VMware平台上的安全选择
- 来源:中国计算机报 smarty:if $article.tag?>
- 关键字:VMware,虚拟化 smarty:/if?>
- 发布时间:2014-03-20 15:57
——广东电信通过趋势科技服务器深度安全防护系统实现虚拟机安全
虚拟化早已成为企业数据中心中必不可少的技术,然而虚拟化却给服务器安全防护带来防毒扫描风暴等严重的问题。是忍受缓慢的服务器响应还是卸载杀毒软件让服务器“裸奔”?广东电信通过实际测试和使用,找到了两全其美的解决方案。
传统的防毒系统在虚拟化环境中会产生防毒扫描风暴(AVStorms),它会因为资源过度占用而导致业务响应缓慢,而如果卸载防病毒软件又会为系统带来安全隐患
虚拟化早已成为企业数据中心中必不可少的技术。特别是对电信运营商这样的大型数据中心而言,虚拟化为数据中心节约了大量的成本,让IT资源得到了更为充分的利用。但是,虚拟化技术也为传统的安全防护和防病毒带来了挑战。
近日,广东省电信公司(下文简称广东电信)就通过采用趋势科技的服务器深度安全防护系统(DeepSecurity)成功解决了VMware虚拟化环境上的信息安全防护问题,其经验值得借鉴。
三大难题
据广东电信IT运维管理部门的梁先生介绍,之所以采用趋势科技的防护系统,是因为他们在虚拟化平台上进行安全防护,遇到了非常大的困挠,梁先生称之为三大难题。
难题一是传统安全域技术支撑无力。
梁先生介绍,广东电信作为中国电信集团公司全国最大的省级公司,是最早按照集团技术规范要求进行统一虚拟化资源池建设的公司之一。
“目前,我们的业务网资源池已具备三个机房,共配置了3个VMware云计算数据中心共5个计算集群,包括2000台虚拟机,并计划未来3年内扩展到2万台虚拟机。但在统一资源池建设初期,广东电信IT运维管理部门就发现了一个必须要解决的安全问题。”梁先生告诉记者。
梁先生介绍,由于传统IDC环境采用边界分离、安全隔离的方式,可以建立安全域进行安全加固。而统一资源池使用了大量的虚拟化技术,虚拟网络层的交互数据直接在VMwareESXi主机内部完成。这种现象直接导致了原来部署的传统安全产品(如IPS、IDS等)无法实时监控到虚拟网络内部的潜在威胁,为全局应用下的安全运行带来了极大的风险。由于缺少专门针对虚拟化防毒和消除威胁的配套方案,这已经影响了统一资源池项目在广东电信乃至整个集团内部的推进步伐。
难题二是防毒扫描风暴致使ROI未达预期。
广东电信数据中心利用VMware虚拟化技术建立统一的资源池,可以实现资源与项目分离,推进业务平台集中部署、集约运营,逐步实现资源整合。
然而,原有服务器设备在迁移至云资源池后,其上部署的传统防毒防病毒方案(需要安装代理客户端)将产生防毒扫描风暴(AVStorms)。这是因为,传统防病毒方案与虚拟化底层兼容性极低,当虚拟机均采用这些技术时,会造成抢占CPU、内存、存储I/O和网络拥堵的现象,直接造成业务访问延迟或超时。对于这种情况,广东电信只能通过降低虚拟化密度或卸载防病毒软件来解决。
“不管采用哪种方案,这都对资源池的ROI与安全带来负面的影响,致使预期收益不达标。”梁先生说。
难题三是多用户管理不能“水中望月”。
在数据中心未升级至虚拟化架构之前,各个业务部门的系统均拥有独立的运行环境,边界清晰,因而可以拥有独立自主的安全管理模式和系统,互不干扰。但当多个部门的系统均纳入统一资源池中运行时,各个业务系统之间的边界变得模糊,传统安全方案无法支持各部门安全事务独立管理的模式,打乱了原有沿用多年的管理模式,极大地阻碍了统一资源池的推进。同时,由于未来统一资源池的规模会迅速扩张,如果把全省所有业务部门的安全事务集中交付给运维部门进行管理,必然会超出IT运维管理的承受极限。
选择无代理和多租户
“为此,广东电信迫切希望找个一个保证数据中心安全的解决方案,同时它还需要参考VMware的软件定义数据中心(vCloudSDDC)方案,将数据中心安全策略成功扩展到云端,在安全管理上实现多租户管理。”梁先生说。
梁先生介绍,为了确保公司的业务顺利迁移至资源池,广东电信开始广泛寻找最佳的解决方案。广东电信对多家厂商的虚拟化安全防护产品进行了全面评估与测试,发现这些厂家的方案均属于传统的、基于操作系统的解决方案,不能全面解决之前遇到的各种问题。“然而,我们在一次与趋势科技的技术交流中得知,趋势科技DeepSecurity9能够在VMWareESXi平台下提供目前最新的无代理防护方案,直接把防护系统部署在ESXi虚拟化平台底层,可以有效地解决之前遇到的各种问题。”梁先生告诉记者。
据介绍,为了验证趋势科技DeepSecurity9的技术可行性,广东电信邀请趋势科技参与了虚拟化平台安全防护方案的测试。趋势科技则以VMwarevShieldEndpoint和VMSAFE两套安全API为基础的虚拟化底层防护技术,有效解决了“安全管理多租户”等一系列虚拟化环境的安全问题。
“经过深入细致的测试,我们发现趋势科技DeepSecurity的无代理功能完全符合我们的要求。”梁先生说。
据介绍,广东电信通过DeepSecurity的虚拟化底层防护技术,首先解决了ESXi环境下定时全盘杀毒的防毒扫描风暴问题,使统一资源池虚拟化密度提升2.5倍。
其次,DeepSecurity9的多租户技术有效解决了广东电信多业务部门安全管理分权的难题,加快了统一资源池推广进程。
第三,广东电信借助DeepSecurity的虚拟化底层访问控制技术,有效解决了虚拟层无法划分安全域的难题,并使统一资源池的安全合规性可以符合集团的安全规范。
虚拟机还将激增
据了解,目前广东电信还处在统一资源池建设的尝试阶段,一旦突破技术和管理上的难关,虚拟服务器数量将会呈爆炸式增长趋势。“到那时,更多的业务、更多的应用将直接汇聚于统一资源池中。更大规模的虚拟化应用,也将对数据中心的负载和安全能力提出更高的要求。”梁先生说。
据趋势科技方面透露,其最新的DeepSecurity9可以为用户提供更完整的入侵防护和性能监控程序,并在一个无需安装代理程序的高性能平台上实现动态的虚拟补丁功能。它可以大幅降低企业数据中心和私有云环境的运维负荷。
据介绍,广东电信在充分验证了趋势科技DeepSecurity的先进技术后,最终确定在现有虚拟化平台上全面部署了DeepSecurity无代理防护解决方案。梁先生表示:“使用趋势科技专门对虚拟化安全环境开发的DeepSecurity,并利用其‘无代理’和‘多租户’安全防护方案,能够有效解决统一资源池安全管理上的三大难题,扫除了阻碍统一资源池发展的安全障碍,为广东电信统一资源池建设提供了有力的保障和强大的支持!”
本报记者 程彦博