亚信安全助力中科院虚拟化安全管理 为Citrix云桌面提供“无代理”安全加速

客户需求:解决Citrix虚拟化桌面安装防毒软件之后产生的性能损耗,实现统一的防病毒管理,确保防毒代码和补丁集中升级时不影响用户体验,为后期项目提供安全、可靠、易管的虚拟化平台。

解决方案:以亚信安全服务器深度安全防护系统(Deep Security)为方案核心,全面兼容Citrix虚拟化平台,通过“无代理”部署特性避免了防毒风暴(AV Storm)的产生,大幅提升虚拟机密度。同时,利用虚拟补丁等等创新技术,为云桌面提供360度的安全防护屏障。

效果/客户证言:Deep Security具有多项领先的虚拟化安全技术,不仅可以对Citrix平台上各类操作系统、应用程序和数据进行防护,还可以保护处于运行状态和休眠状态的虚拟机,让我们在应对“永恒之蓝”等勒索软件攻击中从容有序地完成主机加固工作。对于整个项目而言,其最大价值在于提升虚拟化投资收益率,完全达到了预期的虚机密度,服务器硬件投入也比“有代理”方式节省了80%。

——中科院机关信息化主管领导

近年来,虚拟化桌面正在逐步取代PC,成为办公环境中的主流配置,但同时产生的虚拟化防毒问题,却对用户的数据资产构成了严重的威胁。有鉴于此,中国科学院院部机关在大规模应用Citrix XenDesktop桌面虚拟化技术之后,随即部署亚信安全服务器深度安全防护系统(Deep Security),充分发挥其深入虚拟化底层核心的“无代理”病毒查杀机制,有效避免了防毒扫描风暴(AV Storms)产生的性能瓶颈,打造出便捷、高效、安全的办公环境。

防毒后云桌面缓慢异常,“谁”之过?

中国科学院学部成立于1955年,是国家在科学技术方面的最高咨询机构。在加强与各领域科技创新合作的同时,学部发挥自身基础和技术优势,持续推动信息化应用建设,为各项科研工作提供了高可靠的信息化基础设施。

2016年底,中科院院部机关对所有办公终端进行一次细致的资产盘查,并且重新梳理了终端用户的应用需求。资产盘点后发现,用户终端设备半数以上为2009年以前采购,使用期已经超过6年,由于配置低、使用年限长,设备运行速度缓慢,从性能和安全性方面均无法满足信息化应用需要。为此,院机关决定建设应用效率更高、管理更便捷的云桌面系统。经过评审招标,院机关最终部署了Citrix 虚拟化桌面平台,提升了机关办公用户终端信息系统应用能力,解决了终端资源不足、操作系统和浏览器版本差异化造成的应用限制问题。但是,由于缺少与之匹配的虚拟化防毒软件,云桌面的性能、效率、便捷等优势并没有完全发挥出来。

院部相关技术负责人表示:“在前期规划中,我们希望实现‘1:40’或是更高的虚机密度,但将原有的防毒软件迁移过来之后却发现,如果在每一个映像中安装传统的防毒软件,在终端同时进行病毒扫描时,服务器CPU、内存、磁盘等都会产生极高的负载,用户终端应用异常缓慢。此外,‘休眠’状态下的虚机也不在传统防毒软件的管理范围,这些系统在启动时,会集中更新防毒病毒代码和补丁,由此产生的高额流量很容易造成网络拥堵。为了解决以上问题,我们必须寻找一种全面兼容Citrix平台的安全方案,为云桌面提供极致体验,确保未来两年内实现所有桌面终端虚拟化的目标。”

完美兼容Citrix,“无代理”避免防毒风暴

通过对市场中主流虚拟化安全产品的充分调研,中国科学院学部发现,亚信安全服务器深度安全防护系统(Deep Security)能够全面支持VMware、Citrix、Amazon AWS、Microsoft Hyper-V等虚拟化平台,其“无代理”部署特性能够与Citrix完美兼容,从而避免产生防毒风暴(AV Storm),大幅提升虚拟机密度。

院部网络安全工程师对测试Deep Security的效果十分满意,他表示:”无代理防护的方案可以把繁琐的问题简化,它不需要在每个虚拟桌面内部署防护客户端,而是在虚拟化服务器底层实现,然后Citrix平台通过底层接口调用,完成上层虚机的统一安全防护。有效避免了传统的安全防护方式中客户端争夺服务器资源的问题,即使在云桌面的虚化比达到1:50的情况下,也能保证终端用户流畅的工作。“

在通过严格测试之后,中科院机关正式部署Deep Security,为所有Citrix云桌面实现了全方位的安全防护。在病毒防护基础上,Deep Security还提供了防火墙、IDS/IPS、Web应用程序防护,以及完整性监控和安全日志报表等功能。同时,中科院还通过Deep Security提供的虚拟补丁(Virtual Patch)功能,为桌面系统建成了统一的补丁部署架构,对于最新发现的威胁漏洞,Deep Security能够在第一时间提供修补程序,在无需重新启动系统的前提下,即可在数分钟内将这些规则应用到所有虚拟桌面上。

从容应对勒索软件,确保云桌面投资收益

Deep Security不仅有助于完全释放服务器性能压力,还具有多项领先的虚拟化安全技术,在勒索软件攻击等网络安全事件中发挥出了巨大的防护效果。对此,中科院机关的IT团队对于其给予了高度评价。

信息技术部主管表示:“Deep Security不仅可以对Citrix平台上各类操作系统、应用程序和数据进行防护,还可以保护处于运行状态和休眠状态的虚拟机,让我们在应对‘永恒之蓝’等勒索软件攻击中从容有序的完成了主机加固工作。对于整个项目而言,其最大价值在于提升虚拟化投资收益率,完全达到了预期的虚机密度,服务器硬件投入也比‘有代理’方式节省了80%。”