Asigra无代理备份:“云”数据保护的先行者

无代理、加密保证安全性，去重降低带宽需求

Eran Farajun：我们和其他产品的区别是无代理。大多数备份软件都要加一个Agent，但Asigra是没有代理的。当我们和别人讲，我们是无Agent，通常别人会问两个问题，第一、为什么你没有Agent；第二、你没有Agent你怎么去实现备份。很简单，为别人提供服务，前端安装的工作量越小，后面的利润就更好。如果没有接上Agent，就会避免像安装、升级Agent等工作。

传统基于代理（Agent）的备份软件工作模式：在每一台需要保护数据的应用服务器/主机上都需要安装至少一个备份代理，无论Oracle、SQL数据库还是Exchange邮件服务器。这些代理负责发送数据到备份软件的介质服务器。

备份代理还有一个大问题：它是安全上最大的隐患。Agent通常很容易受到黑客的攻击，因为Agent就是用来备份数据，所以Agent可以访问所有设备上的数据。因此，攻击了Agent就可以掌握所有数据。而传统的备份软件都一定要有Agent。

第二个问题如何不用Agent来实现备份。如上图：一边是云计算的提供厂商，一边是最终用户，可以跨平台应用，备份所有的不同应用。DS-Client概念上等同于备份服务器，但我们的产品只是软件没有硬件。可以把这软件安装到硬件上，或虚拟机上。最重要的是Asigra软件可根据不同的应用选择相应的language（语言），目前一共有35～40种应用程序都可以支持，除了大机之外其它的基本都支持。Asigra专门做授权，通过一个帐户来访问，不用root（根口令），比如说可以用sudo去授权。sudo在root的上一层面，所以不会把最底层的信息泄露，不是要嵌入到每一个应用里面去的。

Asigra的无代理备份架构：每台应用服务器上不再需要安装代理程序，同一个数据中心里安装Asigra DS-Client软件的服务器相当于集中了所有备份代理的工作。DS-Client能够“感知”到每台被保护主机的数据改变，经过重复数据删除/压缩和加密之后先保存在本地存储（相当于一个恢复速度最快的存储层），再经过广域网发送到公司内部/服务提供商的数据中心（私有/公共云）安装Asigra DS-System软件的服务器。这其实也是一种D2D2C（磁盘-磁盘-云）的方式。

ZDNet存储时代：根据我们的理解，Asigra支持的每种应用软件，都应该通过相应的授权，以具体应用的帐户来访问数据。比如备份Oracle数据库，使用的就是oracle帐户，而不是Windows的Administrator或者Linux/Unix的root。DS-Client服务器通过帐户认证直接读取被保护主机上的数据，而不需要安装在应用服务器上对应每种软件的备份代理。

“本地保留的备份集会以压缩形式进行存储。那些异地发送给服务提供商的DS-System Vault数据集在通过WAN进行高效发送前，已经过重复数据删除、压缩和加密（符合FIPS 140-2认证），但仅针对它尚未收到的数据。由于每位客户拥有独有的加密密钥，因此他们的数据都是绝对安全的。服务提供商无法读取客户数据，因此确保了安全多租户。”

上面这段话摘自Asigra和NetApp联合的《备份和恢复即服务解决方案》，可以说集中反映出了Asigra软件的优势。下面我们为大家解读：

1．本地的备份数据以压缩（去重）形式进行存储，能够节约物理存储空间的需求。

2．数据集在通过WAN发送前已经过重复数据删除/压缩，相当于“源端重复数据删除”功能，降低了对广域网带宽的需求。而带宽正是影响云存储（备份）应用发展的一大障碍。

3．很多厂商的产品都不能同时实现数据缩减和加密，因为经过加密处理之后的数据改变了原有结构，随机性较强而难以再通过重复数据删除和压缩来减小空间占用。Asigra则是先执行重复数据删除/压缩，然后对数据加密处理；需要恢复时，再反向处理——先解密，然后将缩减后的数据还原。

4．将去重、加密后的数据发送到服务提供商进行异地保存。首先保证了数据通过WAN传输时的安全；另一方面同样降低了服务提供商物理存储空间的占用；最重要的是，只有每个用户使用自己的密钥才能读取属于他们的数据，连服务提供商都看不到实际内容，这样真正实现了云备份的安全多租户。用户不用再担心数据存放在服务商那里，因为各种原因而泄露，安全问题也是很多企业/个人将数据（备份）迁移到云存储中慎重考虑的一个方面。