在教育信息化角色不断强化的今天,加强IT基础资源配置、提升数据安全管理,已经成为了高校信息化发展的重要支撑。作为率先采用虚拟化与云计算“武装”数据中心的高校之一,中国石油大学(文中简称:中石大)采用亚信安全服务器深度安全防护系统(Deep Security),不仅全面提升了虚拟化平台的安全管理效率,更有力配合了信息安全等级保护工作的落地。
虚拟化“等保”迎来新挑战
中石大(北京)是一所石油特色鲜明、以工为主、多学科协调发展的教育部直属全国重点大学。近年来,学校紧抓数字化校园建设契机,利用移动应用、虚拟化、云计算与SDN技术,对校园内的教学、科研、管理和生活服务等信息资源进行整合、集成和全面的数字化,构成了统一的用户管理和资源管理平台。
随着信息化的深入,尤其是虚拟化技术的大量应用,中石大网络中心的老师们却发现,传统的网络安全防护模式已经不能满足发展需求,并由此催生了诸多棘手问题,如虚拟化平台防毒效果不佳、数据安全受到威胁、运维压力过大等。如何在各项业务迁移到虚拟化平台的同时解决这些问题,确保主机安全管理达到等级保护的目标,是摆在中石大信息化管理者面前的新课题。
中石大网络中心的吴老师指出:“虚拟化对数据中心的影响是巨大的,它在资源利用率提高和简化系统管理方面比传统架构出色很多。但是,由于传统信息安全产品不是针对虚拟化环境设计的,会产生病毒扫描风暴等一系列问题。而在虚拟化场景下实现等级保护的要求,更是一个新的挑战,必须制定可行方案,否则整个虚拟环境的安全将难以得到保证。”
为数据中心披上“保护甲”
在虚拟化数据中心,服务器主机物理边界已经消失,而实施等保的技术难点在于对于虚拟网络进行监控与网络攻击防御,以及虚拟机安全防御策略的统一管理。为此,中石大网络中心与VMware的技术工程师进行了多次沟通,分析了VMware虚拟环境下VMsafe和vShield技术的特点。其中,VMware VMsafe作为一组特殊的应用程序通用接口组件(API),第三方厂商可以利用其构建针对虚拟环境的安全系统,解决虚拟网络流量监控和虚机恶意代码交叉感染的问题。
据了解,从产品研发阶段开始,亚信安全服务器深度安全防护系统(Deep Security)就最紧密整合了“VMsafe”API和“VMware vShield Endpoint”API。而在功能集成方面,Deep Security更为用户提供了平台化的操作环境,这包括统一管理所需的内容安全功能,配置防火墙、防恶意软件、IDS/IPS、Web 应用程序防护、虚拟补丁、完整性监控,以及日志审计和综合报表等模块。
“在考察了多款产品之后,我们发现亚信安全服务器深度安全防护系统(Deep Security)能够解决上述问题。其与VMware实现了完美融合,我们不需要为每一个虚拟机安装代理程序,就能提供网络防护以及病毒防护技术,从而降低内存与CPU的负载。最重要的一点是解决了虚拟环境中可管、可控的难题,可以将等保的要求推送到虚拟服务器上。” 吴老师介绍了选择亚信安全产品的原因,而数据中心也最终穿上了这层“保护甲”。
探索“等保”新领域
2015年10月,亚信安全服务器深度安全防护系统(Deep Security)正式入驻中石大数据中心,负责100多台虚拟服务器,以及部分物理服务器的安全防护。在使用过程中,用户不需要对每个操作系统安装防毒软件、配置防火墙策略、主机安全加固策略,安全管理效率得到了大幅提升。
需要重点强调的是,针对等保工作的具体要求,亚信安全服务器深度安全防护系统(Deep Security)可以实现虚拟机保护区域边界的动态管理,让安全策略从始至终跟踪虚拟机的移动。另外,通过基于云的事件白名单和可信事件管理,显著降低了数据完整性监控的复杂程度,在近乎不影响性能的情况下实时检测并删除虚拟服务器中的恶意软件。
亚信安全服务器深度安全防护系统(Deep Security)正在成为中国石油大学数据中心安全运维的核心系统。针对应用效果,吴老师表示:“传统的等级保护标准主要面向静态的、具有固定边界的系统环境。面向虚拟化环境下的等级保护工作需要进一步深入研究,国家等级保护规范也会在云普及的大环境下进行动态调整。而在与亚信安全的合作中,我们积极探索这种新技术的可行性,使得虚拟机设计密度达到了预期标准,提升了我校数据中心的安全性,为信息化应用创新发展提供了更加可信的运行环境。”