客户需求:中国信息通信研究院(简称“中国信通院”)在云数据中心升级项目中,采用了VMware vSphere技术重新整合与分配计算资源,面对虚拟化防病毒扫描风暴、虚拟网络流量监控盲点等问题,需要解决数据中心性能瓶颈,并实现全面、完整的主机防护和安全规则,满足虚拟主机的自动化安全配置。同时,中国信通院还采用了华为FusionSphere,希望一期实施的安全防护产品,能够在后期支持FusionSphere和其他技术平台,实现“1套安全+N套虚拟化”的统一管理模式。
解决方案:针对中国信通院使用的VMware vSphere虚拟化环境,以及集中化管理、性能消耗、完整防护的需求,亚信安全以服务器深度安全防护系统(Deep Security)为产品核心,提供虚拟化平台统一安全管理建设方案,利用“无代理”部署特性,从底层实现动态安全策略部署,并为后续扩展到华为FusionSphere虚拟化平台提供了完美的兼容性。
效果/客户证言:对于任何一个组织的信息化战略而言,虚拟平台和云计算都是战略性的,不仅基础设施组件和工具都要与虚拟化的效率优势相匹配,信息安全同样需要与这一战略的方向保持一致。亚信安全提供的整体解决方案以其完美的兼容性,帮助我们建立了能够同时管理VMware和华为产品的一体化系统,顺利地扫除了云计算和大数据等新业务的应用阻碍。
——中国信息通信研究院相关负责人
虚拟环境的数据保护和安全管理,对于当今的绝大多数企业组织而言仍然充满挑战,而在多平台上实现统一的威胁防护,更是一道技术难题。中国信息通信研究院(以下简称“中国信通院”)在数据中心中使用了VMware vSphere和华为FusionSphere两套虚拟化平台,通过整合资源全面降低了IT运行成本,与此同时,亚信安全服务器深度安全防护系统(Deep Security)也充分发挥着底层防护、无代理部署和多平台统一管理的创新特性,为数据中心业务提供了安全、高效、便捷的管理手段。
从二维平面到三维空间之后的数据中心安全
中国信通院始建于1957年,是工业和信息化部直属科研事业单位。多年来,中国信通院在行业发展的重大战略、规划、政策、标准和测试认证等方面发挥了有力支撑作用。近年来,围绕国家“网络强国”和“制造强国”新战略,中国信通院着力加强研究创新,在4G/5G、工业互联网、智能制造、移动互联网、物联网、云计算、大数据、人工智能等方面进行了深入研究与前瞻布局,有力支撑了互联网+、中国制造2025、宽带中国等重大战略与政策的出台和各领域重要任务的实施。
在积极对外提供信息化服务的同时,中国信通院加强信息基础和内部应用体系建设,并引入VMware vSphere虚拟化平台,将一些重要的业务系统迁入到虚拟化平台上运行。然而,就在核心业务系统迁移到虚拟化平台之前,虚拟化安全统一管理、网络流量监控变化以及虚拟机运维等问题逐渐呈现。
针对虚拟化安全管理平台的建设,中国信通院相关技术负责人表示:“在核心业务迁移的前期,我们对数据中心安全能力进行了多次评估。测试发现,由传统防毒系统造成的扫描风暴,极大地消耗了服务器CPU、内存和磁盘资源,严重影响了数据中心的计算性能。此外,传统数据中心网络安全都只关注纵向的业务流量访问控制,而虚拟化数据中心的网络安全模型则需要由二维平面转变为三维空间,而现有的网络安全策略无法满足主机顺畅的加入、离开集群,或者是动态迁移之后的管理要求,更无法监控到虚拟机之间的业务流量。”
基于上述问题,中国信通院重新规划数据中心安全防御体系,并将安全防护产品的性能消耗、防护完整性、安全策略统一管理作为重点指标。此外,中国信通院还提出了虚拟化安全产品的兼容性问题,希望在支持VMware vSphere的基础上,还能够提供面向华为FusionSphere以及其他虚拟化平台的统一管理。
虚拟化安全管理“化零为整”
针对中国信通院集中化管理、性能消耗、完整防护,以及跨平台管理需求,亚信安全以能够全面支持VMware vSphere和华为FusionSphere等虚拟化环境的亚信安全服务器深度安全防护系统(Deep Security)为核心,确立了中国信通院虚拟化平台统一安全管理建设方案。
在跨平台管理方面,通过亚信安全服务器深度安全防护系统中的Deep Security Manager,可以统一接管和控制多套系统中的虚拟化服务器,并在主机接口启用安全过滤策略,主动侦测虚拟网络中流动的恶意代码,进而有效阻拦黑客从外部、内部发动的网络攻击,为虚拟化系统打造一体化的安全管理平台。同时,中国信通院还实现了虚拟化平台安全策略统一配置、预警事件集中处置和防毒代码集中更新等功能,打造出轻松便捷的虚拟化运维环境。
同高速公路一样,车多了就会造成拥堵,如果大量虚拟机在一个较短的时间内同时更新病毒库并进行防毒扫描,由此引发的集中I/O访问会产生防病毒扫描风暴,往往会很轻易地吞噬掉物理主机的所有性能。为了避免防病扫描毒风暴,全面发挥虚拟化系统的效率优势,实现性能最大化,中国信通院采用了亚信安全服务器深度安全防护系统独有的“无代理”安全防护方式,从物理主机底层向上为所有虚机提供保护,实现较低的性能消耗,进而保障了虚拟化主机密度达到规划预期。
在功能完整性方面,这套产品具备了虚拟补丁功能、以及Web应用层检测、IDS、IPS等深度检测包技术,对恶意程序感染、网络入侵、恶意访问、漏洞利用以及数据完整性等多种层面的风险形成有效的防御能力。同时,在虚拟网络层,通过数据包处理引擎和过滤规则,对虚拟化网络数据包进行检查,对检测出违反协议规范、入侵、攻击行为数据包做异常处理,阻止恶意入侵活动。
释放运维压力“轻松上云”
在传统防病毒方案中,每台虚拟机的防病毒软件都需要单独安装、分别升级、逐个查毒,随着虚拟化覆盖率提升,运维成本也将越来越高。尤其在采用多个虚拟化平台之后,安全管理的运维工作量也将增加数倍以上,而通过亚信安全服务器深度安全防护系统中的Deep Security Manager则可以轻松化解运维难题。
针对亚信安全所提供的产品和服务,中国信通院信息技术主管表示,对于任何一个组织的信息化战略而言,虚拟平台和云计算都是战略性的,不仅基础设施组件和工具都要与虚拟化的效率优势相匹配,信息安全同样需要与这一战略的方向保持一致。亚信安全提供整体解决方案以其完美的兼容性,帮助我们建立了能够同时管理VMware和华为产品的一体化系统,顺利地扫除了云计算和大数据等新业务的应用阻碍。