當今，用戶對虛擬化和云計算平臺的需求正在呈現(xiàn)爆發(fā)趨勢。然而，虛擬化技術其實是一把雙刃劍，它具有更高效率地利用計算、存儲資源等優(yōu)勢，但這些優(yōu)勢都依賴于虛擬化系統(tǒng)資源高度集中的特性，但集中意味著更大的風險，在安全方面，挑戰(zhàn)尤其嚴重。

資源集中的虛擬化環(huán)境和傳統(tǒng)物理環(huán)境安裝部署安全系統(tǒng)有著本質的區(qū)別，在傳統(tǒng)物理環(huán)境的防病毒解決方案中，往往需要給每個物理服務器安裝防病毒軟件，以實時防御可能的病毒入侵。而當這些業(yè)務被遷移到虛擬化環(huán)境中后，傳統(tǒng)的安全防護方案需要在每臺虛擬機上安裝防病毒軟件，即有代理模式，傳統(tǒng)防病毒方案的“不適應性”開始凸顯。

傳統(tǒng)安全防護對虛擬化環(huán)境水土不服

難題一：管理復雜

傳統(tǒng)防病毒方案中，每臺虛擬機的防病毒軟件都需要單獨安裝、分別升級、逐個查毒，部署成本較高。同時管理員還需要對每臺虛機單獨執(zhí)行防病毒策略、安全加固與補丁管理等工作，消耗了大量的人力資源，因此虛擬機的靈活性由于傳統(tǒng)防病毒軟件的限制受到了很大的影響。

難題二：殺毒風暴引發(fā)宕機風險

同一個物理服務器上的多個虛擬機同時按需全盤掃描或更新病毒特征庫時，便會觸發(fā)所有虛擬機同時執(zhí)行排程，從而導致對物理主機性能需求出現(xiàn)瞬間激增，引發(fā)殺毒風暴，造成CPU、內(nèi)存、存儲I/O 和網(wǎng)絡擁堵，造成業(yè)務訪問延遲或超時，嚴重時可能導致服務器宕機。

難題三：存在防護間歇

虛擬機處于休眠、關閉或開啟等不同狀態(tài)，虛擬機的安全策略不統(tǒng)一，導致防護間歇問題。如某臺一直處于關閉狀態(tài)的虛擬機在業(yè)務需要時會自動啟動，但在這臺虛擬機啟動時，其包括防病毒在內(nèi)的所有安全狀態(tài)較其他一直在線運行的虛擬機處于滯后和脫節(jié)的地位，因此會引入額外的風險。

新華三聯(lián)手亞信安全提供高效解決之道

上述引發(fā)的問題如果采用傳統(tǒng)手段只能通過降低虛擬化密度或卸載防病毒軟件解決，不管采用哪種方案，對資源池的ROI 及安全都帶來負面的影響，致使預期收益不達標。那怎樣才能既達到安全防護的目的，又節(jié)約IT資源，從而保證虛擬化平臺運轉無虞呢?

答案是采用無代理安全部署模式。所謂無代理模式，即虛擬機無需安裝任何客戶端或者軟件，就可以利用一個安全虛擬設備為所有虛擬機進行殺毒處理。不過，阻礙無代理安全實現(xiàn)的一個現(xiàn)實困難是：不同廠商在虛擬化實現(xiàn)技術、存儲架構、虛擬交換機之間的隔離等方面仍然存在很大差異。因此，安全廠商需要跟不同虛擬化廠商合作，針對不同虛擬化廠商和平臺架構、開放接口進行差異化的開發(fā)，因此，無代理安全模式需要與虛擬化系統(tǒng)密切結合在一起，才能真正為虛擬化用戶帶來效率和資源利用率的同時提升安全體驗。

針對用戶的這一核心痛點，新華三聯(lián)手亞信安全共同推出了虛擬化安全套件。作為雙方合作的核心成果，亞信安全Deep Security深度安全防護系統(tǒng)經(jīng)過深入的對接開發(fā)及驗證測試，成為H3Cloud CAS虛擬化軟件Hypervisor層的標準化安全模塊，通過病毒防護、訪問控制、入侵檢測/入侵防護、虛擬補丁等功能，實現(xiàn)宿主機和虛擬機的全面防護，從而構建CAS虛擬化平臺的全方位綜合防護，并滿足信息系統(tǒng)合規(guī)性審計要求。

具體來說，Deep Security for CAS無代理安全防護解決方案具有以下三個優(yōu)勢：

首先， Deep Security for CAS無代理安全防護解決方案深度對接了CAS的網(wǎng)絡安全技術接口，CAS虛擬化平臺上的所有虛擬機無需安裝任何軟件，也無需再安裝單獨的安全虛擬機，只需要在每臺宿主機底層Hypervisor上安裝一次殺毒引擎就能對虛擬機的病毒、間諜軟件、木馬等威脅進行查殺。

其次，底層查殺的方式降低了虛擬機并發(fā)全盤掃描及病毒庫更新時產(chǎn)生的大量資源消耗，資源的消耗并不隨著虛擬機密度的增加而增大，因此能夠最大化利用計算資源，避免殺毒風暴，同時底層查殺的方式極大增加了查殺的效率，對Hypervisor本身的安全也起到了安全防護的效果。

第三 ，不論是休眠或是關閉狀態(tài)的虛機，一旦啟動進入到資源池，安全防護能力便能自動加載。用戶在新增虛擬機時，也無需再次部署安全解決方案，這不僅解決了資源池中虛擬機安全策略不統(tǒng)一導致的防護間歇問題，同時也大大降低了人員的管理成本。

Deep Security for CAS無代理安全防護解決方創(chuàng)新采用安全防護引擎與Hypervisor無縫集成的方式，提供了一種更輕松、更易于管理的虛擬機安全防護方法，極大提高了資源利用率，使虛擬機密度遠高于傳統(tǒng)安全解決方案，在為虛擬化提供安全防護的同時，加快虛擬化和云的部署速度，是虛擬化和安全的一次最成功親密接觸。