VMware虛擬化環(huán)境上信息安全防護(hù)經(jīng)驗(yàn)借鑒

責(zé)任編輯:editor004

2014-03-17 16:33:37

摘自:中國計(jì)算機(jī)報(bào)

虛擬化早已成為企業(yè)數(shù)據(jù)中心中必不可少的技術(shù),然而虛擬化卻給服務(wù)器安全防護(hù)帶來防毒掃描風(fēng)暴等嚴(yán)重的問題。 Deep Security 9的多租戶技術(shù)有效解決了廣東電信多業(yè)務(wù)部門安全管理分權(quán)的難題,加快了統(tǒng)一資源池推廣進(jìn)程。

虛擬化早已成為企業(yè)數(shù)據(jù)中心中必不可少的技術(shù),然而虛擬化卻給服務(wù)器安全防護(hù)帶來防毒掃描風(fēng)暴等嚴(yán)重的問題。是忍受緩慢的服務(wù)器響應(yīng)還是卸載殺毒軟件讓服務(wù)器“裸奔”?廣東電信通過實(shí)際測(cè)試和使用,找到了兩全其美的解決方案。

虛擬化早已成為企業(yè)數(shù)據(jù)中心中必不可少的技術(shù)。特別是對(duì)電信運(yùn)營商這樣的大型數(shù)據(jù)中心而言,虛擬化為數(shù)據(jù)中心節(jié)約了大量的成本,讓IT資源得到了更為充分的利用。但是,虛擬化技術(shù)也為傳統(tǒng)的安全防護(hù)和防病毒帶來了挑戰(zhàn)。

近日,廣東省電信公司(下文簡稱廣東電信)就通過采用趨勢(shì)科技的服務(wù)器深度安全防護(hù)系統(tǒng)(Deep Security)成功解決了VMware虛擬化環(huán)境上的信息安全防護(hù)問題,其經(jīng)驗(yàn)值得借鑒。

三大難題

據(jù)廣東電信IT運(yùn)維管理部門的梁先生介紹,之所以采用趨勢(shì)科技的防護(hù)系統(tǒng),是因?yàn)樗麄冊(cè)谔摂M化平臺(tái)上進(jìn)行安全防護(hù),遇到了非常大的困撓,梁先生稱之為三大難題。

難題一是傳統(tǒng)安全域技術(shù)支撐無力。

梁先生介紹,廣東電信作為中國電信集團(tuán)公司全國最大的省級(jí)公司,是最早按照集團(tuán)技術(shù)規(guī)范要求進(jìn)行統(tǒng)一虛擬化資源池建設(shè)的公司之一。

“目前,我們的業(yè)務(wù)網(wǎng)資源池已具備三個(gè)機(jī)房,共配置了3個(gè)VMware云計(jì)算數(shù)據(jù)中心共5個(gè)計(jì)算集群,包括2000臺(tái)虛擬機(jī),并計(jì)劃未來3年內(nèi)擴(kuò)展到2萬臺(tái)虛擬機(jī)。但在統(tǒng)一資源池建設(shè)初期,廣東電信IT運(yùn)維管理部門就發(fā)現(xiàn)了一個(gè)必須要解決的安全問題。”梁先生告訴記者。

梁先生介紹,由于傳統(tǒng)IDC環(huán)境采用邊界分離、安全隔離的方式,可以建立安全域進(jìn)行安全加固。而統(tǒng)一資源池使用了大量的虛擬化技術(shù),虛擬網(wǎng)絡(luò)層的交互數(shù)據(jù)直接在VMware ESXi主機(jī)內(nèi)部完成。這種現(xiàn)象直接導(dǎo)致了原來部署的傳統(tǒng)安全產(chǎn)品(如IPS、IDS等)無法實(shí)時(shí)監(jiān)控到虛擬網(wǎng)絡(luò)內(nèi)部的潛在威脅,為全局應(yīng)用下的安全運(yùn)行帶來了極大的風(fēng)險(xiǎn)。由于缺少專門針對(duì)虛擬化防毒和消除威脅的配套方案,這已經(jīng)影響了統(tǒng)一資源池項(xiàng)目在廣東電信乃至整個(gè)集團(tuán)內(nèi)部的推進(jìn)步伐。

難題二是防毒掃描風(fēng)暴致使ROI未達(dá)預(yù)期。

廣東電信數(shù)據(jù)中心利用VMware虛擬化技術(shù)建立統(tǒng)一的資源池,可以實(shí)現(xiàn)資源與項(xiàng)目分離,推進(jìn)業(yè)務(wù)平臺(tái)集中部署、集約運(yùn)營,逐步實(shí)現(xiàn)資源整合。

然而,原有服務(wù)器設(shè)備在遷移至云資源池后,其上部署的傳統(tǒng)防毒防病毒方案(需要安裝代理客戶端)將產(chǎn)生防毒掃描風(fēng)暴(AV Storms)。這是因?yàn)?,傳統(tǒng)防病毒方案與虛擬化底層兼容性極低,當(dāng)虛擬機(jī)均采用這些技術(shù)時(shí),會(huì)造成搶占CPU、內(nèi)存、存儲(chǔ)I/O和網(wǎng)絡(luò)擁堵的現(xiàn)象,直接造成業(yè)務(wù)訪問延遲或超時(shí)。對(duì)于這種情況,廣東電信只能通過降低虛擬化密度或卸載防病毒軟件來解決。

“不管采用哪種方案,這都對(duì)資源池的ROI與安全帶來負(fù)面的影響,致使預(yù)期收益不達(dá)標(biāo)。”梁先生說。

難題三是多用戶管理不能“水中望月”。

在數(shù)據(jù)中心未升級(jí)至虛擬化架構(gòu)之前,各個(gè)業(yè)務(wù)部門的系統(tǒng)均擁有獨(dú)立的運(yùn)行環(huán)境,邊界清晰,因而可以擁有獨(dú)立自主的安全管理模式和系統(tǒng),互不干擾。但當(dāng)多個(gè)部門的系統(tǒng)均納入統(tǒng)一資源池中運(yùn)行時(shí),各個(gè)業(yè)務(wù)系統(tǒng)之間的邊界變得模糊,傳統(tǒng)安全方案無法支持各部門安全事務(wù)獨(dú)立管理的模式,打亂了原有沿用多年的管理模式,極大地阻礙了統(tǒng)一資源池的推進(jìn)。同時(shí),由于未來統(tǒng)一資源池的規(guī)模會(huì)迅速擴(kuò)張,如果把全省所有業(yè)務(wù)部門的安全事務(wù)集中交付給運(yùn)維部門進(jìn)行管理,必然會(huì)超出IT運(yùn)維管理的承受極限。

選擇無代理和多租戶

“為此,廣東電信迫切希望找個(gè)一個(gè)保證數(shù)據(jù)中心安全的解決方案,同時(shí)它還需要參考VMware的軟件定義數(shù)據(jù)中心(vCloud SDDC)方案,將數(shù)據(jù)中心安全策略成功擴(kuò)展到云端,在安全管理上實(shí)現(xiàn)多租戶管理。”梁先生說。

梁先生介紹,為了確保公司的業(yè)務(wù)順利遷移至資源池,廣東電信開始廣泛尋找最佳的解決方案。廣東電信對(duì)多家廠商的虛擬化安全防護(hù)產(chǎn)品進(jìn)行了全面評(píng)估與測(cè)試,發(fā)現(xiàn)這些廠家的方案均屬于傳統(tǒng)的、基于操作系統(tǒng)的解決方案,不能全面解決之前遇到的各種問題。“然而,我們?cè)谝淮闻c趨勢(shì)科技的技術(shù)交流中得知,趨勢(shì)科技Deep Security 9能夠在VMWare ESXi平臺(tái)下提供目前最新的無代理防護(hù)方案,直接把防護(hù)系統(tǒng)部署在ESXi虛擬化平臺(tái)底層,可以有效地解決之前遇到的各種問題。”梁先生告訴記者。

據(jù)介紹,為了驗(yàn)證趨勢(shì)科技Deep Security 9的技術(shù)可行性,廣東電信邀請(qǐng)趨勢(shì)科技參與了虛擬化平臺(tái)安全防護(hù)方案的測(cè)試。趨勢(shì)科技則以VMware vShield Endpoint和VMSAFE兩套安全API為基礎(chǔ)的虛擬化底層防護(hù)技術(shù),有效解決了“安全管理多租戶”等一系列虛擬化環(huán)境的安全問題。

“經(jīng)過深入細(xì)致的測(cè)試,我們發(fā)現(xiàn)趨勢(shì)科技Deep Security的無代理功能完全符合我們的要求。”梁先生說。

據(jù)介紹,廣東電信通過Deep Security的虛擬化底層防護(hù)技術(shù),首先解決了ESXi環(huán)境下定時(shí)全盤殺毒的防毒掃描風(fēng)暴問題,使統(tǒng)一資源池虛擬化密度提升2.5倍。

其次, Deep Security 9的多租戶技術(shù)有效解決了廣東電信多業(yè)務(wù)部門安全管理分權(quán)的難題,加快了統(tǒng)一資源池推廣進(jìn)程。

第三,廣東電信借助Deep Security的虛擬化底層訪問控制技術(shù),有效解決了虛擬層無法劃分安全域的難題,并使統(tǒng)一資源池的安全合規(guī)性可以符合集團(tuán)的安全規(guī)范。

廣東電信:VMware平臺(tái)上的安全選擇

虛擬機(jī)還將激增

據(jù)了解,目前廣東電信還處在統(tǒng)一資源池建設(shè)的嘗試階段,一旦突破技術(shù)和管理上的難關(guān),虛擬服務(wù)器數(shù)量將會(huì)呈爆炸式增長趨勢(shì)。“到那時(shí),更多的業(yè)務(wù)、更多的應(yīng)用將直接匯聚于統(tǒng)一資源池中。更大規(guī)模的虛擬化應(yīng)用,也將對(duì)數(shù)據(jù)中心的負(fù)載和安全能力提出更高的要求。”梁先生說。

據(jù)趨勢(shì)科技方面透露,其最新的Deep Security 9可以為用戶提供更完整的入侵防護(hù)和性能監(jiān)控程序,并在一個(gè)無需安裝代理程序的高性能平臺(tái)上實(shí)現(xiàn)動(dòng)態(tài)的虛擬補(bǔ)丁功能。它可以大幅降低企業(yè)數(shù)據(jù)中心和私有云環(huán)境的運(yùn)維負(fù)荷。

據(jù)介紹,廣東電信在充分驗(yàn)證了趨勢(shì)科技Deep Security的先進(jìn)技術(shù)后,最終確定在現(xiàn)有虛擬化平臺(tái)上全面部署了Deep Security無代理防護(hù)解決方案。梁先生表示:“使用趨勢(shì)科技專門對(duì)虛擬化安全環(huán)境開發(fā)的Deep Security,并利用其"無代理"和"多租戶"安全防護(hù)方案,能夠有效解決統(tǒng)一資源池安全管理上的三大難題,掃除了阻礙統(tǒng)一資源池發(fā)展的安全障礙,為廣東電信統(tǒng)一資源池建設(shè)提供了有力的保障和強(qiáng)大的支持!”

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號(hào)-6京公網(wǎng)安備 11010502049343號(hào)