VMware平台上安全选择.docVIP

VMware平台上安全选择 　　虚拟化早已成为企业数据中心中必不可少的技术，然而虚拟化却给服务器安全防护带来防毒扫描风暴等严重的问题。是忍受缓慢的服务器响应还是卸载杀毒软件让服务器“裸奔”？广东电信通过实际测试和使用，找到了两全其美的解决方案。 　　虚拟化早已成为企业数据中心中必不可少的技术。特别是对电信运营商这样的大型数据中心而言，虚拟化为数据中心节约了大量的成本，让IT资源得到了更为充分的利用。但是，虚拟化技术也为传统的安全防护和防病毒带来了挑战。 　　近日，广东省电信公司（下文简称广东电信）就通过采用趋势科技的服务器深度安全防护系统（Deep Security）成功解决了VMware虚拟化环境上的信息安全防护问题，其经验值得借鉴。 　　三大难题 　　据广东电信IT运维管理部门的梁先生介绍，之所以采用趋势科技的防护系统，是因为他们在虚拟化平台上进行安全防护，遇到了非常大的困挠，梁先生称之为三大难题。 　　难题一是传统安全域技术支撑无力。 　　梁先生介绍，广东电信作为中国电信集团公司全国最大的省级公司，是最早按照集团技术规范要求进行统一虚拟化资源池建设的公司之一。 　　“目前，我们的业务网资源池已具备三个机房，共配置了3个VMware云计算数据中心共5个计算集群，包括2000台虚拟机，并计划未来3年内扩展到2万台虚拟机。但在统一资源池建设初期，广东电信IT运维管理部门就发现了一个必须要解决的安全问题。”梁先生告诉记者。 　　梁先生介绍，由于传统IDC环境采用边界分离、安全隔离的方式，可以建立安全域进行安全加固。而统一资源池使用了大量的虚拟化技术，虚拟网络层的交互数据直接在VMware ESXi主机内部完成。这种现象直接导致了原来部署的传统安全产品（如IPS、IDS等）无法实时监控到虚拟网络内部的潜在威胁，为全局应用下的安全运行带来了极大的风险。由于缺少专门针对虚拟化防毒和消除威胁的配套方案，这已经影响了统一资源池项目在广东电信乃至整个集团内部的推进步伐。 　　难题二是防毒扫描风暴致使ROI未达预期。 　　广东电信数据中心利用VMware虚拟化技术建立统一的资源池，可以实现资源与项目分离，推进业务平台集中部署、集约运营，逐步实现资源整合。 　　然而，原有服务器设备在迁移至云资源池后，其上部署的传统防毒防病毒方案（需要安装代理客户端）将产生防毒扫描风暴（AV Storms）。这是因为，传统防病毒方案与虚拟化底层兼容性极低，当虚拟机均采用这些技术时，会造成抢占CPU、内存、存储I/O和网络拥堵的现象，直接造成业务访问延迟或超时。对于这种情况，广东电信只能通过降低虚拟化密度或卸载防病毒软件来解决。 　　“不管采用哪种方案，这都对资源池的ROI与安全带来负面的影响，致使预期收益不达标。”梁先生说。 　　难题三是多用户管理不能“水中望月”。 　　在数据中心未升级至虚拟化架构之前，各个业务部门的系统均拥有独立的运行环境，边界清晰，因而可以拥有独立自主的安全管理模式和系统，互不干扰。但当多个部门的系统均纳入统一资源池中运行时，各个业务系统之间的边界变得模糊，传统安全方案无法支持各部门安全事务独立管理的模式，打乱了原有沿用多年的管理模式，极大地阻碍了统一资源池的推进。同时，由于未来统一资源池的规模会迅速扩张，如果把全省所有业务部门的安全事务集中交付给运维部门进行管理，必然会超出IT运维管理的承受极限。 　　选择无代理和多租户 　　“为此，广东电信迫切希望找个一个保证数据中心安全的解决方案，同时它还需要参考VMware的软件定义数据中心（vCloud SDDC）方案，将数据中心安全策略成功扩展到云端，在安全管理上实现多租户管理。”梁先生说。 　　梁先生介绍，为了确保公司的业务顺利迁移至资源池，广东电信开始广泛寻找最佳的解决方案。广东电信对多家厂商的虚拟化安全防护产品进行了全面评估与测试，发现这些厂家的方案均属于传统的、基于操作系统的解决方案，不能全面解决之前遇到的各种问题。“然而，我们在一次与趋势科技的技术交流中得知，趋势科技Deep Security 9能够在VMWare ESXi平台下提供目前最新的无代理防护方案，直接把防护系统部署在ESXi虚拟化平台底层，可以有效地解决之前遇到的各种问题。”梁先生告诉记者。 　　据介绍，为了验证趋势科技Deep Security 9的技术可行性，广东电信邀请趋势科技参与了虚拟化平台安全防护方案的测试。趋势科技则以VMware vShield Endpoint和VMSAFE两套安全API为基础的虚拟化底层防护技术，有效解决了“安全管理多租户”等一系列虚拟化环境的安全问题。 　　“经过深入细致的测试，我们发现趋势科技Deep Security的无代理功能完全符合我们的