虛擬化早已成為企業數據中心中必不可少的技術,然而虛擬化卻給服務器安全防護帶來防毒掃描風暴等嚴重的問題。是忍受緩慢的服務器響應還是卸載殺毒軟件讓服務器“裸奔”?廣東電信通過實際測試和使用,找到了兩全其美的解決方案。
虛擬化早已成為企業數據中心中必不可少的技術。特別是對電信運營商這樣的大型數據中心而言,虛擬化為數據中心節約了大量的成本,讓IT資源得到了更為充分的利用。但是,虛擬化技術也為傳統的安全防護和防病毒帶來了挑戰。
近日,廣東省電信公司(下文簡稱廣東電信)就通過采用趨勢科技的服務器深度安全防護系統(Deep Security)成功解決了VMware虛擬化環境上的信息安全防護問題,其經驗值得借鑒。
三大難題
據廣東電信IT運維管理部門的梁先生介紹,之所以采用趨勢科技的防護系統,是因為他們在虛擬化平臺上進行安全防護,遇到了非常大的困撓,梁先生稱之為三大難題。
難題一是傳統安全域技術支撐無力。
梁先生介紹,廣東電信作為中國電信集團公司全國最大的省級公司,是最早按照集團技術規范要求進行統一虛擬化資源池建設的公司之一。
“目前,我們的業務網資源池已具備三個機房,共配置了3個VMware云計算數據中心共5個計算集群,包括2000臺虛擬機,并計劃未來3年內擴展到2萬臺虛擬機。但在統一資源池建設初期,廣東電信IT運維管理部門就發現了一個必須要解決的安全問題。”梁先生告訴記者。
梁先生介紹,由于傳統IDC環境采用邊界分離、安全隔離的方式,可以建立安全域進行安全加固。而統一資源池使用了大量的虛擬化技術,虛擬網絡層的交互數據直接在VMware ESXi主機內部完成。這種現象直接導致了原來部署的傳統安全產品(如IPS、IDS等)無法實時監控到虛擬網絡內部的潛在威脅,為全局應用下的安全運行帶來了極大的風險。由于缺少專門針對虛擬化防毒和消除威脅的配套方案,這已經影響了統一資源池項目在廣東電信乃至整個集團內部的推進步伐。
難題二是防毒掃描風暴致使ROI未達預期。
廣東電信數據中心利用VMware虛擬化技術建立統一的資源池,可以實現資源與項目分離,推進業務平臺集中部署、集約運營,逐步實現資源整合。
然而,原有服務器設備在遷移至云資源池后,其上部署的傳統防毒防病毒方案(需要安裝代理客戶端)將產生防毒掃描風暴(AV Storms)。這是因為,傳統防病毒方案與虛擬化底層兼容性極低,當虛擬機均采用這些技術時,會造成搶占CPU、內存、存儲I/O和網絡擁堵的現象,直接造成業務訪問延遲或超時。對于這種情況,廣東電信只能通過降低虛擬化密度或卸載防病毒軟件來解決。
“不管采用哪種方案,這都對資源池的ROI與安全帶來負面的影響,致使預期收益不達標。”梁先生說。
難題三是多用戶管理不能“水中望月”。
在數據中心未升級至虛擬化架構之前,各個業務部門的系統均擁有獨立的運行環境,邊界清晰,因而可以擁有獨立自主的安全管理模式和系統,互不干擾。但當多個部門的系統均納入統一資源池中運行時,各個業務系統之間的邊界變得模糊,傳統安全方案無法支持各部門安全事務獨立管理的模式,打亂了原有沿用多年的管理模式,極大地阻礙了統一資源池的推進。同時,由于未來統一資源池的規模會迅速擴張,如果把全省所有業務部門的安全事務集中交付給運維部門進行管理,必然會超出IT運維管理的承受極限。
選擇無代理和多租戶
“為此,廣東電信迫切希望找個一個保證數據中心安全的解決方案,同時它還需要參考VMware的軟件定義數據中心(vCloud SDDC)方案,將數據中心安全策略成功擴展到云端,在安全管理上實現多租戶管理。”梁先生說。
梁先生介紹,為了確保公司的業務順利遷移至資源池,廣東電信開始廣泛尋找最佳的解決方案。廣東電信對多家廠商的虛擬化安全防護產品進行了全面評估與測試,發現這些廠家的方案均屬于傳統的、基于操作系統的解決方案,不能全面解決之前遇到的各種問題。“然而,我們在一次與趨勢科技的技術交流中得知,趨勢科技Deep Security 9能夠在VMWare ESXi平臺下提供目前最新的無代理防護方案,直接把防護系統部署在ESXi虛擬化平臺底層,可以有效地解決之前遇到的各種問題。”梁先生告訴記者。
據介紹,為了驗證趨勢科技Deep Security 9的技術可行性,廣東電信邀請趨勢科技參與了虛擬化平臺安全防護方案的測試。趨勢科技則以VMware vShield Endpoint和VMSAFE兩套安全API為基礎的虛擬化底層防護技術,有效解決了“安全管理多租戶”等一系列虛擬化環境的安全問題。
“經過深入細致的測試,我們發現趨勢科技Deep Security的無代理功能完全符合我們的要求。”梁先生說。
據介紹,廣東電信通過Deep Security的虛擬化底層防護技術,首先解決了ESXi環境下定時全盤殺毒的防毒掃描風暴問題,使統一資源池虛擬化密度提升2.5倍。
其次, Deep Security 9的多租戶技術有效解決了廣東電信多業務部門安全管理分權的難題,加快了統一資源池推廣進程。
第三,廣東電信借助Deep Security的虛擬化底層訪問控制技術,有效解決了虛擬層無法劃分安全域的難題,并使統一資源池的安全合規性可以符合集團的安全規范。
虛擬機還將激增
據了解,目前廣東電信還處在統一資源池建設的嘗試階段,一旦突破技術和管理上的難關,虛擬服務器數量將會呈爆炸式增長趨勢。“到那時,更多的業務、更多的應用將直接匯聚于統一資源池中。更大規模的虛擬化應用,也將對數據中心的負載和安全能力提出更高的要求。”梁先生說。
據趨勢科技方面透露,其最新的Deep Security 9可以為用戶提供更完整的入侵防護和性能監控程序,并在一個無需安裝代理程序的高性能平臺上實現動態的虛擬補丁功能。它可以大幅降低企業數據中心和私有云環境的運維負荷。
據介紹,廣東電信在充分驗證了趨勢科技Deep Security的先進技術后,最終確定在現有虛擬化平臺上全面部署了Deep Security無代理防護解決方案。梁先生表示:“使用趨勢科技專門對虛擬化安全環境開發的Deep Security,并利用其"無代理"和"多租戶"安全防護方案,能夠有效解決統一資源池安全管理上的三大難題,掃除了阻礙統一資源池發展的安全障礙,為廣東電信統一資源池建設提供了有力的保障和強大的支持!”
京公網安備 11010502049343號