随着云计算、应用交付、虚拟化等技术在各个行业的快速发展,国内许多电力企业已把桌面虚拟化视为一项重要的IT战略。为了应对大规模虚拟化桌面应用环境中不断涌现的安全挑战,东莞供电局携手全球服务器安全、虚拟化及云计算安全厂商——趋势科技,通过趋势科技虚拟化深度安全防护系统(Deep Security)“无代理”安全防护技术的部署,真正发挥了VMware桌面虚拟化平台的性能与成本优势。
传统防毒软件“绠短汲深” 桌面虚拟化推广进程受阻击
东莞供电局是中国南方电网广东电网公司属下的特大型供电企业,全局内设13个职能部门、10个二级机构和33个供电分局,供电人口822万人,供电客户205万户。为了响应国家“十二·五规划”所提倡的“绿色IT”指导,东莞供电局率先在广东省电网体系内进行桌面虚拟化试验,为全网桌面虚拟化进行可行性研究,为全网推广工作的积极备战。东莞供电局在应用桌面虚拟化技术后,硬件资源使用率得到了极大的提高,能耗也大幅降低。另外,在运维工作量减少90%的基础上,动态分配资源、可按需扩展的功能都满足了不断变化的业务需求。但若在全网范围内进行推广,信息中心就必须考虑好桌面虚拟化可能会遇到的安全问题。
东莞供电局专门负责安全工作的邓工介绍说:“与其他能源行业相比,电力企业对信息系统的实时性要求则是最高的,而要保障所有操作都能满足高标准的实时性要求,虚拟桌面的性能就要长期处于最佳的工作状态。为了确保虚拟化桌面系统在工作时间不间断运行,我们启用了虚拟化桌面特有的资源池技术,一旦View(虚拟桌面专用管理端)发现某个资源池(Resource Pools)不足以运行多台虚拟桌面时,能够动态把虚拟桌面迁移到其他的资源池上,保障业务不间断运行。这种虚拟机在资源池内动态漂移的技术,虽然能够实现虚拟桌面不间断运行,但管理员无法保障每个映像文件是否处于安全保护状态,这为整个虚拟化平台的安全监控带来了前所未有的挑战。”
虚拟化的好处让每个业务部门都“垂涎欲滴”,现在业务部门向信息中心申请虚拟机时,均达到数十台的数量。在这种推进速度下,如果使用传统的防病毒方案,安全管理员需要手动为每台虚拟机单独部署防病毒客户端、升级病毒库、升级操作系统补丁、修改安全策略等多项工作,给信息中心的运维工作带来了极大的压力,如果稍有遗漏,就会为整个虚拟化桌面平台带来巨大的安全隐患。
显然,传统的防病毒软件已经不能满足东莞供电局的需求,严重阻碍了桌面虚拟化进程的推进。经过多次论证之后,东莞供电局希望购置一套专门在虚拟化平台上工作的安全解决方案,来打破这种“安全滞后”的局面。
“无代理”成为桌面虚拟化安全的“胜负手”
为了确保桌面虚拟化平台的业务连续性,避免新威胁涌入内网,东莞供电局开始寻找最佳的解决方案。用户在VMware官网上了解到趋势科技Deep Security是目前业界与VMware兼容度最高的安全产品,能够利用VMware发布的vShield EndPoint安全接口在VMware ESX平台上提供无代理防护方案,直接把防护客户端部署在虚拟化平台ESXi上,能够有效地解决了之前遇到的各种问题。经过与趋势科技技术顾问的深入交流及反复测试,东莞供电局最终决定使用趋势科技Deep Security作为其桌面虚拟化平台提供安全保障,以此推动虚拟化进程的建设。
【趋势科技Deep Security有效解决了“防毒扫描风暴”等一系列虚拟化环境的安全问题】
在测试阶段,Deep Security无代理功能相对于传统防病毒产品表现出优异的性能和管理优势,很好的解决了资源竞争、即时启动间隔、迁移审核等虚拟化特有的安全难题。随着东莞供电局桌面虚拟化应用范畴的不断扩展,大量桌面共享主机的硬件资源,而Deep Security无代理技术完全避免了病毒扫描风暴的产生,使得资源池的共享比例达到或超过了60:1。另外,在传统防毒软件无法插足的“即时启动间隔”处理上,休眠的桌面映像同样可以采用Deep Security的虚拟补丁修复功能,以防御零日威胁。另外,Deep Security的部署还很好的发挥了虚拟桌面的易配置性和移动性,做到了所有虚拟桌面安全状况的审计记录。
虚拟机安全管理难题迎刃而解 桌面虚拟化推广进程随即加速
安全是一个整体,物理和虚拟桌面都需要防恶意软件的保护,但是虚拟桌面防恶意软件安全解决方案必须专为共享资源环境设计。也就是说,虚拟化必须保障资源池的安全,当任何一个虚机进入到资源池之后,立即就能在统一防护策略下的达到最新的安全水平。而无代理防毒技术恰恰是制造这样一个容器的最佳“材料”,这为东莞供电局实现了真正的“无限虚拟机安全管理”。
对此,东莞供电局的邓工表示:“趋势科技Deep Security是目前少数能够支持虚拟机无代理防护技术的产品之一。经过验证,我们认为Deep Security是最符合东莞供电局虚拟化平台需求的产品。在实施Deep Security后,我们在虚拟化建设时遇到的包括性能、虚拟机内部攻击、大规模虚拟桌面运维管理困难等诸多安全问题得到了解决,让我们更加安心地把更多的终端迁移至桌面虚拟化平台,极大地加速了我中心虚拟化进程的建设。”