确保两大虚拟环境安全

　　——青岛地税虚拟化环境安全经验

　　云计算正在各个行业得到越来越多的应用，在税务系统也不例外。然而，从信息安全的角度而言，云计算和虚拟化技术的应用，给系统的安全性带来了新的挑战，特别是虚拟化环境中的“防毒扫描风暴”问题，给很多用户带来困扰。

　　近日，记者了解到青岛市地方税务局(下文简称青岛地税)在面对上述问题时所取得的一些经验，他们成功在两大虚拟化环境中解决了上述问题，并降低了运营成本。

　　部署两大虚拟化环境

　　据了解，青岛地税下辖16个管理局，30余个乡镇税务所，运行着税收管理系统、行政管理系统等信息系统，2013年税收收入突破500亿元。经过多年的信息化建设，青岛地税积累了丰富的IT资源，特别是从2009年就率先展开了IT基础架构的全面升级，采用了VMware的产品实施虚拟化项目。

　　在虚拟化项目“破土动工”之前，青岛地税信息化应用遇到了一系列挑战，这包括：服务器资源利用率较低、各类试点与上线工作缺少快速部署能力、服务器采购与维护成本不断攀升等，而采用VMware vSphere虚拟化平台之后，在几乎未添加过物理服务器的情形下，上述问题得到了一一化解。

　　2013年，青岛地税以实现移动办税、办公，进一步提高税务服务为目标，选择了VMware桌面云解决方案，采用VMware Horizon Suite虚拟桌面解决了远程办税和日常办公的应用安全，以及统一部署管理问题。青岛地税相关负责人表示，通过虚拟化技术改造，减少的设备采购、双机软件采购与运维、电力成本等方面的成本至少在300万元以上。

　　虚拟服务器和云桌面双安全

　　虚拟化技术在成本节约方面的优势不言而喻。然而，这种高效率、低成本的部署方式却给系统的信息安全带来了不小的挑战。

　　“当我们把之前物理服务器上的防病毒软件直接迁移到虚拟化平台进行测试时，一系列问题出现了。由于这些安全产品不是针对虚拟化环境设计的，当管理服务器请求多台虚拟机运行按需扫描或更新病毒库时，便会触发所有虚拟机同时执行排程，从而导致对物理主机性能需求出现瞬间激增，造成CPU、内存、存储I/O和网络拥堵的情况发生。”青岛地税相关负责人表示，这就是所谓的“防毒扫描风暴”。

　　可以说，传统的防病毒软件完全不能适应虚拟化环境。在虚拟化环境中应用传统防病毒软件，会让虚拟化高效率低成本的优势荡然无存。于是，青岛地税选择了专门针对虚拟化环境设计的、与VMware深度结合的趋势科技Deep Security来作为其虚拟化环境信息安全的首选产品。

　　事实上，从产品研发阶段开始，趋势科技Deep Security就紧密整合了VMsafe API和VMware vShield Endpoint API。与VMware的完美融合，实现了不需要为每一个虚拟机安装代理程序，就能提供保护的网络防护和病毒防护技术，从而能够降低内存与中央处理器的负载。在功能集成方面，Deep Security为用户提供了平台化的操作环境，这包括统一管理所需的内容安全功能，配置防火墙、防恶意软件、IDS/IPS、Web应用程序防护、虚拟补丁、完整性监控，以及日志审计和综合报表等模块。

　　经过充分评测之后，青岛地税信息中心将趋势科技Deep Security部署在两大虚拟场景中，包括虚拟服务器威胁防御和云桌面，实现了统一的安全防护架构。“此外，我们利用VMware桌面云解决方案组建了高性能的VPN系统，实现了安全加密连接和身份鉴别，确保了虚拟桌面用户数据的安全性。同时，趋势科技的Deep Security也在VDI环境中发挥了得天独厚的无代理安全特性，利用ESX层的缓存设计，防止了重复数据被再次扫描，提升了性能指标。”青岛地税该负责人说。

　　本报记者 程彦博