客戶需求:中國信息通信研究院(簡稱“中國信通院”)在雲數據中心升級項目中,採用了VMware vSphere技術重新整合與分配計算資源,面對虛擬化防病毒掃描風暴、虛擬網絡流量監控盲點等問題,需要解決數據中心性能瓶頸,並實現全面、完整的主機防護和安全規則,滿足虛擬主機的自動化安全配置。同時,中國信通院還採用了華為FusionSphere,希望一期實施的安全防護產品,能夠在後期支持FusionSphere和其他技術平臺,實現“1套安全+N套虛擬化”的統一管理模式
解決方案:針對中國信通院使用的VMware vSphere虛擬化環境,以及集中化管理、性能消耗、完整防護的需求,亞信安全以服務器深度安全防護系統(Deep Security)為產品核心,提供虛擬化平臺統一安全管理建設方案,利用“無代理”部署特性,從底層實現動態安全策略部署,併為後續擴展到華為FusionSphere虛擬化平臺提供了完美的兼容性。
效果/客戶證言:對於任何一個組織的信息化戰略而言,虛擬平臺和雲計算都是戰略性的,不僅基礎設施組件和工具都要與虛擬化的效率優勢相匹配,信息安全同樣需要與這一戰略的方向保持一致。亞信安全提供的整體解決方案以其完美的兼容性,幫助我們建立了能夠同時管理VMware和華為產品的一體化系統,順利地掃除了雲計算和大數據等新業務的應用阻礙。——中國信息通信研究院相關負責人
虛擬環境的數據保護和安全管理,對於當今的絕大多數企業組織而言仍然充滿挑戰,而在多平臺上實現統一的威脅防護,更是一道技術難題。中國信息通信研究院(以下簡稱“中國信通院”)在數據中心中使用了VMware vSphere和華為FusionSphere兩套虛擬化平臺,通過整合資源全面降低了IT運行成本,與此同時,亞信安全服務器深度安全防護系統(Deep Security)也充分發揮著底層防護、無代理部署和多平臺統一管理的創新特性,為數據中心業務提供了安全、高效、便捷的管理手段。
從二維平面到三維空間之後的數據中心安全
中國信通院始建於1957年,是工業和信息化部直屬科研事業單位。多年來,中國信通院在行業發展的重大戰略、規劃、政策、標準和測試認證等方面發揮了有力支撐作用。近年來,圍繞國家“網絡強國”和“製造強國”新戰略,中國信通院著力加強研究創新,在4G/5G、工業互聯網、智能製造、移動互聯網、物聯網、雲計算、大數據、人工智能等方面進行了深入研究與前瞻佈局,有力支撐了互聯網+、中國製造2025、寬帶中國等重大戰略與政策的出臺和各領域重要任務的實施。
在積極對外提供信息化服務的同時,中國信通院加強信息基礎和內部應用體系建設,並引入VMware vSphere虛擬化平臺,將一些重要的業務系統遷入到虛擬化平臺上運行。然而,就在核心業務系統遷移到虛擬化平臺之前,虛擬化安全統一管理、網絡流量監控變化以及虛擬機運維等問題逐漸呈現。
針對虛擬化安全管理平臺的建設,中國信通院相關技術負責人表示:“在核心業務遷移的前期,我們對數據中心安全能力進行了多次評估。測試發現,由傳統防毒系統造成的掃描風暴,極大地消耗了服務器CPU、內存和磁盤資源,嚴重影響了數據中心的計算性能。此外,傳統數據中心網絡安全都只關注縱向的業務流量訪問控制,而虛擬化數據中心的網絡安全模型則需要由二維平面轉變為三維空間,而現有的網絡安全策略無法滿足主機順暢的加入、離開集群,或者是動態遷移之後的管理要求,更無法監控到虛擬機之間的業務流量。”
基於上述問題,中國信通院重新規劃數據中心安全防禦體系,並將安全防護產品的性能消耗、防護完整性、安全策略統一管理作為重點指標。此外,中國信通院還提出了虛擬化安全產品的兼容性問題,希望在支持VMware vSphere的基礎上,還能夠提供面向華為FusionSphere以及其他虛擬化平臺的統一管理。
虛擬化安全管理“化零為整”
針對中國信通院集中化管理、性能消耗、完整防護,以及跨平臺管理需求,亞信安全以能夠全面支持VMware vSphere和華為FusionSphere等虛擬化環境的亞信安全服務器深度安全防護系統(Deep Security)為核心,確立了中國信通院虛擬化平臺統一安全管理建設方案。
在跨平臺管理方面,通過亞信安全服務器深度安全防護系統中的Deep Security Manager,可以統一接管和控制多套系統中的虛擬化服務器,並在主機接口啟用安全過濾策略,主動偵測虛擬網絡中流動的惡意代碼,進而有效阻攔黑客從外部、內部發動的網絡攻擊,為虛擬化系統打造一體化的安全管理平臺。同時,中國信通院還實現了虛擬化平臺安全策略統一配置、預警事件集中處置和防毒代碼集中更新等功能,打造出輕鬆便捷的虛擬化運維環境。
同高速公路一樣,車多了就會造成擁堵,如果大量虛擬機在一個較短的時間內同時更新病毒庫並進行防毒掃描,由此引發的集中I/O訪問會產生防病毒掃描風暴,往往會很輕易地吞噬掉物理主機的所有性能。為了避免防病掃描毒風暴,全面發揮虛擬化系統的效率優勢,實現性能最大化,中國信通院採用了亞信安全服務器深度安全防護系統獨有的“無代理”安全防護方式,從物理主機底層向上為所有虛機提供保護,實現較低的性能消耗,進而保障了虛擬化主機密度達到規劃預期。
在功能完整性方面,這套產品具備了虛擬補丁功能、以及Web應用層檢測、IDS、IPS等深度檢測包技術,對惡意程序感染、網絡入侵、惡意訪問、漏洞利用以及數據完整性等多種層面的風險形成有效的防禦能力。同時,在虛擬網絡層,通過數據包處理引擎和過濾規則,對虛擬化網絡數據包進行檢查,對檢測出違反協議規範、入侵、攻擊行為數據包做異常處理,阻止惡意入侵活動。
釋放運維壓力“輕鬆上雲”
在傳統防病毒方案中,每臺虛擬機的防病毒軟件都需要單獨安裝、分別升級、逐個查毒,隨著虛擬化覆蓋率提升,運維成本也將越來越高。尤其在採用多個虛擬化平臺之後,安全管理的運維工作量也將增加數倍以上,而通過亞信安全服務器深度安全防護系統中的Deep Security Manager則可以輕鬆化解運維難題。
針對亞信安全所提供的產品和服務,中國信通院信息技術主管表示,對於任何一個組織的信息化戰略而言,虛擬平臺和雲計算都是戰略性的,不僅基礎設施組件和工具都要與虛擬化的效率優勢相匹配,信息安全同樣需要與這一戰略的方向保持一致。亞信安全提供整體解決方案以其完美的兼容性,幫助我們建立了能夠同時管理VMware和華為產品的一體化系統,順利地掃除了雲計算和大數據等新業務的應用阻礙。
閱讀更多 首席發言人 的文章
