云計(jì)算和大數(shù)據(jù)的時(shí)代已經(jīng)來臨,國(guó)內(nèi)高等院校的數(shù)據(jù)中心也正在經(jīng)歷著一場(chǎng)虛擬化變革。"全新架構(gòu)下卻沒有專門為虛擬化設(shè)計(jì)的防毒系統(tǒng)",這個(gè)問題困擾著許多高校信息化的管理者,但在虛擬化進(jìn)程中受益匪淺的江蘇師范大學(xué)卻不在其列。回顧江蘇師范大學(xué)與趨勢(shì)科技長(zhǎng)達(dá)十年的成功合作,不但通過部署OfficeScan,每遇病毒攻擊都能大獲全勝,更能在創(chuàng)新應(yīng)用中把安全防護(hù)提前到位。而這次擔(dān)任虛擬化威脅"阻擊戰(zhàn)"的主角,則是趨勢(shì)科技服務(wù)器深度安全防護(hù)系統(tǒng)--Deep Security。
虛擬化益處顯而易見 傳統(tǒng)防毒亟待創(chuàng)新
江蘇師范大學(xué)地處歷史文化名城徐州,是江蘇省蘇北地區(qū)辦學(xué)歷史最長(zhǎng)、辦學(xué)規(guī)模最大、學(xué)科門類最多、綜合實(shí)力最強(qiáng)的省屬高校,在教育信息化創(chuàng)新方面更位于全國(guó)高校的"第一梯隊(duì)"。然而,隨著江蘇師范大學(xué)數(shù)字校園的全面建設(shè),業(yè)務(wù)系統(tǒng)數(shù)量不斷增多,"一機(jī)一服務(wù)"的傳統(tǒng)應(yīng)用模式亟待轉(zhuǎn)變。應(yīng)用服務(wù)器數(shù)量大量增加,導(dǎo)致數(shù)據(jù)中心面臨著系統(tǒng)資源利用率低、兼容性差、管理復(fù)雜、安全控制與數(shù)據(jù)備份困難等問題。而利用虛擬化技術(shù),不但可以將服務(wù)器進(jìn)行整合,更能在保證業(yè)務(wù)連續(xù)性的前提下,確保全面的數(shù)據(jù)安全和快速準(zhǔn)確的災(zāi)難恢復(fù)。
據(jù)江蘇師范大學(xué)信息網(wǎng)絡(luò)中心宋主任介紹:從2005年開始,江蘇師范大學(xué)就在虛擬化應(yīng)用方面積極嘗試,并于2007年在郵件系統(tǒng)上率先采用了虛擬化技術(shù)。虛擬化不僅提高了資源的利用率,更能降低整體成本,徹底改變數(shù)據(jù)中心的管理模式。為此,學(xué)校在2011年底啟動(dòng)了包括服務(wù)器、存儲(chǔ)和網(wǎng)絡(luò)等全面虛擬化數(shù)據(jù)中心建設(shè)項(xiàng)目,并在前期規(guī)劃中把虛擬化安全也列為工作重點(diǎn),希望借此一舉解決之前遇到的服務(wù)器防毒效果不佳的問題。
那么,在之前小范圍的虛擬化嘗試中,虛擬化安全出現(xiàn)了什么狀況呢?據(jù)了解,當(dāng)把物理服務(wù)器遷至置VMware平臺(tái)后,在日常使用中,常常受到病毒掃描風(fēng)暴(AV Storms)的影響。防毒軟件在啟用預(yù)設(shè)掃描排程后,當(dāng)?shù)搅酥付〞r(shí)間,會(huì)同時(shí)進(jìn)行文件掃描的動(dòng)作,這個(gè)時(shí)候防毒軟件對(duì)CPU、內(nèi)存、存儲(chǔ)的占用急劇增加,當(dāng)系統(tǒng)資源被耗盡的時(shí)候,甚至?xí)?dǎo)致服務(wù)器宕機(jī)的重大IT故障。另外,管理員還需要對(duì)每臺(tái)虛機(jī)單獨(dú)執(zhí)行防毒策略、安全加固與補(bǔ)丁管理等工作,消耗了大量的人力資源,虛擬機(jī)的靈活性由于傳統(tǒng)防毒軟件的限制受到了很大的影響。
Deep Security阻擊病毒再立奇功 "三高"目標(biāo)得以實(shí)現(xiàn)
"服務(wù)器虛擬化項(xiàng)目的推進(jìn),不會(huì)因?yàn)榘踩ぷ魇茏?quot;,帶著這樣的信心,信息網(wǎng)絡(luò)中心的所有同事對(duì)虛擬化防毒課題和市場(chǎng)前沿技術(shù)進(jìn)行了全面分析。宋主任表示:虛擬化具有與傳統(tǒng)物理環(huán)境不同的威脅形態(tài),之前我們可以在每個(gè)操作系統(tǒng)中安裝防毒軟件,在網(wǎng)絡(luò)層部署防火墻、入侵檢測(cè)或入侵防御系統(tǒng),但是這種在傳統(tǒng)方式下的合理設(shè)計(jì),在虛擬化環(huán)境中就會(huì)面臨很多新問題,因此,必須另辟新徑。而在調(diào)研、測(cè)試了大量的安全防護(hù)軟件和服務(wù)器加固產(chǎn)品后,采用"無代理防毒"模式的趨勢(shì)科技 Deep Security最終被我們確定為上線產(chǎn)品。
在數(shù)據(jù)中心一期的建設(shè)中,江蘇師范大學(xué)利用Deep Security可以結(jié)合VMsafe API的特性,把安全防護(hù)組件DSVA安裝在VMware vSphere上,直接從虛擬層對(duì)上層的所有虛擬機(jī)提供統(tǒng)一的安全防護(hù),從而解決了傳統(tǒng)解決方案無法統(tǒng)一防護(hù)的問題。而Deep Security獨(dú)有的"無代理防毒"功能完全避免了AV Storms事件的發(fā)生,防護(hù)間隙(Instant-On Gap)特性更解決了補(bǔ)丁安裝與新攻擊時(shí)間差的問題。
針對(duì)Deep Security在一期項(xiàng)目中的優(yōu)秀表現(xiàn),宋主任表示:在正式部署Deep Security之后,我們可以對(duì)所有虛機(jī)中的操作系統(tǒng)、應(yīng)用程序和健康狀況進(jìn)行統(tǒng)一的監(jiān)控,并實(shí)現(xiàn)了前期設(shè)計(jì)的"虛擬機(jī)密度"要求。而Deep Security的防毒效果更可以充分信任,在一次病毒感染事件中,所有受Deep Security保護(hù)的虛擬機(jī)都未遭受到影響,而其它保護(hù)范圍之外的主機(jī)雖然在第一時(shí)間得到了抑制,但足以說明問題。
據(jù)了解,江蘇師范大學(xué)在數(shù)據(jù)中心隨后已完成的二期建設(shè)、以及正在實(shí)施的三期建設(shè)中, Deep Security已經(jīng)在虛擬化平臺(tái)進(jìn)行了全覆蓋。如今,以"高可靠、高可用、高可管(設(shè)備穩(wěn)定可靠、業(yè)務(wù)連續(xù)可用、系統(tǒng)安全易管)"為目標(biāo),全面虛擬化和云計(jì)算技術(shù)得到充分應(yīng)用的新型數(shù)據(jù)中心已無后顧之憂,正在為全校師生提供前所未有的服務(wù)體驗(yàn)。