capa de almacenamiento de objetos subyacente, implementada y mantenida por el proveedor de servicios en la nube. Esto garantiza que todos los datos en reposo de cualquier instancia de Qumulo en la nube estén totalmente cifrados.

Para las empresas que lo requieran, el algoritmo de cifrado integrado de Qumulo que se utiliza en cada clúster físico cumple con las normas FIPS 140-2, al igual que los servicios de cifrado que ofrecen tanto el almacenamiento de objetos de Azure como el de AWS.

Servicios de datos

La capa de servicios de datos incluye cinco funciones de gestión: instantáneas, replicación, cuotas, registro y auditoría de accesos, así como análisis de sistemas y datos.

Instantáneas

Las instantáneas en un clúster Qumulo se pueden utilizar de varias maneras para proteger los datos del clúster:

• Pueden utilizarse localmente para proteger y recuperar datos de forma rápida y eficaz.

• Una instantánea de los datos en vivo en un clúster de Qumulo puede replicarse a una instancia secundaria de Qumulo, como una instancia de servicio Azure Native Qumulo Cold, que podría soportar una conmutación por error inmediata de los servicios de datos de archivos en caso de una interrupción sistémica en la ubicación primaria.

• Las instantáneas de Qumulo también pueden emparejarse con software de copia de seguridad de terceros para proporcionar una protección eficaz a largo plazo (con un control de versiones más sólido para los archivos modificados) contra la pérdida de datos.

Las instantáneas pueden tomarse en cualquier momento, según un calendario fijo o a petición, según sea necesario. Cada instantánea conserva todo lo que hay en el sistema de archivos: datos de archivos, entradas de directorio, horas de creación y modificación, permisos, etc. Una vez tomada, la instantánea no consume espacio. A medida que los archivos de la instantánea cambian con el tiempo, se escriben nuevos datos junto a la versión original, y se escriben nuevas entradas en el sistema de archivos que identifican cada versión del mismo archivo.

Bloqueo de instantáneas

Para ofrecer una mayor protección contra los ataques de ransomware o el borrado prematuro de instantáneas críticas a través de una cuenta de administrador comprometida, las instantáneas pueden "bloquearse" criptográficamente, impidiendo la alteración o el borrado prematuro de una instantánea incluso por parte de un usuario administrador.

El uso de instantáneas bloqueadas requiere un par de claves criptográficas asimétricas, con la clave pública instalada directamente en la instancia de Qumulo y la clave privada almacenada externamente de acuerdo con las propias prácticas de gestión de claves establecidas por la organización.

Cuotas

Las cuotas permiten a los usuarios controlar el crecimiento de cualquier subconjunto de un espacio de nombres Qumulo. Las cuotas actúan como límites independientes en el tamaño de cualquier directorio, impidiendo el crecimiento de los datos cuando se alcanza el límite de capacidad. A diferencia de otras plataformas y servicios, las cuotas de Qumulo surten efecto instantáneamente, permitiendo a los administradores identificar cargas de trabajo no autorizadas a través de nuestros análisis de capacidad en tiempo real y detener al instante el uso descontrolado de la capacidad. Las cuotas incluso siguen la parte del espacio de nombres que cubren cuando los directorios se mueven o cambian de nombre.

Registro y auditoría de accesos

El registro de auditoría proporciona un mecanismo para rastrear eventos y operaciones de gestión del sistema de archivos Qumulo. A medida que los clientes conectados realizan peticiones al clúster, los mensajes de registro de eventos describen cada operación intentada. Estos mensajes de registro se envían a través de la red a una instancia de syslog remota designada, por ejemplo, una plataforma de gestión de eventos e información de seguridad (SIEM) estándar del sector como Splunk.

Detección de intrusiones y ransomware en tiempo real

Qumulo se ha asociado con proveedores externos Superna y Varonis para permitir la monitorización en tiempo real de los registros de eventos y accesos para identificar y responder a los ciberataques. Para obtener más información sobre Varonis con nuestra solución Azure Native Qumulo, visite nuestro Integración de Varonis con ANQ página. Información sobre Superna Ransomware Defender está disponible aquí.

Replicación

El servicio de replicación integrado de Qumulo puede copiar datos a escala entre dos instancias de almacenamiento de Qumulo. Además de proteger los datos contra los ciberataques, una ubicación secundaria con otro clúster de Qumulo también puede servir como almacenamiento de conmutación por error en caso de una interrupción a nivel de sitio.

Dado que todas las instancias de Qumulo admiten las mismas características de replicación y ofrecen los mismos servicios independientemente de la ubicación, la replicación se puede configurar para que se ejecute en cualquier dirección entre dos puntos finales de Qumulo, ya sea en las instalaciones, en AWS o en Azure.

Replicación continua

Esta forma de replicación simplemente toma una instantánea de los datos en el clúster Qumulo de origen y los copia en un directorio en un clúster de destino. Mientras la relación de replicación esté activa, el sistema escanea cualquier archivo modificado para identificar y copiar sólo los cambios específicos en el destino, sobrescribiendo cualquier versión anterior de los datos.

Replicación basada en instantáneas

Con la replicación basada en instantáneas, también se toman instantáneas del directorio de destino en el clúster secundario. Una vez finalizado un trabajo de replicación, se crea una nueva instantánea del directorio de destino, lo que garantiza la coherencia de los datos en ambos clústeres, al tiempo que se mantiene un registro de cambios y un historial de versiones para cada archivo del destino.

Sistema y análisis de datos

La pila de software de Qumulo está diseñada para ofrecer una visión en tiempo real de las métricas del sistema y del servicio, incluidas la capacidad y el rendimiento, en cada instancia de Qumulo. Esto permite a los clientes solucionar problemas de las aplicaciones, gestionar el consumo de capacidad y planificar estrategias de expansión (o archivado). Los análisis de Qumulo se basan en la agregación de cambios de metadatos en el sistema de archivos a medida que se producen.

La interfaz web incluye herramientas de monitorización en tiempo real para rastrear el rendimiento del sistema, el uso de la capacidad y la actividad actual en la instancia local de Qumulo. Para las empresas que deseen exportar esta información a una solución de monitorización externa, Qumulo soporta el estándar OpenMetrics API para exportar y compilar datos syslog.

Gestión de instancias y servicios de datos

Como servicio de almacenamiento de datos de archivos estándar del sector, Qumulo admite todos los protocolos de acceso a datos no estructurados: SMB, NFS y NFSv4.1. También admite el acceso a objetos mediante el protocolo estándar S3. Qumulo también admite acceso FTP y REST API a determinados tipos de datos.

Gestión del sistema

Cualquier instancia de Qumulo, ya sea local o en la nube, se puede gestionar utilizando las mismas herramientas estándar: una interfaz de usuario web integrada para el almacenamiento interactivo y la gestión de datos, una biblioteca de comandos basada en CLI o un conjunto de herramientas de gestión basadas en API.

Interfaz de usuario web

Qumulo ofrece una interfaz de gestión basada en navegador, a la que se accede desde la propia instancia de almacenamiento sin necesidad de una VM o servicio independiente. La intuitiva interfaz de usuario web está organizada en torno a seis secciones de navegación de nivel superior: Dashboard, Analytics, Sharing, Cluster, API & Tools y Support.

Interfaz de línea de comandos (CLI)

La CLI de Qumulo soporta la mayor parte (pero no toda) de la librería API y está enfocada a la administración del sistema. La CLI ofrece un método de interacción con scripts para trabajar con una instancia de Qumulo. Puedes encontrar una lista completa de comandos en nuestra Base de Conocimientos (care.qumulo.com).

API REST

La API REST es un superconjunto de todas las capacidades de la plataforma de datos Qumulo. Desde la API, los administradores pueden:

• Crear un espacio de nombres

• Configurar todos los aspectos de un sistema (desde la seguridad, como los servicios de identidad y las funciones de gestión del sistema, hasta la gestión y protección de datos, incluidas las cuotas, las políticas de instantáneas y/o la replicación de datos)

• Recopilar información sobre la instancia Qumulo de destino (incluyendo la utilización de la capacidad y los puntos críticos de rendimiento)

• Acceder a los datos (incluidas las operaciones de lectura y escritura)

• La API es "autodocumentada", lo que facilita a los desarrolladores y administradores la exploración de cada punto final (y ver ejemplos de resultados). Qumulo mantiene una colección de ejemplos de uso de nuestra API en GitHub (https://qumulo.github.io/).

Para obtener más información sobre el uso de la biblioteca API de Qumulo, la CLI y el portal de gestión web, visite el portal de documentación de Qumulo (https://docs.qumulo.com).

Qumulo Nexus

A medida que los clientes de Qumulo se mueven cada vez más hacia operaciones empresariales multi-cloud y multi-site, necesitan reducir la complejidad de monitorizar la disponibilidad de cada instancia de Qumulo y las métricas de servicio a través de interfaces de gestión separadas. Con Qumulo Nexus, los clientes pueden consolidar las operaciones de monitorización de todas sus instancias de Qumulo, ya sean on-prem, en el perímetro o en la nube, bajo un único portal de gestión que ofrece los mismos análisis en tiempo real y la misma visibilidad de datos que la interfaz web local.

Seguridad y gestión de accesos

El software de Qumulo incorpora varias funciones inherentes y controles configurables, todos ellos diseñados para proteger el acceso a los datos del clúster.

Funciones de seguridad de datos de Qumulo

Cada instancia de Qumulo, ya sea local o en la nube, aprovecha un par de controles que garantizan que todos los datos del sistema de archivos estén protegidos contra la corrupción, la pérdida o la intrusión en el nivel de almacenamiento de datos.

Integración con Active Directory

El modelo de acceso de seguridad de Qumulo fue diseñado para aprovechar Microsoft Active Directory (AD) para los derechos y permisos tanto administrativos como de usuario. Además de los beneficios obvios de tener una única fuente de registro para todas las cuentas de usuario, el uso de AD para la gestión de privilegios y permisos es compatible con las mejores prácticas de la industria para lo siguiente:

• Perfecta integración con los protocolos de autenticación y gestión de identidades basados en Kerberos

• Integración con proveedores de acceso SSO y MFA

• El uso de permisos basados en listas de control de acceso para clientes SMB y NFSv4.1 a datos del sistema de archivos

Cifrado de datos por cable

Incluso con la configuración adecuada de seguridad a nivel de datos y recursos compartidos, algunas empresas necesitan una capa adicional de seguridad de datos para protegerlos de accesos no autorizados. Para esos entornos, Qumulo también admite el cifrado de datos sobre la marcha hacia y desde los clientes compatibles.

Para recursos compartidos SMB3, Qumulo soporta tanto encriptación a nivel de cluster como por recurso compartido cuando es necesario. Las exportaciones NFSv4.1 que requieren seguridad mejorada pueden configurarse para utilizar firmas de paquetes krb5i que garantizan la integridad de los datos o cifrado de paquetes basado en krb5p para evitar la interceptación durante el tránsito.

Todo el tráfico basado en objetos se cifra automáticamente utilizando los estándares de cifrado TLS / HTTPS.

Autenticación y control de acceso

El acceso a los datos en el sistema de archivos de Qumulo, así como el acceso al sistema de almacenamiento de Qumulo, utilizan protocolos de autenticación y acceso estándar de la industria, garantizando la gestión de acceso de nivel empresarial, el control de identidades y la auditabilidad.

Seguridad administrativa

Los derechos y privilegios a nivel de sistema se conceden en base a la pertenencia a uno o más grupos locales en la instancia individual de Qumulo. Los derechos administrativos se conceden a todas las cuentas locales y de dominio que son miembros del grupo de Administradores integrado en el clúster.

Usuarios administrativos a nivel de dominio

La mayoría de las políticas de seguridad empresariales exigen que la administración y gestión de los sistemas críticos de la empresa sigan una política de un usuario y una cuenta para garantizar registros precisos del acceso al sistema y el uso de privilegios. El método más sencillo para cumplir esta política es añadir las cuentas de usuario de Active Directory pertinentes al grupo de administradores locales del clúster.

Usuarios administrativos locales

Cada instancia de Qumulo viene con una cuenta por defecto, llamada admin al que se le asigna automáticamente la pertenencia al grupo local Administradores y dispone de plenos derechos y privilegios administrativos sobre el clúster.

Inicio de sesión único con autenticación multifactor

El inicio de sesión único (SSO) elimina la necesidad de que un administrador tenga que volver a introducir sus credenciales de inicio de sesión para acceder al sistema. Las empresas quieren el SSO no solo porque agiliza el proceso de inicio de sesión, haciendo más cómoda la autenticación para los administradores, sino también porque reduce el riesgo de robo de cuentas a través de registradores de pulsaciones de teclas o de interceptación mientras el intento de inicio de sesión atraviesa la red.

La autenticación de múltiples factores (MFA) añade otra capa de seguridad al proceso de inicio de sesión. Requiere que los usuarios administradores recuperen un código de un solo uso a partir de un token de clave o una solicitud de desafío en un dispositivo independiente, ninguno de los cuales estaría en posesión de un intruso.

La solución SSO de Qumulo se integra con Active Directory a través de Security Assertion Markup Language (SAML) 2.0. Para MFA, los clientes pueden aprovechar cualquier proveedor de identidad (IdP) que se integre con el dominio AD registrado en el clúster, incluidos, entre otros, OneLogin, Okta, Duo y Azure AD.

Fichas de acceso

Para simplificar el proceso de almacenamiento automatizado y gestión de datos a través de la funcionalidad API de Qumulo, Qumulo ofrece a los administradores la opción de generar un token API de larga duración que puede ser utilizado indefinidamente por los flujos de trabajo automatizados hasta que la clave sea revocada o eliminada. El token lo genera un administrador a través de CLI, y se puede adjuntar a cada flujo de trabajo basado en API, que ahora puede realizar llamadas API autenticadas sin tener que iniciar sesión.

A efectos de auditoría, cada token se asigna a una cuenta AD o de clúster específica. Si la cuenta de usuario asociada se elimina o desactiva, el token de acceso dejará de funcionar.

Control de acceso basado en funciones

El control de acceso basado en roles (RBAC) permite a los administradores asignar privilegios precisos a usuarios o grupos no administrativos que requieren derechos elevados al clúster para tareas de gestión específicas. El uso del modelo RBAC permite la delegación segura de privilegios en función de las necesidades sin necesidad de conferir derechos administrativos completos. También permite a las empresas conceder los privilegios de sistema necesarios, garantizando al mismo tiempo una pista de auditoría verificable del acceso y el uso de privilegios.

Gestión del acceso a los datos

Qumulo utiliza el mismo modelo de seguridad para gestionar el acceso a los datos del sistema de archivos, utilizando prácticas, protocolos y herramientas estándar de la empresa para gestionar y rastrear el acceso a todos los archivos y directorios del sistema.

Listas de control de acceso

Para cargas de trabajo compartidas vía SMB y NFSv4, Qumulo soporta autenticación vía Active Directory y Listas de Control de Acceso (ACLs) estilo Windows que pueden ser compartidas a través de ambos protocolos.

Mejoras de Kerberos

Todas las solicitudes de datos SMB y NFSv4.1, si se originan desde un cliente Windows o Linux que está unido al mismo dominio que el clúster Qumulo (o unido a un dominio de confianza), se autentican utilizando la gestión de identidad de usuario basada en Kerberos.

Permisos multiprotocolo

Qumulo soporta hacer que los mismos datos en el sistema de archivos estén disponibles a través de múltiples protocolos simultáneamente. En muchos casos, un recurso compartido SMB en el clúster también puede configurarse como una exportación NFSv3, una exportación NFSv4.1 y un contenedor de almacenamiento de objetos. Aunque esto maximiza la flexibilidad del clúster, hay algunas consideraciones que deben tenerse en cuenta a la hora de gestionar los permisos.

Tanto SMB como NFSv4.1 utilizan el mismo modelo de permisos basado en ACL, en el que el acceso se concede o deniega al usuario en virtud de la pertenencia de la cuenta de Active Directory del usuario a uno o varios grupos cuyo acceso se ha configurado a nivel de datos.

Para cargas de trabajo mixtas SMB/NFSv3, sin embargo, puede haber un desajuste entre los permisos ACL de un archivo o directorio dado y su configuración POSIX. Una instancia de Qumulo puede configurarse para operaciones de modo mixto, en las que los permisos SMB y POSIX se mantienen por separado para los archivos y directorios que se comparten a través de ambos protocolos.

Para cargas de trabajo de protocolo mixto, el modelo de permisos multiprotocolo (MPP) propietario de Qumulo conserva las ACL y la herencia SMB incluso si se modifican los permisos NFS.

Permisos de acceso a objetos

Si un directorio del clúster se comparte a través del protocolo S3, se trata como un bucket de S3, y todos los subdirectorios y archivos dentro de ese directorio se tratan como objetos dentro del bucket.

Cuando un usuario o flujo de trabajo intenta acceder a un objeto, el sistema utiliza la clave de acceso proporcionada por el cliente para identificar el ID de usuario local o de Active Directory asignado a la clave y, a continuación, comprueba dicho ID con la lista de control de acceso SMB / NFSv4.1 del objeto.

Gestión de las restricciones de tráfico

Además de usar SSO y autenticación basada en MFA de cuentas administrativas designadas, Qumulo también soporta políticas de seguridad que requieren la restricción de acceso a nivel de administrador a redes o VLANs específicamente designadas ofreciendo la capacidad de bloquear puertos TCP específicos a nivel de VLAN individual.

De esta manera, una instancia de Qumulo puede configurarse para segmentar el tráfico de gestión - por ejemplo, API, SSH, interfaz de usuario web y tráfico de replicación - del tráfico de cliente, por ejemplo, SMB, NFS y acceso a objetos.

Tejido de datos en la nube

En un mundo interconectado y con múltiples nubes, las aplicaciones y los equipos dispersos geográficamente necesitan la capacidad de colaborar en conjuntos de datos compartidos sin la latencia de una conexión WAN o la larga espera para replicar datos a escala entre sitios.

Cloud Data Fabric (CDF) de Qumulo extiende el sistema de archivos escalable de Qumulo a través de dos o más instancias de Qumulo, permitiendo a equipos y flujos de trabajo geográficamente dispersos compartir un único conjunto de datos en tiempo real. CDF no solo ofrece acceso de baja latencia a datos críticos entre instancias Qumulo locales, en el borde y en la nube; en muchos casos, elimina por completo la necesidad de replicación a gran escala en flujos de trabajo compartidos.

CDF unifica uno o más conjuntos de datos compartidos entre sitios, nubes, plataformas y geografías, poniendo los datos a disposición de equipos, aplicaciones y organizaciones que necesitan colaborar en tiempo real. El uso de CDF permite a las empresas minimizar el tráfico WAN al tiempo que simplifica la gestión de la seguridad y los datos entre sitios.

Espacio de nombres global

Cloud Data Fabric de Qumulo permite un espacio de nombres verdaderamente global en el que los conjuntos de datos críticos se comparten entre instancias de Qumulo en todas partes: en el centro de datos, en la nube y en el extremo. El Espacio de Nombres Global de Qumulo utiliza características únicas e innovadoras que se combinan para permitir la visibilidad de los datos en tiempo real y la colaboración en todo el mundo sobre los datos compartidos.

Sincronización de metadatos

En lugar de sincronizar inmediatamente los datos de archivos y carpetas en todas las instancias que comparten un conjunto de datos determinado, la implementación del espacio de nombres global de Qumulo replica inicialmente sólo los metadatos entre los puntos finales de Qumulo, lo que permite a los clientes remotos ver toda la estructura de archivos y carpetas de los conjuntos de datos remotos con sólo unos milisegundos de retraso.

Bloqueo distribuido

Para garantizar la integridad de los datos en un entorno distribuido donde cualquier archivo puede ser modificado por cualquier usuario o aplicación a través de múltiples ubicaciones, CDF utiliza un algoritmo de bloqueo que coordina el acceso a los archivos a través de todos los puntos finales. Esto garantiza que cada transacción de datos esté autorizada, registrada y sea estrictamente coherente con todas las acciones anteriores.

Seguridad de los datos

Al replicar los metadatos del sistema de archivos entre los puntos finales también se replican las ACL (SMB y NFSv4.1) y los permisos POSIX. Si todos los usuarios del portal comparten la misma fuente de autenticación, el acceso a los datos se transfiere automáticamente de un endpoint a otro.

Si se elimina un portal, los enlaces a todos los puntos finales de radio se terminan, y todos los datos almacenados localmente en caché se eliminan de cada radio. A menos que también se elimine el recurso compartido o la exportación subyacente, los datos permanecen en la instancia de Qumulo que sirvió como punto final del concentrador.

Portales de datos

El enfoque único de Cloud Data Fabric para el acceso unificado a datos se basa en portales de datos. Los portales se publican a nivel de cada recurso compartido SMB o exportación NFS (o ambos, ya que Qumulo también ofrece el uso compartido de datos multiprotocolo). La creación de un portal CDF hace que los datos dentro de ese recurso compartido o exportación estén disponibles para una o más instancias adicionales de Qumulo.

Los portales CDF pueden admitir casos de uso tanto de sólo lectura como bidireccionales.

Puntos finales del portal

Los portales de Cloud Data Fabric se construyen utilizando una topología hub-and-spoke, en la que una instancia de Qumulo (el "hub") sirve como propietario autorizado de los datos del portal y coordina todas las operaciones de acceso a los datos a través de todos los puntos finales del portal. Cada portal tiene un único concentrador, con uno o más terminales "radio" que actúan como extensiones del espacio de nombres del portal.

Para crear un nuevo portal, un administrador identifica el recurso compartido específico o la exportación en el concentrador que se publicará, asigna al menos un punto final Qumulo adicional como radio y designa el nuevo portal como de sólo lectura o bidireccional. Se pueden añadir instancias adicionales de Qumulo al portal como radios, según convenga.

Cada endpoint en un portal CDF también puede funcionar como una instancia de almacenamiento Qumulo independiente, alojando recursos compartidos adicionales y/o exportaciones restringidas al uso exclusivo de clientes locales.

Registro diario

Todas las operaciones del sistema de archivos de un portal determinado se controlan mediante un mecanismo de registro distribuido. Cada evento de acceso a datos (creación, lectura, modificación, eliminación, etc.) se registra en el registro compartido y se replica a todos los demás puntos finales del portal.

Seguimiento lógico del tiempo

El uso de un desfase de tiempo lógico compartido para coordinar eventos a través de endpoints, en lugar de una marca de tiempo física absoluta, asegura que las transacciones de datos se apliquen en el orden correcto a través de todos los nodos en todos los endpoints sin tener que reconciliar diferencias de zona horaria o desfases de tiempo entre las diferentes instancias de Qumulo.

Registro lógico y recuperación

Si un radio del portal pierde la conectividad con el concentrador, los datos del portal no estarán disponibles para ninguno de los clientes de ese radio. En el resto de los puntos finales del portal, el archivo de registro distribuido continúa rastreando los cambios en los datos dentro del portal.

Tras la reconexión, la estación afectada reproducirá los eventos del registro en su secuencia correcta para reconciliar sus datos almacenados en caché local con el resto de terminales del portal.

Optimización de la transferencia

Cloud Data Fabric se ha diseñado para aprovechar al máximo el ancho de banda limitado, ofreciendo un acceso de alto rendimiento y baja latencia a datos remotos a escala, incluso en empresas muy distribuidas. Para ello, espera a que los clientes soliciten los datos específicos del portal que necesitan, almacena en caché solo los datos relevantes a nivel local en cada punto final y replica solo los bloques de datos modificados entre puntos finales, en lugar de archivos enteros o conjuntos de datos completos.

Caché local

El primer acceso a datos desde un endpoint remoto hace que el archivo o carpeta solicitados sean "arrastrados" a través de la red y almacenados en caché en el endpoint local de Qumulo. Suponiendo que no haya cambios en los datos después del primer acceso, todas las solicitudes de acceso posteriores para los mismos datos se servirán desde la caché local.

Sistemas de archivos dispersos

Cada radio construye un sistema de archivos en la sombra, independiente de cualquier otro archivo de datos que aloje localmente, que contiene los metadatos del portal, así como cualquier dato del portal almacenado localmente en caché. La instancia local utiliza un mapa de calor, similar pero independiente del sistema de caché inteligente que optimiza el rendimiento de lectura del sistema de archivos local, para controlar la frecuencia con la que se accede a los datos almacenados en caché.

El tamaño de este sistema de archivos disperso varía con la capacidad de almacenamiento disponible de la instancia específica de Qumulo. A medida que se solicitan nuevos datos del portal y el sistema de archivos disperso se llena, los datos más antiguos se eliminan de la caché para garantizar un rendimiento óptimo para los nuevos datos entrantes.

Caché predictivo

A medida que los clientes y las aplicaciones locales acceden a los archivos y carpetas, cada punto final supervisa qué datos del portal se añaden pasivamente a la caché del sistema de archivos disperso a lo largo del tiempo y comienza a identificar patrones en el comportamiento de los clientes y las aplicaciones. CDF utiliza estos patrones de acceso para anticiparse a los bloques de datos que probablemente se solicitarán a continuación, y los preconfigura de forma preventiva en la caché del sistema de archivos disperso antes de que se soliciten.

Hardware del servidor

El software de Qumulo se ejecuta prácticamente en cualquier hardware empresarial estándar basado en x86-64, aunque los clientes que busquen una disponibilidad y un rendimiento óptimos deben consultar directamente con Qumulo antes de elegir la configuración de hardware adecuada.

El sistema operativo Linux subyacente está bloqueado, permitiendo únicamente las operaciones necesarias para realizar las tareas de soporte requeridas del entorno de software Qumulo. Se han desactivado otros servicios estándar de Linux para reducir aún más la superficie de riesgo de un ataque.

Pila de software totalmente nativa

Aunque Linux incluye componentes de código abierto para proporcionar servicios de cliente y servidor NFS y SMB (por ejemplo, Samba, Ganesha, etc.), estos servicios no están incluidos en la imagen reforzada de Ubuntu que soporta el entorno de software de Qumulo. Qumulo desarrolla y controla todo el código utilizado para los protocolos de acceso a datos NFS, SMB, FTP y S3 - en el entorno operativo Qumulo.

Actualizaciones instantáneas

El proceso de desarrollo iterativo de Qumulo es sencillo y ágil, y las nuevas actualizaciones de software se publican con regularidad. Esto permite una rápida innovación para desarrollar y desplegar nuevas funciones y fomenta una plataforma de almacenamiento más segura.

Qumulo ha diseñado el proceso de actualización para que sea rápido y sencillo. La pila de software Qumulo Core está totalmente contenedorizada, lo que permite la actualización de todo un clúster en 20 segundos, independientemente de su tamaño. Se elimina la necesidad de hacer rollbacks, ya que la funcionalidad y estabilidad de la versión actualizada pueden validarse completamente antes de apagar la versión anterior.