從二維平面到三維空間之后的數(shù)據(jù)中心安全
中國信通院始建于1957年,是工業(yè)和信息化部直屬科研事業(yè)單位。多年來,中國信通院在行業(yè)發(fā)展的重大戰(zhàn)略、規(guī)劃��、政策����、標準和測試認證等方面發(fā)揮了有力支撐作用。近年來���,圍繞國家“網(wǎng)絡(luò)強國”和“制造強國”新戰(zhàn)略���,中國信通院著力加強研究創(chuàng)新,在4G/5G����、工業(yè)互聯(lián)網(wǎng)、智能制造�、移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)���、云計算�����、大數(shù)據(jù)���、人工智能等方面進行了深入研究與前瞻布局,有力支撐了互聯(lián)網(wǎng)+�、中國制造2025�、寬帶中國等重大戰(zhàn)略與政策的出臺和各領(lǐng)域重要任務(wù)的實施��。
在積極對外提供信息化服務(wù)的同時���,中國信通院加強信息基礎(chǔ)和內(nèi)部應用體系建設(shè)�����,并引入VMware vSphere虛擬化平臺���,將一些重要的業(yè)務(wù)系統(tǒng)遷入到虛擬化平臺上運行�����。然而����,就在核心業(yè)務(wù)系統(tǒng)遷移到虛擬化平臺之前,虛擬化安全統(tǒng)一管理�����、網(wǎng)絡(luò)流量監(jiān)控變化以及虛擬機運維等問題逐漸呈現(xiàn)�。
針對虛擬化安全管理平臺的建設(shè)���,中國信通院相關(guān)技術(shù)負責人表示:“在核心業(yè)務(wù)遷移的前期,我們對數(shù)據(jù)中心安全能力進行了多次評估���。測試發(fā)現(xiàn)���,由傳統(tǒng)防毒系統(tǒng)造成的掃描風暴,極大地消耗了服務(wù)器CPU�、內(nèi)存和磁盤資源,嚴重影響了數(shù)據(jù)中心的計算性能�����。此外����,傳統(tǒng)數(shù)據(jù)中心網(wǎng)絡(luò)安全都只關(guān)注縱向的業(yè)務(wù)流量訪問控制,而虛擬化數(shù)據(jù)中心的網(wǎng)絡(luò)安全模型則需要由二維平面轉(zhuǎn)變?yōu)槿S空間����,而現(xiàn)有的網(wǎng)絡(luò)安全策略無法滿足主機順暢的加入、離開集群��,或者是動態(tài)遷移之后的管理要求�,更無法監(jiān)控到虛擬機之間的業(yè)務(wù)流量���。”
基于上述問題�,中國信通院重新規(guī)劃數(shù)據(jù)中心安全防御體系,并將安全防護產(chǎn)品的性能消耗����、防護完整性、安全策略統(tǒng)一管理作為重點指標���。此外�,中國信通院還提出了虛擬化安全產(chǎn)品的兼容性問題�����,希望在支持VMware vSphere的基礎(chǔ)上���,還能夠提供面向華為FusionSphere以及其他虛擬化平臺的統(tǒng)一管理。
虛擬化安全管理“化零為整”
針對中國信通院集中化管理�、性能消耗、完整防護��,以及跨平臺管理需求���,亞信安全以能夠全面支持VMware vSphere和華為FusionSphere等虛擬化環(huán)境的亞信安全服務(wù)器深度安全防護系統(tǒng)(Deep Security)為核心��,確立了中國信通院虛擬化平臺統(tǒng)一安全管理建設(shè)方案�。
在跨平臺管理方面,通過亞信安全服務(wù)器深度安全防護系統(tǒng)中的Deep Security Manager����,可以統(tǒng)一接管和控制多套系統(tǒng)中的虛擬化服務(wù)器,并在主機接口啟用安全過濾策略���,主動偵測虛擬網(wǎng)絡(luò)中流動的惡意代碼�,進而有效阻攔黑客從外部���、內(nèi)部發(fā)動的網(wǎng)絡(luò)攻擊���,為虛擬化系統(tǒng)打造一體化的安全管理平臺。同時�,中國信通院還實現(xiàn)了虛擬化平臺安全策略統(tǒng)一配置、預警事件集中處置和防毒代碼集中更新等功能����,打造出輕松便捷的虛擬化運維環(huán)境。
同高速公路一樣�����,車多了就會造成擁堵,如果大量虛擬機在一個較短的時間內(nèi)同時更新病毒庫并進行防毒掃描����,由此引發(fā)的集中I/O訪問會產(chǎn)生防病毒掃描風暴,往往會很輕易地吞噬掉物理主機的所有性能�����。為了避免防病掃描毒風暴����,全面發(fā)揮虛擬化系統(tǒng)的效率優(yōu)勢,實現(xiàn)性能最大化��,中國信通院采用了亞信安全服務(wù)器深度安全防護系統(tǒng)獨有的“無代理”安全防護方式�,從物理主機底層向上為所有虛機提供保護,實現(xiàn)較低的性能消耗�,進而保障了虛擬化主機密度達到規(guī)劃預期�。
在功能完整性方面,這套產(chǎn)品具備了虛擬補丁功能�、以及Web應用層檢測、IDS���、IPS等深度檢測包技術(shù)���,對惡意程序感染���、網(wǎng)絡(luò)入侵、惡意訪問�、漏洞利用以及數(shù)據(jù)完整性等多種層面的風險形成有效的防御能力。同時�,在虛擬網(wǎng)絡(luò)層,通過數(shù)據(jù)包處理引擎和過濾規(guī)則�����,對虛擬化網(wǎng)絡(luò)數(shù)據(jù)包進行檢查��,對檢測出違反協(xié)議規(guī)范���、入侵�����、攻擊行為數(shù)據(jù)包做異常處理����,阻止惡意入侵活動。
釋放運維壓力“輕松上云”
在傳統(tǒng)防病毒方案中���,每臺虛擬機的防病毒軟件都需要單獨安裝�、分別升級����、逐個查毒,隨著虛擬化覆蓋率提升��,運維成本也將越來越高��。尤其在采用多個虛擬化平臺之后�,安全管理的運維工作量也將增加數(shù)倍以上,而通過亞信安全服務(wù)器深度安全防護系統(tǒng)中的Deep Security Manager則可以輕松化解運維難題���。
針對亞信安全所提供的產(chǎn)品和服務(wù)���,中國信通院信息技術(shù)主管表示,對于任何一個組織的信息化戰(zhàn)略而言��,虛擬平臺和云計算都是戰(zhàn)略性的����,不僅基礎(chǔ)設(shè)施組件和工具都要與虛擬化的效率優(yōu)勢相匹配,信息安全同樣需要與這一戰(zhàn)略的方向保持一致��。亞信安全提供整體解決方案以其完美的兼容性�,幫助我們建立了能夠同時管理VMware和華為產(chǎn)品的一體化系統(tǒng),順利地掃除了云計算和大數(shù)據(jù)等新業(yè)務(wù)的應用阻礙���。
