云計算和大數據的時代已經來臨,國內高等院校的數據中心也正在經歷著一場虛擬化變革。"全新架構下卻沒有專門為虛擬化設計的防毒系統",這個問題困擾著許多高校信息化的管理者,但在虛擬化進程中受益匪淺的江蘇師范大學卻不在其列?;仡櫧K師范大學與趨勢科技長達十年的成功合作,不但通過部署OfficeScan,每遇病毒攻擊都能大獲全勝,更能在創(chuàng)新應用中把安全防護提前到位。而這次擔任虛擬化威脅"阻擊戰(zhàn)"的主角,則是趨勢科技服務器深度安全防護系統--Deep Security。
虛擬化益處顯而易見 傳統防毒亟待創(chuàng)新
江蘇師范大學地處歷史文化名城徐州,是江蘇省蘇北地區(qū)辦學歷史最長、辦學規(guī)模最大、學科門類最多、綜合實力最強的省屬高校,在教育信息化創(chuàng)新方面更位于全國高校的"第一梯隊"。然而,隨著江蘇師范大學數字校園的全面建設,業(yè)務系統數量不斷增多,"一機一服務"的傳統應用模式亟待轉變。應用服務器數量大量增加,導致數據中心面臨著系統資源利用率低、兼容性差、管理復雜、安全控制與數據備份困難等問題。而利用虛擬化技術,不但可以將服務器進行整合,更能在保證業(yè)務連續(xù)性的前提下,確保全面的數據安全和快速準確的災難恢復。
據江蘇師范大學信息網絡中心宋主任介紹:從2005年開始,江蘇師范大學就在虛擬化應用方面積極嘗試,并于2007年在郵件系統上率先采用了虛擬化技術。虛擬化不僅提高了資源的利用率,更能降低整體成本,徹底改變數據中心的管理模式。為此,學校在2011年底啟動了包括服務器、存儲和網絡等全面虛擬化數據中心建設項目,并在前期規(guī)劃中把虛擬化安全也列為工作重點,希望借此一舉解決之前遇到的服務器防毒效果不佳的問題。
那么,在之前小范圍的虛擬化嘗試中,虛擬化安全出現了什么狀況呢?據了解,當把物理服務器遷至置VMware平臺后,在日常使用中,常常受到病毒掃描風暴(AV Storms)的影響。防毒軟件在啟用預設掃描排程后,當到了指定時間,會同時進行文件掃描的動作,這個時候防毒軟件對CPU、內存、存儲的占用急劇增加,當系統資源被耗盡的時候,甚至會導致服務器宕機的重大IT故障。另外,管理員還需要對每臺虛機單獨執(zhí)行防毒策略、安全加固與補丁管理等工作,消耗了大量的人力資源,虛擬機的靈活性由于傳統防毒軟件的限制受到了很大的影響。
Deep Security阻擊病毒再立奇功 "三高"目標得以實現
"服務器虛擬化項目的推進,不會因為安全工作受阻",帶著這樣的信心,信息網絡中心的所有同事對虛擬化防毒課題和市場前沿技術進行了全面分析。宋主任表示:虛擬化具有與傳統物理環(huán)境不同的威脅形態(tài),之前我們可以在每個操作系統中安裝防毒軟件,在網絡層部署防火墻、入侵檢測或入侵防御系統,但是這種在傳統方式下的合理設計,在虛擬化環(huán)境中就會面臨很多新問題,因此,必須另辟新徑。而在調研、測試了大量的安全防護軟件和服務器加固產品后,采用"無代理防毒"模式的趨勢科技 Deep Security最終被我們確定為上線產品。
在數據中心一期的建設中,江蘇師范大學利用Deep Security可以結合VMsafe API的特性,把安全防護組件DSVA安裝在VMware vSphere上,直接從虛擬層對上層的所有虛擬機提供統一的安全防護,從而解決了傳統解決方案無法統一防護的問題。而Deep Security獨有的"無代理防毒"功能完全避免了AV Storms事件的發(fā)生,防護間隙(Instant-On Gap)特性更解決了補丁安裝與新攻擊時間差的問題。
針對Deep Security在一期項目中的優(yōu)秀表現,宋主任表示:在正式部署Deep Security之后,我們可以對所有虛機中的操作系統、應用程序和健康狀況進行統一的監(jiān)控,并實現了前期設計的"虛擬機密度"要求。而Deep Security的防毒效果更可以充分信任,在一次病毒感染事件中,所有受Deep Security保護的虛擬機都未遭受到影響,而其它保護范圍之外的主機雖然在第一時間得到了抑制,但足以說明問題。
據了解,江蘇師范大學在數據中心隨后已完成的二期建設、以及正在實施的三期建設中, Deep Security已經在虛擬化平臺進行了全覆蓋。如今,以"高可靠、高可用、高可管(設備穩(wěn)定可靠、業(yè)務連續(xù)可用、系統安全易管)"為目標,全面虛擬化和云計算技術得到充分應用的新型數據中心已無后顧之憂,正在為全校師生提供前所未有的服務體驗。