隨著應用交付、服務器虛擬化、桌面虛擬化等技術的發展,國內零售行業企業已開始廣泛吸收虛擬化技術帶來的IT創新價值。全球知名的連鎖建材超市百安居(B&Q)中國公司在大力推進虛擬化應用進程中,攜手全球服務器安全、虛擬化及云計算安全領導廠商——趨勢科技,通過部署趨勢科技Deep Security(服務器深度安全防護系統)的“無代理”防毒技術,沖破虛擬化防毒性能瓶頸,真正發揮了VMware View從云中提供桌面服務的價值,強化其終端集中管理的控制力。
桌面虛擬化進程受阻 傳統防毒帶來性能瓶頸
百安居隸屬于世界500強企業之一的英國翠豐集團,是世界第三、歐洲第一的大型國際裝飾建材零售企業。目前,百安居在中國擁有39家門店,為用戶提供一體化的配套服務,在同行業中具備了更豐富的全球經營管理優勢。據了解,百安居中國公司在成立之初,便參考其全球零售系統建立了先進的營銷管理系統,并逐步形成了一套符合國情和公司特點的企業管理信息系統。但隨著信息化進程的不斷推進,百安居在中國各地不斷發展,員工數量、分支機構與門店數量、IT設備也在日益增長,桌面環境的管理日趨復雜。
2010年,百安居開始與VMware公司接觸,探討實施桌面虛擬化系統的可行性。百安居希望通過部署虛擬桌面,實現在總部統一管理所有門店的桌面系統,并且保證桌面系統的安全性。百安居測試了包括VMware View在內的多個市場上主流的桌面虛擬化產品。另一家業界領先的桌面虛擬化廠商也參與了這次測試,與VMware一起成為了主要的競爭者。但是百安居在綜合評估之后,最終選擇了VMware的桌面虛擬化產品。選擇VMware的主要原因有三點:
第一,部分廠商的產品雖然有較多豐富的功能,但是配置和管理相對復雜,而VMware的產品功能不僅能夠完全滿足百安居的需求,而且管理更簡單;
第二,VMware在服務器虛擬化方面擁有非常強的實力,百安居考慮到未來將部署服務器虛擬化技術,桌面虛擬化和服務器虛擬化如果采用同一個廠商的產品,兼容性、集成性和可管理性都會更好。
第三,VMware在桌面虛擬化設計的其他領域有較完整的解決方案,例如安全,運維管理,云平臺管理方面。
在桌面虛擬化系統正式上線運行之前,VMware協助百安居進行了6個多月的測試,工作非常細致,對許多因更換新系統可能產生的風險都進行了評估。由于事前準備充分,桌面虛擬化系統上線運行十分順利。
迄今百安居桌面虛擬化系統上線運行已經有一年多時間,系統始終運行平穩,沒有任何問題發生。桌面虛擬化系統給百安居的新型終端運維模式帶來了一系列的新變化。
從提高管理效率的角度看,在原來的傳統PC訪問模式下,百安居門店分散,一旦PC出現故障現場維護往往耗時耗力,而現在采用VMware View桌面虛擬化系統后,所有的運維管理可以集中到數據中心里來,而且通過統一的鏡像模板,可以方便地實現補丁更新以及軟件升級。此外,通過使用VMware View內置的PCoIP協議,用戶可以更加流暢地訪問及操作桌面。
從安全的角度看,VMware View桌面虛擬化系統的優勢也十分明顯。通過實現桌面數據的大集中,在網絡上只是傳輸屏幕圖像的變化量,從而確保了生產業務數據不會輕易泄露。
通過采用VMware桌面虛擬化方案,百安居可以更好地保障數據及系統的安全性,實現簡化、集中的IT管理以及安全、靈活的桌面訪問,IT管理員在自己的工位上就能解決絕大部分桌面系統的技術問題。百安居的部分員工在出差的途中也可以使用IPAD等移動設備進行桌面訪問,提高了工作效率。
百安居桌面虛擬化項目不僅僅是一個普通的IT項目,其構建在業界最為領先的VMware云平臺之上,無論從未來發展的可擴展性以及資源的靈活性方面都符合當前云計算的要求和標準。
桌面云只是百安居云戰略的第一個階段,用戶也在考慮未來將桌面虛擬化、服務器虛擬化以及云平臺管理、流程自動化、智能監控納入統一集中管理的云計算平臺。這也是百安居選擇VMware桌面虛擬化技術,放棄基于傳統終端服務SBC計算模式解決方案的原因。
但是,任何一項創新的技術都有著兩面性,在提高兼容性并簡化管理的同時,服務器和桌面虛擬化卻都遇到了安全、防毒管理的難題。
百安全中國公司IT運維總監譚維先生介紹:“借助 VMware View桌面虛擬化技術,百安居可以將業務應用與底層操作系統分離,減少操作系統與其他應用之間的沖突,從而提高兼容性并簡化管理。但由于桌面虛擬化需要將映像文件放在服務器上運行,如果在每一個映像中安裝傳統的防毒軟件,幾百臺終端同時掃描病毒會造成服務器異常緩慢或是癱瘓,這就與我們進行虛擬化部署的初衷背道而馳了。雖然我們也嘗試利用VMware View Composer的黃金級映像功能,但不能完全解決虛擬機在休眠狀態下進行病毒代碼和補丁更新的問題。以上這些問題,都要求我們必須尋找一種能夠在不影響性能前提下的網絡安全解決方案,確保未來兩年內實現所有桌面終端虛擬化的目標。”
“無代理”成為最佳選擇 “休眠狀態”Deep Security也能殺毒
為了確保桌面虛擬化項目的按時完成,一掃安全隱患,譚維帶領著IT運維團隊開始廣泛尋找最佳的解決方案。百安居對多家廠商的虛擬化安全防護產品都分別進行了測試,但發現很多產品都還是停留在傳統的、基于操作系統的解決方案,不能全面解決之前遇到的各種問題。尤其是在病毒掃描時,“防毒掃描風暴(AV Storms)”會造成虛擬服務器極大的性能壓力。而后,通過與VMware虛擬化專家的溝通,IT運維團隊將目標聚焦在與VMware vShield Endpoint 集成度最好的趨勢科技Deep Security上,并相信這種深度集成有助于消除補丁升級和“防毒掃描風暴”問題。
【趨勢科技Deep Security 無代理解決方案】
譚維表示:“百安居是一家國際化、集團化的企業,因此在選擇安全產品時會經過非常嚴格的測試,并對供應商的綜合能力評估。我們之所以選擇趨勢科技,正是因為Deep Security能夠在VMware平臺下提供目前最新的無代理防護方案。由于此種技術在市場上不具有替代性,直接把威脅防護部署在服務器底層,可以在不影響性能的前提下發揮趨勢科技的云安全技術優勢。”
百安居通過對趨勢科技Deep Security的部署,在服務器威脅防御、桌面虛擬化管理效能方面都得到了提升, VMware View桌面虛擬化項目得以如期順利實施。尤其是通過Deep Security提供的虛擬補丁(Virtual Patch)功能,為百安居各個門店形成了統一的補丁部署架構,預先防止了黑客利用最新漏洞發起攻擊。
對于最新發現的漏洞,Deep Security首先能夠在第一時間提供修補程序,在無需重新啟動系統的前提下,即可在數分鐘內將這些規則應用到所有使用了Deep Security解決方案的虛擬桌面上。此外,趨勢科技Deep Security 不但可以對物理服務器上的操作系統、應用程序和數據進行防護,同時還可以利用 VMware vShield技術來保護處于運行狀態和休眠狀態的虛擬機。據了解,通過無代理技術的虛擬補丁功能,百安居的IT運維工程師們能夠避免防護間隙(Instant-On Gap),在集中的控管平臺中獲得最大化的性能提升和操作的靈活性。
【百安居某門店桌面虛擬化拓撲】
數據大集中 Deep Security讓虛擬化更具活力
一般來說,企業用戶為了解決特定場景下的某些棘手問題,開始嘗試采用創新的技術。這些項目通常不大,目標是為了發現和解決問題,就比如百安居虛擬化嘗試階段遇到的防毒掃描風暴和補丁管理等等問題,而一旦這些瓶頸被一個個沖破之后,消除了數據大集中之后的安全威脅,企業用戶能夠逐步擴大桌面虛擬化的部署范圍,最終得到豐厚的回報。
據了解,通過使用Deep Security虛擬化防毒平臺,百安居中國數據中心服務器CPU占用率降低了75.9%,而內存占用也減低了74.8%,其中,防毒掃描時間從之前的手動處理的14分38秒減少到3分42秒,降幅達到了75.3%。通過Deep Security獨有的無代理防毒技術,數據中心的整體性能得到了大幅增長,而虛擬機密度與應用傳統防毒軟件相比提升了100%以上。
據譚維介紹,在Deep Security部署前期以及實施過程中,趨勢科技的工程師為百安居提供準確、及時的本土化服務,是一支可以絕對信賴的隊伍。并且,趨勢科技的安全專家們還對VMware服務器內存優化提供了大量可行性建議。如今,百安全在大規模批量部署電腦時,利用桌面虛擬化技術實現大集中管理,真正降低了總體擁有成本(TCO)。