為了應(yīng)對(duì)服務(wù)器在虛擬化環(huán)境中不斷涌現(xiàn)的安全挑戰(zhàn)，在統(tǒng)一資源池建設(shè)后積極拓展云計(jì)算業(yè)務(wù)，廣東省電信公司(以下簡(jiǎn)稱：廣東電信)攜手趨勢(shì)科技，通過(guò)支持最新“多租戶”安全管理的趨勢(shì)科技服務(wù)器深度安全防護(hù)系統(tǒng)(Deep Security)，以及獨(dú)有的“無(wú)代理”防毒技術(shù)部署，完成了安全可信的業(yè)務(wù)網(wǎng)統(tǒng)一資源池建設(shè)，真正發(fā)揮了VMware ESX平臺(tái)虛擬化性能與成本優(yōu)勢(shì)。

難題一：傳統(tǒng)安全域技術(shù)支撐無(wú)力

據(jù)了解，廣東電信作為中國(guó)電信集團(tuán)公司全國(guó)最大的省級(jí)公司，是最早按照集團(tuán)技術(shù)規(guī)范要求進(jìn)行統(tǒng)一虛擬化資源池建設(shè)的公司之一。目前業(yè)務(wù)網(wǎng)資源池已具備三個(gè)機(jī)房，共配置3個(gè)VMware云計(jì)算數(shù)據(jù)中心共5個(gè)計(jì)算集群，2000臺(tái)虛擬機(jī)，計(jì)劃未來(lái)3年內(nèi)擴(kuò)展到20000臺(tái)虛擬機(jī)。但在統(tǒng)一資源池建設(shè)初期，IT運(yùn)維管理部門就發(fā)現(xiàn)一個(gè)必須要解決的安全問(wèn)題。

據(jù)廣東電信IT運(yùn)維管理部門的梁先生介紹，由于傳統(tǒng)IDC環(huán)境采用邊界分離、安全隔離的方式，可以建立安全域進(jìn)行安全加固。而統(tǒng)一資源池使用了大量的虛擬化技術(shù)，虛擬網(wǎng)絡(luò)層的交互數(shù)據(jù)直接在VMware ESXi主機(jī)內(nèi)部完成。這種現(xiàn)象直接導(dǎo)致了原來(lái)部署的傳統(tǒng)安全產(chǎn)品(如IPS、IDS等)，無(wú)法實(shí)時(shí)監(jiān)控到虛擬網(wǎng)絡(luò)內(nèi)部的潛在威脅，為全局應(yīng)用下的安全運(yùn)行帶來(lái)了極大的風(fēng)險(xiǎn)。而由于缺少專門針對(duì)虛擬化防毒和消除威脅的配套方案，這已經(jīng)影響了統(tǒng)一資源池項(xiàng)目在廣東電信乃至整個(gè)集團(tuán)內(nèi)部的推進(jìn)步伐。

難題二：防毒掃描風(fēng)暴致使ROI未達(dá)預(yù)期

廣東電信數(shù)據(jù)中心利用VMware虛擬化技術(shù)建立統(tǒng)一的資源池，可以實(shí)現(xiàn)資源與項(xiàng)目分離，推進(jìn)業(yè)務(wù)平臺(tái)集中部署、集約運(yùn)營(yíng)，逐步實(shí)現(xiàn)資源整合。然而，原有服務(wù)器設(shè)備在遷移至云資源池后，其上部署的傳統(tǒng)防毒防病毒方案(需要安裝代理客戶端)將產(chǎn)生“防毒掃描風(fēng)暴(AV Storms)”。這是因?yàn)?，傳統(tǒng)防病毒方案與虛擬化底層兼容性極低，當(dāng)虛擬機(jī)均采用這些技術(shù)時(shí)，會(huì)造成搶占CPU、內(nèi)存、存儲(chǔ)I/O和網(wǎng)絡(luò)擁堵的現(xiàn)象，直接造成業(yè)務(wù)訪問(wèn)延遲或超時(shí)。對(duì)于這種情況，運(yùn)營(yíng)商只能通過(guò)降低虛擬化密度或卸載防病毒軟件解決，不管采用哪種方案，對(duì)資源池的ROI及安全都帶來(lái)負(fù)面的影響，致使預(yù)期收益不達(dá)標(biāo)。

【傳統(tǒng)防毒系統(tǒng)在虛擬化環(huán)境中產(chǎn)生“防毒掃描風(fēng)暴(AV Storms)”】

難題三：多用戶管理不能“水中望月”

在數(shù)據(jù)中心未升級(jí)至虛擬化架構(gòu)之前，各個(gè)業(yè)務(wù)部門的系統(tǒng)均擁有獨(dú)立的運(yùn)行環(huán)境，邊界清晰，因而可以擁有獨(dú)立自主的安全管理模式及系統(tǒng)，互不干擾。但當(dāng)多個(gè)部門的系統(tǒng)均納入統(tǒng)一資源池中運(yùn)行時(shí)，各個(gè)業(yè)務(wù)系統(tǒng)之間的邊界變得模糊，傳統(tǒng)安全方案無(wú)法支持各部門安全事務(wù)獨(dú)立管理的模式，打亂了原有沿用多年的管理模式，極大的阻礙了統(tǒng)一資源池的推進(jìn)。同時(shí)，由于未來(lái)統(tǒng)一資源池的規(guī)模會(huì)迅速擴(kuò)張，如果把全省所有業(yè)務(wù)部門的安全事務(wù)集中交付給運(yùn)維部門進(jìn)行管理，必然會(huì)超出IT運(yùn)維管理的承受極限。

【虛擬化資源池中存在的集中安全管理和授權(quán)問(wèn)題】

因此，廣東電信用戶迫切希望安全方案能夠參考VMware的軟件定義數(shù)據(jù)中心(vCloud SDDC)方案，將數(shù)據(jù)中心安全策略成功擴(kuò)展到云端，在安全管理上實(shí)現(xiàn)“多租戶”管理。

“無(wú)代理”防護(hù)獲認(rèn)可 “多租戶”承載云計(jì)算未來(lái)

為了確保公司的業(yè)務(wù)順利遷移至資源池，廣東電信開始廣泛尋找最佳的解決方案。廣東電信對(duì)多家廠商的虛擬化安全防護(hù)產(chǎn)品進(jìn)行了全面評(píng)估及測(cè)試，但發(fā)現(xiàn)這些廠家的方案均是傳統(tǒng)的、基于操作系統(tǒng)的解決方案，不能全面解決之前遇到的各種問(wèn)題。而在一次與趨勢(shì)科技的技術(shù)交流中得知，有別于其他傳統(tǒng)的安全解決方案，趨勢(shì)科技Deep Security 9能夠在VMWare ESXi平臺(tái)下提供目前最新的無(wú)代理防護(hù)方案，直接把防護(hù)系統(tǒng)部署在ESXi虛擬化平臺(tái)底層，可以有效地解決之前遇到的各種問(wèn)題。

【趨勢(shì)科技Deep Security有效解決了“安全管理多租戶”等一系列虛擬化環(huán)境的安全問(wèn)題】

為了驗(yàn)證趨勢(shì)科技Deep Security 9的技術(shù)可行性，廣東電信邀請(qǐng)趨勢(shì)科技參與了虛擬化平臺(tái)安全防護(hù)方案的測(cè)試。趨勢(shì)科技也緊緊抓住了這個(gè)機(jī)會(huì)，利用以VMware vShield Endpoint及VMSAFE兩套安全API為基礎(chǔ)的虛擬化底層防護(hù)技術(shù)，有效解決了“安全管理多租戶”等一系列虛擬化環(huán)境的安全問(wèn)題。經(jīng)過(guò)深入細(xì)致的測(cè)試，用戶從以下幾方面了對(duì)趨勢(shì)科技Deep Security無(wú)代理功能得到了充分認(rèn)可，其中包括：

Ø 通過(guò)Deep Security的虛擬化底層防護(hù)技術(shù)，有效解決了ESXi環(huán)境下定時(shí)全盤殺毒的防毒掃描風(fēng)暴問(wèn)題，使統(tǒng)一資源池虛擬化密度提升2.5倍。

Ø 通過(guò) Deep Security 9的多租戶技術(shù)，有效解決了多業(yè)務(wù)部門安全管理分權(quán)的難題，加快了統(tǒng)一資源池推廣進(jìn)程。

Ø 通過(guò)Deep Security的虛擬化底層訪問(wèn)控制技術(shù)，有效解決了虛擬層無(wú)法劃分安全域的難題，并使統(tǒng)一資源池的安全合規(guī)性可以符合集團(tuán)的安全規(guī)范。

資源池安全管理“三大難題”已解 云端業(yè)務(wù)蓄勢(shì)待發(fā)

目前，廣東電信還處在統(tǒng)一資源池建設(shè)的嘗試階段，一旦突破技術(shù)和管理上的難關(guān)，虛擬服務(wù)器數(shù)量將會(huì)呈爆炸式增長(zhǎng)趨勢(shì)，更多的業(yè)務(wù)、更多的應(yīng)用將直接匯聚于統(tǒng)一資源池中。而最新的Deep Security 9可以提供更完整的入侵防護(hù)和性能監(jiān)控程序，并在一個(gè)無(wú)需安裝代理程序的高性能平臺(tái)上實(shí)現(xiàn)了動(dòng)態(tài)的虛擬補(bǔ)丁功能，它大幅降低了數(shù)據(jù)中心和私有云環(huán)境的運(yùn)維負(fù)荷。

廣東電信在充分驗(yàn)證了趨勢(shì)科技Deep Security的先進(jìn)技術(shù)后，最終確定在現(xiàn)有虛擬化平臺(tái)上全面部署了Deep Security無(wú)代理防護(hù)解決方案。廣東電信的梁先生表示：“使用趨勢(shì)科技專門對(duì)虛擬化安全環(huán)境開發(fā)的Deep Security，并利用其獨(dú)有的‘無(wú)代理’和‘多租戶’安全防護(hù)方案，能夠有效解決統(tǒng)一資源池安全管理上的三大難題，掃除了阻礙統(tǒng)一資源池發(fā)展的安全障礙，為廣東電信統(tǒng)一資源池建設(shè)提供了有力的保障和強(qiáng)大的支持!”