客户需求:生态环境部希望重新构建云安全防御系统,提升云数据中心的网络安全运维水平, 在“环保云”建设应用过程中,将等级保护工作落地,实现虚拟化平台的统一安全管理,消除防毒扫描风暴造成的性能影响。
解决方案:亚信安全以服务器深度安全防护系统(Deep Security)为核心产品,基于“无代理”防护技术优势,为客户消除了传统防毒系统对服务器资源的抢占,实现了对于VMware vSphere虚拟化环境的集中安全管控,全面满足国家等级保护要求,打造出高效、安全、可靠的“环保云”。
效果/客户证言:通过部署亚信安全服务器深度安全防护系统,我们成功完成了“环保云”的安全防护体系升级,很好地满足了等级保护三级要求对虚拟化平台标准延伸要求,保证了环保行业国家级重要业务信息系统的安全,为生态环境大数据建设和环保云平台提供可靠的安全保障。
——生态环境部相关领导
作为中国环保产业的“掌门人”,中华人民共和国生态环境部全面引入虚拟化、云计算、大数据、物联网等新技术,重建国家环保信息技术框架。面对新技术应用环境下的网络安全挑战,生态环境部采用基于“无代理”防护技术的亚信安全服务器深度安全防护系统(Deep Security),消除了防毒扫描风暴对服务器性能的影响,为VMware vSphere虚拟化环境形成了集中管控、多层防护的云安全保障体系,全面满足国家等级保护要求,打造出高效、安全、可靠的“环保云”。
八大业务列为国家重要系统,“环保云”遭遇三大安全挑战
生态环境部于2014年开始进行数据中心升级建设,引入虚拟化技术构建基础平台,并将业务专网的应用部署在VMware vSphere平台上。截止2016年末,环保行业共有8个业务信息系统被列为国家级重要信息系统,是国家网络和信息安全的重要组成部分。随着运行环境的变化,不仅数据中心的物理网络安全边界渐渐消失,传统网络安全产品也难以被直接应用于云安全防护,这给生态环境部网络安全管理人员提出了新的挑战。
第一、技术层面,需要消除“防毒扫描风暴”产生的性能瓶颈,并对虚拟化平台进行立体防护。这一需求来自虚拟化平台的容量设计,如果不能杜绝防毒软件集中扫描时对物理主机CPU、内存、磁盘的资源抢占,就无法按照规划部署虚拟机密度。另外,要构建完整的虚拟化环境安全防护体系,就离不开恶意程序检测、网络入侵、恶意访问拦截、漏洞利用以及数据完整性等多种层面的风险防御能力。
第二、管理层面,需要实现虚拟化平台“化零为整”。生态环境部的虚拟化安全管理有两个具体要求:一是完全兼容VMware vSphere,避免因为兼容性问题影响上层业务系统的正常运行;二是所有虚拟的安全策略需要统一部署、调整和优化,能够形成统一的安全预警和日志报表管理。
第三、法规层面,需遵循国家等保要求,推动“云等保”落地,确保机密数据不外泄。“环保云”为部级云平台,是为全国各地区和各个行业提供环保业务应用的重要信息系统平台,需按照国家信息安全等级保护第三级安全要求进行规划建设。
“无代理”实现底层防护,虚拟平台“合二为一”
经过全面评估,生态环境部决定采购专为虚拟化平台打造的新一代云安全产品,并最终确定采用基于无代理技术的亚信安全服务器深度安全防护系统(Deep Security)。
与传统安全软件系统不同,“无代理”模式下,虚拟机无需安装任何客户端或者软件,就可以利用一个安全虚拟设备为上层所有虚拟机进行杀毒处理。而生态环境部利用亚信安全Deep Security的无代理杀毒技术,有效解决了防毒风暴问题,实际测试结果表明,采用此项技术后,云数据中心病毒扫描时所占资源,只有传统方案的10%。此外,由于这项安全机制工作在最底层,还解决了传统方案不能监测虚拟网络内部风险的致命问题,并向上层提供了病毒防护、访问控制、入侵检测/入侵防护、虚拟补丁、主机完整性监控、日志审计等功能,组成多层防护架构。
作为跨虚拟化平台云安全解决方案的核心,亚信安全服务器深度安全防护系统(Deep Security)是为虚拟化环境量身打造的专属安全防护系统,通过的底层接口和Deep Security Manager集中管理单元,实现了VMware vSphere虚拟主机的统一管理。另外,通过这套平台,生态环境部还可以对所有物理服务器、虚拟主机客户端进行统一的配置管理和更新升级,从而实现全面、实时、高效的虚拟化病毒防护。
云数据中心安全能力成功进阶,等保工作在云端落地
围绕“互联网+”深度思考与创新实践,环保产业近几年在大数据、云计算领域全面发力,以智能化数据采集、处理分析、决策辅助为核心的全产业链形态正在形成。与此同时,《网络安全法》落地,等级保护标准在云计算领域进一步延伸,都对云计算安全等级保护提出了更高要求。
针对“环保云”网络安全防护能力提升和等级保护工作落实情况,生态环境部网安管理人员表示:“通过部署亚信安全服务器深度安全防护系统,我们成功完成了‘环保云’的安全防护体系升级,很好地满足了等级保护三级要求对虚拟化平台标准延伸要求,保证了环保行业国家级重要业务信息系统的安全,为生态环境大数据建设和环保云平台提供可靠的安全保障。”