作為提升信息化效率��、降低成本的重要手段�����,虛擬化是每一個(gè)企業(yè)在信息化道路上所必需跨過(guò)的一道門檻���。為了全面推進(jìn)虛擬化進(jìn)程��,避免安全失控的風(fēng)險(xiǎn)���,中信證券股份有限公司(以下簡(jiǎn)稱:中信證券)攜手全球服務(wù)器安全����、虛擬化及云計(jì)算安全領(lǐng)導(dǎo)廠商趨勢(shì)科技�,采用無(wú)代理特性的趨勢(shì)科技Deep Security�����,全面化解虛擬機(jī)防毒掃描風(fēng)暴(AV Storms)難題����,在虛擬化安全統(tǒng)一管理平臺(tái)上實(shí)現(xiàn)了更穩(wěn)、更快的目標(biāo)��,讓業(yè)務(wù)連續(xù)性管理(Business Continuity Management��,簡(jiǎn)稱BCM)水平不斷提升�。
穩(wěn)定第一,但不能放棄“性能”
作為一家知名的全國(guó)性綜合類證券公司�����,中信證券在統(tǒng)一營(yíng)業(yè)部系統(tǒng)�����、開通網(wǎng)上交易����、實(shí)現(xiàn)廣域網(wǎng)連接、數(shù)據(jù)中心虛擬化等方面����,都在我國(guó)證券行業(yè)處于“旗標(biāo)”位置��。隨著中信證券對(duì)虛擬化技術(shù)的深入探究�����,信息技術(shù)中心對(duì)自身的IT基礎(chǔ)架構(gòu)進(jìn)行了虛擬化改造,在北京��、深圳、青島三大數(shù)據(jù)中心搭建了虛擬化平臺(tái)���,并將測(cè)試網(wǎng)中大部分服務(wù)器遷移到了VMware虛擬化平臺(tái)�����。
在堅(jiān)持守法合規(guī)經(jīng)營(yíng)、嚴(yán)格控制各類風(fēng)險(xiǎn)的規(guī)劃目標(biāo)下,中信證券對(duì)應(yīng)用測(cè)試環(huán)境的部署效率�����,以及測(cè)試與生產(chǎn)環(huán)境一致性的要求變得越來(lái)越高。而在40多臺(tái)VMware ESX 服務(wù)器上�,既要實(shí)現(xiàn)1:50的虛擬機(jī)密度�����,又要同時(shí)保護(hù)千余臺(tái)虛擬機(jī)的安全運(yùn)行�,這讓運(yùn)維部門工作壓力越來(lái)越重。
據(jù)中信證券信息技術(shù)中心的工程師介紹:穩(wěn)定第一,但不是說(shuō)我們會(huì)放棄性能�����。虛擬化系統(tǒng)在響應(yīng)速度和性能方面的表現(xiàn)�����,將直接關(guān)系到最終用戶在使用相關(guān)服務(wù)時(shí)的用戶體驗(yàn),這可以說(shuō)是中信證券服務(wù)質(zhì)量中最重要的一環(huán)。但由于傳統(tǒng)防病毒軟件不是針對(duì)虛擬化而設(shè)計(jì)��,虛擬機(jī)上安裝傳統(tǒng)防病毒軟件后���,當(dāng)所有的虛擬機(jī)進(jìn)行預(yù)設(shè)掃描時(shí)�,VMware虛擬化平臺(tái)的CPU利用率�、I/O讀寫等都變得非常高,訪問(wèn)延遲讓人無(wú)法接受���。因此����,虛擬化安全已經(jīng)變成了網(wǎng)絡(luò)中的防護(hù)弱點(diǎn)�,更是保障業(yè)務(wù)連續(xù)性不得不面對(duì)的挑戰(zhàn)���。
聚焦“無(wú)代理”特性��, Deep Security 屢立戰(zhàn)功
對(duì)中信證券來(lái)說(shuō),提前一步發(fā)現(xiàn)了虛擬化防毒可能帶來(lái)的“性能銳減”問(wèn)題�����,對(duì)全面推進(jìn)、并最終在生產(chǎn)網(wǎng)絡(luò)上實(shí)現(xiàn)虛擬化架構(gòu)則是“一件好事”。這可以提前把虛擬化安全風(fēng)險(xiǎn)降至最低����,讓安全策略與防毒管理提前適應(yīng)架構(gòu)的變化���。為此��,中信證券對(duì)市場(chǎng)上所有防毒軟件的功能進(jìn)行了綜合評(píng)估�����,同時(shí)也與VMware廠商的資深工程師對(duì)原有傳統(tǒng)病毒防護(hù)軟件“不適應(yīng)性”進(jìn)行了分析�。最終,中信證券信息技術(shù)中心將目光鎖定在基于無(wú)代理特性的趨勢(shì)科技Deep Security身上��。
首先���,趨勢(shì)科技Deep Security的無(wú)代理防病毒解決方案集成了VMware的vShield Endpoint技術(shù)接口�����,使VMware虛擬化平臺(tái)上的所有虛擬機(jī)無(wú)需安裝任何軟件就能對(duì)病毒����、間諜軟件、木馬等威脅進(jìn)行查殺;其次�����,Deep Security有效降低了虛擬機(jī)并發(fā)全盤掃描���、病毒庫(kù)更新時(shí)對(duì)VMware虛擬化平臺(tái)產(chǎn)生的大量資源消耗���,不存在防毒掃描風(fēng)暴(AV Storms)的問(wèn)題;最后����,管理員不但可以利用Deep Security發(fā)現(xiàn)藏匿在虛擬網(wǎng)絡(luò)中的惡意流量����,同時(shí)還可以利用 VMware vShield技術(shù)來(lái)保護(hù)處于運(yùn)行狀態(tài)和休眠狀態(tài)的虛擬機(jī)。
據(jù)了解��,中信證券為保障生產(chǎn)網(wǎng)萬(wàn)無(wú)一失�,首先在測(cè)試網(wǎng)部署了Deep Security,并對(duì)Deep Security的防護(hù)效果�、性能、穩(wěn)定性及兼容性進(jìn)行測(cè)試評(píng)估�����,為虛擬化推至生產(chǎn)網(wǎng)絡(luò)做足了準(zhǔn)備。從2012年底至今��,Deep Security穩(wěn)定運(yùn)行并在測(cè)試網(wǎng)中屢次“殺毒立功”,而Deep Security進(jìn)行殺毒時(shí)所占資源比使用傳統(tǒng)防病毒軟件有明顯減低���,隨著虛擬機(jī)數(shù)量的增加����,性能方面的優(yōu)勢(shì)則更加明顯�。
正因如此����,中信證券信息技術(shù)中心對(duì)Deep Security的防毒效果給出了極高的評(píng)價(jià):“Deep Security為我們提供了防惡意軟件�、Web信譽(yù)、防火墻���、入侵阻止����、完整性監(jiān)控和日志檢查����,在簡(jiǎn)化安全操作的同時(shí)�,大幅提升了虛擬化項(xiàng)目的投資回報(bào)率。這些都讓我們可以徹底走出虛擬化的嘗試階段����,可以最大限度的設(shè)計(jì)虛擬機(jī)密度����。未來(lái)��,中信證券將采用Deep Security的虛擬補(bǔ)丁功能,來(lái)解決防護(hù)間隙(Instant-On Gap)的難題�,讓更多的業(yè)務(wù)、更多的應(yīng)用匯聚于新一代的虛擬化數(shù)據(jù)中心����。
