隨著云計(jì)算、應(yīng)用交付、虛擬化等技術(shù)在各個(gè)行業(yè)的快速發(fā)展，國(guó)內(nèi)許多電力企業(yè)已把桌面虛擬化視為一項(xiàng)重要的IT戰(zhàn)略。為了應(yīng)對(duì)大規(guī)模虛擬化桌面應(yīng)用環(huán)境中不斷涌現(xiàn)的安全挑戰(zhàn)，東莞供電局?jǐn)y手全球服務(wù)器安全、虛擬化及云計(jì)算安全廠商——趨勢(shì)科技，通過(guò)趨勢(shì)科技虛擬化深度安全防護(hù)系統(tǒng)(Deep Security)“無(wú)代理”安全防護(hù)技術(shù)的部署，真正發(fā)揮了VMware桌面虛擬化平臺(tái)的性能與成本優(yōu)勢(shì)。

傳統(tǒng)防毒軟件“綆短汲深” 桌面虛擬化推廣進(jìn)程受阻擊

東莞供電局是中國(guó)南方電網(wǎng)廣東電網(wǎng)公司屬下的特大型供電企業(yè)，全局內(nèi)設(shè)13個(gè)職能部門、10個(gè)二級(jí)機(jī)構(gòu)和33個(gè)供電分局，供電人口822萬(wàn)人，供電客戶205萬(wàn)戶。為了響應(yīng)國(guó)家“十二·五規(guī)劃”所提倡的“綠色I(xiàn)T”指導(dǎo)，東莞供電局率先在廣東省電網(wǎng)體系內(nèi)進(jìn)行桌面虛擬化試驗(yàn)，為全網(wǎng)桌面虛擬化進(jìn)行可行性研究，為全網(wǎng)推廣工作的積極備戰(zhàn)。東莞供電局在應(yīng)用桌面虛擬化技術(shù)后，硬件資源使用率得到了極大的提高，能耗也大幅降低。另外，在運(yùn)維工作量減少90%的基礎(chǔ)上，動(dòng)態(tài)分配資源、可按需擴(kuò)展的功能都滿足了不斷變化的業(yè)務(wù)需求。但若在全網(wǎng)范圍內(nèi)進(jìn)行推廣，信息中心就必須考慮好桌面虛擬化可能會(huì)遇到的安全問(wèn)題。

東莞供電局專門負(fù)責(zé)安全工作的鄧工介紹說(shuō)：“與其他能源行業(yè)相比，電力企業(yè)對(duì)信息系統(tǒng)的實(shí)時(shí)性要求則是最高的，而要保障所有操作都能滿足高標(biāo)準(zhǔn)的實(shí)時(shí)性要求，虛擬桌面的性能就要長(zhǎng)期處于最佳的工作狀態(tài)。為了確保虛擬化桌面系統(tǒng)在工作時(shí)間不間斷運(yùn)行，我們啟用了虛擬化桌面特有的資源池技術(shù)，一旦View(虛擬桌面專用管理端)發(fā)現(xiàn)某個(gè)資源池(Resource Pools)不足以運(yùn)行多臺(tái)虛擬桌面時(shí)，能夠動(dòng)態(tài)把虛擬桌面遷移到其他的資源池上，保障業(yè)務(wù)不間斷運(yùn)行。這種虛擬機(jī)在資源池內(nèi)動(dòng)態(tài)漂移的技術(shù)，雖然能夠?qū)崿F(xiàn)虛擬桌面不間斷運(yùn)行，但管理員無(wú)法保障每個(gè)映像文件是否處于安全保護(hù)狀態(tài)，這為整個(gè)虛擬化平臺(tái)的安全監(jiān)控帶來(lái)了前所未有的挑戰(zhàn)。”

虛擬化的好處讓每個(gè)業(yè)務(wù)部門都“垂涎欲滴”，現(xiàn)在業(yè)務(wù)部門向信息中心申請(qǐng)?zhí)摂M機(jī)時(shí)，均達(dá)到數(shù)十臺(tái)的數(shù)量。在這種推進(jìn)速度下，如果使用傳統(tǒng)的防病毒方案，安全管理員需要手動(dòng)為每臺(tái)虛擬機(jī)單獨(dú)部署防病毒客戶端、升級(jí)病毒庫(kù)、升級(jí)操作系統(tǒng)補(bǔ)丁、修改安全策略等多項(xiàng)工作，給信息中心的運(yùn)維工作帶來(lái)了極大的壓力，如果稍有遺漏，就會(huì)為整個(gè)虛擬化桌面平臺(tái)帶來(lái)巨大的安全隱患。

顯然，傳統(tǒng)的防病毒軟件已經(jīng)不能滿足東莞供電局的需求，嚴(yán)重阻礙了桌面虛擬化進(jìn)程的推進(jìn)。經(jīng)過(guò)多次論證之后，東莞供電局希望購(gòu)置一套專門在虛擬化平臺(tái)上工作的安全解決方案，來(lái)打破這種“安全滯后”的局面。

“無(wú)代理”成為桌面虛擬化安全的“勝負(fù)手”

為了確保桌面虛擬化平臺(tái)的業(yè)務(wù)連續(xù)性，避免新威脅涌入內(nèi)網(wǎng)，東莞供電局開(kāi)始尋找最佳的解決方案。用戶在VMware官網(wǎng)上了解到趨勢(shì)科技Deep Security是目前業(yè)界與VMware兼容度最高的安全產(chǎn)品，能夠利用VMware發(fā)布的vShield EndPoint安全接口在VMware ESX平臺(tái)上提供無(wú)代理防護(hù)方案，直接把防護(hù)客戶端部署在虛擬化平臺(tái)ESXi上，能夠有效地解決了之前遇到的各種問(wèn)題。經(jīng)過(guò)與趨勢(shì)科技技術(shù)顧問(wèn)的深入交流及反復(fù)測(cè)試，東莞供電局最終決定使用趨勢(shì)科技Deep Security作為其桌面虛擬化平臺(tái)提供安全保障，以此推動(dòng)虛擬化進(jìn)程的建設(shè)。

【趨勢(shì)科技Deep Security有效解決了“防毒掃描風(fēng)暴”等一系列虛擬化環(huán)境的安全問(wèn)題】

在測(cè)試階段，Deep Security無(wú)代理功能相對(duì)于傳統(tǒng)防病毒產(chǎn)品表現(xiàn)出優(yōu)異的性能和管理優(yōu)勢(shì)，很好的解決了資源競(jìng)爭(zhēng)、即時(shí)啟動(dòng)間隔、遷移審核等虛擬化特有的安全難題。隨著東莞供電局桌面虛擬化應(yīng)用范疇的不斷擴(kuò)展，大量桌面共享主機(jī)的硬件資源，而Deep Security無(wú)代理技術(shù)完全避免了病毒掃描風(fēng)暴的產(chǎn)生，使得資源池的共享比例達(dá)到或超過(guò)了60:1。另外，在傳統(tǒng)防毒軟件無(wú)法插足的“即時(shí)啟動(dòng)間隔”處理上，休眠的桌面映像同樣可以采用Deep Security的虛擬補(bǔ)丁修復(fù)功能，以防御零日威脅。另外，Deep Security的部署還很好的發(fā)揮了虛擬桌面的易配置性和移動(dòng)性，做到了所有虛擬桌面安全狀況的審計(jì)記錄。

虛擬機(jī)安全管理難題迎刃而解 桌面虛擬化推廣進(jìn)程隨即加速

安全是一個(gè)整體，物理和虛擬桌面都需要防惡意軟件的保護(hù)，但是虛擬桌面防惡意軟件安全解決方案必須專為共享資源環(huán)境設(shè)計(jì)。也就是說(shuō)，虛擬化必須保障資源池的安全，當(dāng)任何一個(gè)虛機(jī)進(jìn)入到資源池之后，立即就能在統(tǒng)一防護(hù)策略下的達(dá)到最新的安全水平。而無(wú)代理防毒技術(shù)恰恰是制造這樣一個(gè)容器的最佳“材料”，這為東莞供電局實(shí)現(xiàn)了真正的“無(wú)限虛擬機(jī)安全管理”。

對(duì)此，東莞供電局的鄧工表示：“趨勢(shì)科技Deep Security是目前少數(shù)能夠支持虛擬機(jī)無(wú)代理防護(hù)技術(shù)的產(chǎn)品之一。經(jīng)過(guò)驗(yàn)證，我們認(rèn)為Deep Security是最符合東莞供電局虛擬化平臺(tái)需求的產(chǎn)品。在實(shí)施Deep Security后，我們?cè)谔摂M化建設(shè)時(shí)遇到的包括性能、虛擬機(jī)內(nèi)部攻擊、大規(guī)模虛擬桌面運(yùn)維管理困難等諸多安全問(wèn)題得到了解決，讓我們更加安心地把更多的終端遷移至桌面虛擬化平臺(tái)，極大地加速了我中心虛擬化進(jìn)程的建設(shè)。”