近年來(lái)，虛擬化桌面正在逐步取代PC，成為辦公環(huán)境中的主流配置，但同時(shí)產(chǎn)生的虛擬化防毒問(wèn)題，卻對(duì)用戶(hù)的數(shù)據(jù)資產(chǎn)構(gòu)成了嚴(yán)重的威脅。有鑒于此，中國(guó)科學(xué)院院部機(jī)關(guān)在大規(guī)模應(yīng)用Citrix XenDesktop桌面虛擬化技術(shù)之后，隨即部署亞信安全服務(wù)器深度安全防護(hù)系統(tǒng)（Deep Security），充分發(fā)揮其深入虛擬化底層核心的“無(wú)代理”病毒查殺機(jī)制，有效避免了防毒掃描風(fēng)暴（AV Storms）產(chǎn)生的性能瓶頸，打造出便捷、高效、安全的辦公環(huán)境。

防毒后云桌面緩慢異常，“誰(shuí)”之過(guò)？

中國(guó)科學(xué)院學(xué)部成立于1955年，是國(guó)家在科學(xué)技術(shù)方面的最高咨詢(xún)機(jī)構(gòu)。在加強(qiáng)與各領(lǐng)域科技創(chuàng)新合作的同時(shí)，學(xué)部發(fā)揮自身基礎(chǔ)和技術(shù)優(yōu)勢(shì)，持續(xù)推動(dòng)信息化應(yīng)用建設(shè)，為各項(xiàng)科研工作提供了高可靠的信息化基礎(chǔ)設(shè)施。

2016年底，中科院院部機(jī)關(guān)對(duì)所有辦公終端進(jìn)行一次細(xì)致的資產(chǎn)盤(pán)查，并且重新梳理了終端用戶(hù)的應(yīng)用需求。資產(chǎn)盤(pán)點(diǎn)后發(fā)現(xiàn)，用戶(hù)終端設(shè)備半數(shù)以上為2009年以前采購(gòu)，使用期已經(jīng)超過(guò)6年，由于配置低、使用年限長(zhǎng)，設(shè)備運(yùn)行速度緩慢，從性能和安全性方面均無(wú)法滿(mǎn)足信息化應(yīng)用需要。為此，院機(jī)關(guān)決定建設(shè)應(yīng)用效率更高、管理更便捷的云桌面系統(tǒng)。經(jīng)過(guò)評(píng)審招標(biāo)，院機(jī)關(guān)最終部署了Citrix 虛擬化桌面平臺(tái)，提升了機(jī)關(guān)辦公用戶(hù)終端信息系統(tǒng)應(yīng)用能力，解決了終端資源不足、操作系統(tǒng)和瀏覽器版本差異化造成的應(yīng)用限制問(wèn)題。但是，由于缺少與之匹配的虛擬化防毒軟件，云桌面的性能、效率、便捷等優(yōu)勢(shì)并沒(méi)有完全發(fā)揮出來(lái)。

院部相關(guān)技術(shù)負(fù)責(zé)人表示：“在前期規(guī)劃中，我們希望實(shí)現(xiàn)‘1:40’或是更高的虛機(jī)密度，但將原有的防毒軟件遷移過(guò)來(lái)之后卻發(fā)現(xiàn)，如果在每一個(gè)映像中安裝傳統(tǒng)的防毒軟件，在終端同時(shí)進(jìn)行病毒掃描時(shí)，服務(wù)器CPU、內(nèi)存、磁盤(pán)等都會(huì)產(chǎn)生極高的負(fù)載，用戶(hù)終端應(yīng)用異常緩慢。此外，‘休眠’狀態(tài)下的虛機(jī)也不在傳統(tǒng)防毒軟件的管理范圍，這些系統(tǒng)在啟動(dòng)時(shí)，會(huì)集中更新防毒病毒代碼和補(bǔ)丁，由此產(chǎn)生的高額流量很容易造成網(wǎng)絡(luò)擁堵。為了解決以上問(wèn)題，我們必須尋找一種全面兼容Citrix平臺(tái)的安全方案，為云桌面提供極致體驗(yàn)，確保未來(lái)兩年內(nèi)實(shí)現(xiàn)所有桌面終端虛擬化的目標(biāo)?！?/p>

完美兼容Citrix，“無(wú)代理”避免防毒風(fēng)暴

通過(guò)對(duì)市場(chǎng)中主流虛擬化安全產(chǎn)品的充分調(diào)研，中國(guó)科學(xué)院學(xué)部發(fā)現(xiàn)，亞信安全服務(wù)器深度安全防護(hù)系統(tǒng)（Deep Security）能夠全面支持VMware、Citrix、Amazon AWS、Microsoft Hyper-V等虛擬化平臺(tái)，其“無(wú)代理”部署特性能夠與Citrix完美兼容，從而避免產(chǎn)生防毒風(fēng)暴(AV Storm)，大幅提升虛擬機(jī)密度。

院部網(wǎng)絡(luò)安全工程師對(duì)測(cè)試Deep Security的效果十分滿(mǎn)意，他表示：”無(wú)代理防護(hù)的方案可以把繁瑣的問(wèn)題簡(jiǎn)化，它不需要在每個(gè)虛擬桌面內(nèi)部署防護(hù)客戶(hù)端，而是在虛擬化服務(wù)器底層實(shí)現(xiàn)，然后Citrix平臺(tái)通過(guò)底層接口調(diào)用，完成上層虛機(jī)的統(tǒng)一安全防護(hù)。有效避免了傳統(tǒng)的安全防護(hù)方式中客戶(hù)端爭(zhēng)奪服務(wù)器資源的問(wèn)題，即使在云桌面的虛化比達(dá)到1:50的情況下，也能保證終端用戶(hù)流暢的工作?！?/p>

在通過(guò)嚴(yán)格測(cè)試之后，中科院機(jī)關(guān)正式部署Deep Security，為所有Citrix云桌面實(shí)現(xiàn)了全方位的安全防護(hù)。在病毒防護(hù)基礎(chǔ)上，Deep Security還提供了防火墻、IDS/IPS、Web應(yīng)用程序防護(hù)，以及完整性監(jiān)控和安全日志報(bào)表等功能。同時(shí)，中科院還通過(guò)Deep Security提供的虛擬補(bǔ)丁(Virtual Patch)功能，為桌面系統(tǒng)建成了統(tǒng)一的補(bǔ)丁部署架構(gòu)，對(duì)于最新發(fā)現(xiàn)的威脅漏洞，Deep Security能夠在第一時(shí)間提供修補(bǔ)程序，在無(wú)需重新啟動(dòng)系統(tǒng)的前提下，即可在數(shù)分鐘內(nèi)將這些規(guī)則應(yīng)用到所有虛擬桌面上。

從容應(yīng)對(duì)勒索軟件，確保云桌面投資收益

Deep Security不僅有助于完全釋放服務(wù)器性能壓力，還具有多項(xiàng)領(lǐng)先的虛擬化安全技術(shù)，在勒索軟件攻擊等網(wǎng)絡(luò)安全事件中發(fā)揮出了巨大的防護(hù)效果。對(duì)此，中科院機(jī)關(guān)的IT團(tuán)隊(duì)對(duì)于其給予了高度評(píng)價(jià)。

信息技術(shù)部主管表示：“Deep Security不僅可以對(duì)Citrix平臺(tái)上各類(lèi)操作系統(tǒng)、應(yīng)用程序和數(shù)據(jù)進(jìn)行防護(hù)，還可以保護(hù)處于運(yùn)行狀態(tài)和休眠狀態(tài)的虛擬機(jī)，讓我們?cè)趹?yīng)對(duì)‘永恒之藍(lán)’等勒索軟件攻擊中從容有序的完成了主機(jī)加固工作。對(duì)于整個(gè)項(xiàng)目而言，其最大價(jià)值在于提升虛擬化投資收益率，完全達(dá)到了預(yù)期的虛機(jī)密度，服務(wù)器硬件投入也比‘有代理’方式節(jié)省了80%?！?/p>

xiesc