广东电网虚拟防毒

　　虚拟化、云计算，这些原本只是代表行业趋势的时髦词汇如今已经生根落地，并在不同行业企业中发挥着自己的作用。不过，由于这些新的趋势改变了IT基础架构和服务模式，因此会给企业带来一些新的难题。

　　广东电网在尝试进行私有云建设的过程中就遇到了一个以前从未遇见过的问题：在虚拟化平台上怎么防护病毒？听起来，这并不难解决，只要把在物理机上的解决方案直接照搬过来用就可以了，但是实际上并不是这样。

　　这种简单套用的效果并不好。一方面，在虚拟环境中，网络设备和服务器之间不再泾渭分明，传统网络安全设备(如IDS、IPS、防火墙等)无法监测到虚拟机之间发送的通信流，会在VMware ESXi主机内部产生风险“盲点”；另一方面，虚拟化环境会利用快照技术以提高数据恢复速度，而这些快照文件很有可能是很早以前创建的，安全策略已经过期，一旦基于这些快照创建虚拟机，必然会导致整个虚拟化环境出现薄弱环节。

　　除此之外，由于虚拟化迁移技术能够随意把不同ESX平台上的虚拟机迁移到其他平台上，因此会带来很多安全风险。主机很有可能因为这种随意迁移而被黑客控制。

　　除了这几点外，广东电网IT相关负责人表示，沿用物理机的保护方式还会大量占用系统资源：“我们曾经在所有虚拟系统上安装了传统的防毒软件，但由于它们并不是专为虚拟化环境设计的，所以在运行全盘扫描时，会对虚拟化平台的CPU、磁盘、内存带来巨大的压力，并影响业务的正常运行，甚至导致虚拟化环境崩溃。”

　　在这一背景下，广东电网开始选择专门针对虚拟化环境的解决方案，并最终选中了趋势科技Deep Security虚拟化病毒防护产品。其不仅可以一次性部署在虚拟化平台的操作系统层级，能够监控所有往来流量，而且也节约了系统资源。同时，Deep Security也可以为所有虚拟机进行打补丁、统一管理等一体化操作。由于Deep Security不需要在每台虚拟机上都部署客户端，因此其操作又被称之为“无代理”方式。其利用了VMware vShield Endpoint应用程序接口，能够与VMWare ESX平台保持良好的兼容性。

　　本报记者 李旭阳