Deep Security打造“安全資源池”

隨著云計算、應用交付、虛擬化等技術在各個行業的快速發展，國內許多電力企業已把桌面虛擬化視為一項重要的IT戰略。為了應對大規模虛擬化桌面應用環境中不斷涌現的安全挑戰，東莞供電局攜手全球服務器安全、虛擬化及云計算安全領導廠商——趨勢科技，通過趨勢科技虛擬化深度安全防護系統（Deep Security）“無代理”安全防護技術的部署，真正發揮了VMware桌面虛擬化平臺的性能與成本優勢。

傳統防毒軟件“綆短汲深” 桌面虛擬化推廣進程受阻擊

東莞供電局是中國南方電網廣東電網公司屬下的特大型供電企業，全局內設13個職能部門、10個二級機構和33個供電分局，供電人口822萬人，供電客戶205萬戶。為了響應國家“十二·五規劃”所提倡的“綠色IT”指導，東莞供電局率先在廣東省電網體系內進行桌面虛擬化試驗，為全網桌面虛擬化進行可行性研究，為全網推廣工作的積極備戰。東莞供電局在應用桌面虛擬化技術后，硬件資源使用率得到了極大的提高，能耗也大幅降低。另外，在運維工作量減少90%的基礎上，動態分配資源、可按需擴展的功能都滿足了不斷變化的業務需求。但若在全網范圍內進行推廣，信息中心就必須考慮好桌面虛擬化可能會遇到的安全問題。

東莞供電局專門負責安全工作的鄧工介紹說：“與其他能源行業相比，電力企業對信息系統的實時性要求則是最高的，而要保障所有操作都能滿足高標準的實時性要求，虛擬桌面的性能就要長期處于最佳的工作狀態。為了確保虛擬化桌面系統在工作時間不間斷運行，我們啟用了虛擬化桌面特有的資源池技術，一旦View（虛擬桌面專用管理端）發現某個資源池（Resource Pools）不足以運行多臺虛擬桌面時，能夠動態把虛擬桌面遷移到其他的資源池上，保障業務不間斷運行。這種虛擬機在資源池內動態漂移的技術，雖然能夠實現虛擬桌面不間斷運行，但管理員無法保障每個映像文件是否處于安全保護狀態，這為整個虛擬化平臺的安全監控帶來了前所未有的挑戰。”

虛擬化的好處讓每個業務部門都“垂涎欲滴”，現在業務部門向信息中心申請虛擬機時，均達到數十臺的數量。在這種推進速度下，如果使用傳統的防病毒方案，安全管理員需要手動為每臺虛擬機單獨部署防病毒客戶端、升級病毒庫、升級操作系統補丁、修改安全策略等多項工作，給信息中心的運維工作帶來了極大的壓力，如果稍有遺漏，就會為整個虛擬化桌面平臺帶來巨大的安全隱患。

顯然，傳統的防病毒軟件已經不能滿足東莞供電局的需求，嚴重阻礙了桌面虛擬化進程的推進。經過多次論證之后，東莞供電局希望購置一套專門在虛擬化平臺上工作的安全解決方案，來打破這種“安全滯后”的局面。

“無代理”成為桌面虛擬化安全的“勝負手”

為了確保桌面虛擬化平臺的業務連續性，避免新威脅涌入內網，東莞供電局開始尋找最佳的解決方案。用戶在VMware官網上了解到趨勢科技Deep Security是目前業界與VMware兼容度最高的安全產品，能夠利用VMware發布的vShield EndPoint安全接口在VMware ESX平臺上提供無代理防護方案，直接把防護客戶端部署在虛擬化平臺ESXi上，能夠有效地解決了之前遇到的各種問題。經過與趨勢科技技術顧問的深入交流及反復測試，東莞供電局最終決定使用趨勢科技Deep Security作為其桌面虛擬化平臺提供安全保障，以此推動虛擬化進程的建設。

【趨勢科技Deep Security有效解決了“防毒掃描風暴”等一系列虛擬化環境的安全問題】

在測試階段，Deep Security無代理功能相對于傳統防病毒產品表現出優異的性能和管理優勢，很好的解決了資源競爭、即時啟動間隔、遷移審核等虛擬化特有的安全難題。隨著東莞供電局桌面虛擬化應用范疇的不斷擴展，大量桌面共享主機的硬件資源，而Deep Security無代理技術完全避免了病毒掃描風暴的產生，使得資源池的共享比例達到或超過了60:1。另外，在傳統防毒軟件無法插足的“即時啟動間隔”處理上，休眠的桌面映像同樣可以采用Deep Security的虛擬補丁修復功能，以防御零日威脅。另外，Deep Security的部署還很好的發揮了虛擬桌面的易配置性和移動性，做到了所有虛擬桌面安全狀況的審計記錄。

虛擬機安全管理難題迎刃而解 桌面虛擬化推廣進程隨即加速

安全是一個整體，物理和虛擬桌面都需要防惡意軟件的保護，但是虛擬桌面防惡意軟件安全解決方案必須專為共享資源環境設計。也就是說，虛擬化必須保障資源池的安全，當任何一個虛機進入到資源池之后，立即就能在統一防護策略下的達到最新的安全水平。而無代理防毒技術恰恰是制造這樣一個容器的最佳“材料”，這為東莞供電局實現了真正的“無限虛擬機安全管理”。

對此，東莞供電局的鄧工表示：“趨勢科技Deep Security是目前少數能夠支持虛擬機無代理防護技術的產品之一。經過驗證，我們認為Deep Security是最符合東莞供電局虛擬化平臺需求的產品。在實施Deep Security后，我們在虛擬化建設時遇到的包括性能、虛擬機內部攻擊、大規模虛擬桌面運維管理困難等諸多安全問題得到了解決，讓我們更加安心地把更多的終端遷移至桌面虛擬化平臺，極大地加速了我中心虛擬化進程的建設。”