为了应对服务器在虚拟化环境中不断涌现的安全挑战,在统一资源池建设后积极拓展云计算业务,广东省电信公司(以下简称:广东电信)携手中国云与大数据的安全技术领导者——亚信安全,通过支持最新“多租户”安全管理的亚信安全信舱云主机安全(DeepSecurity),以及独有的“无代理”防毒技术部署,完成了安全可信的业务网统一资源池建设,真正发挥了VMware ESX平台虚拟化性能与成本优势。
据了解,广东电信作为中国电信集团公司全国最大的省级公司,是最早按照集团技术规范要求进行统一虚拟化资源池建设的公司之一。目前业务网资源池已具备三个机房,共配置3个VMware云计算数据中心共5个计算集群,2000台虚拟机,计划未来3年内扩展到20000台虚拟机。但在统一资源池建设初期,IT运维管理部门就发现一个必须要解决的安全问题。
据广东电信IT运维管理部门的梁先生介绍,由于传统IDC环境采用边界分离、安全隔离的方式,可以建立安全域进行安全加固。而统一资源池使用了大量的虚拟化技术,虚拟网络层的交互数据直接在VMware ESXi 主机内部完成。这种现象直接导致了原来部署的传统安全产品(如IPS、IDS等),无法实时监控到虚拟网络内部的潜在威胁,为全局应用下的安全运行带来了极大的风险。而由于缺少专门针对虚拟化防毒和消除威胁的配套方案,这已经影响了统一资源池项目在广东电信乃至整个集团内部的推进步伐。
当原有服务器设备在迁移至云资源池后,其上部署的传统防毒防病毒方案(需要安装代理客户端)将产生“防毒扫描风暴(AV Storms)”。这是因为,传统防病毒方案与虚拟化底层兼容性极低,当虚拟机均采用这些技术时,会造成抢占CPU、内存、存储I/O和网络拥堵的现象,直接造成业务访问延迟或超时。对于这种情况,运营商只能通过降低虚拟化密度或卸载防病毒软件解决,不管采用哪种方案,对资源池的ROI及安全都带来负面的影响,致使预期收益不达标。
此外,统一资源池会导致各个业务系统之间的边界变得模糊,传统安全方案无法支持各部门安全事务独立管理的模式。同时,由于未来统一资源池的规模会迅速扩张,如果把全省所有业务部门的安全事务集中交付给运维部门进行管理,必然会超出IT运维管理能力。
因此,广东电信用户迫切希望安全方案能够参考VMware的软件定义数据中心(vCloud SDDC)方案,将数据中心安全策略成功扩展到云端,在安全管理上实现“多租户”管理。
“无代理”防护获认可“多租户” 承载云计算未来
为确保公司业务顺利迁移至资源池,广东电信广泛寻找最佳的解决方案。在与亚信安全的技术交流中得知,有别于其他传统的安全解决方案,亚信安全信舱云主机安全(DeepSecurity)能够在VMWare ESXi平台下提供目前最新的无代理防护方案,直接把防护系统部署在ESXi虚拟化平台底层,可以有效地解决之前遇到的各种问题。
为了验证亚信安全信舱云主机安全(DeepSecurity)的技术可行性,广东电信邀请亚信安全参与了虚拟化平台安全防护方案的测试。亚信安全利用以VMware vShield Endpoint及VMSAFE两套安全API为基础的虚拟化底层防护技术,有效解决了“安全管理多租户”等一系列虚拟化环境的安全问题。经过测试,用户从以下几方面了对亚信安全信舱云主机安全(DeepSecurity)无代理功能得到了充分认可,其中包括:
通过亚信安全信舱云主机安全(DeepSecurity)的虚拟化底层防护技术,有效解决了ESXi环境下定时全盘杀毒的防毒扫描风暴问题,使统一资源池虚拟化密度提升2.5倍。
通过亚信安全信舱云主机安全(DeepSecurity)的多租户技术,有效解决了多业务部门安全管理分权的难题,加快了统一资源池推广进程。
通过亚信安全信舱云主机安全(DeepSecurity)的虚拟化底层访问控制技术,有效解决了虚拟层无法划分安全域的难题,并使统一资源池的安全合规性可以符合集团的安全规范。
资源池安全管理“三大难题”已解 云端业务蓄势待发
目前,广东电信还处在统一资源池建设的尝试阶段,一旦突破技术和管理上的难关,虚拟服务器数量将会呈爆炸式增长趋势,更多的业务、更多的应用将直接汇聚于统一资源池中。而最新的亚信安全信舱云主机安全(DeepSecurity)可以提供更完整的入侵防护和性能监控程序,并在一个无需安装代理程序的高性能平台上实现了动态的虚拟补丁功能,它大幅降低了数据中心和私有云环境的运维负荷。
客户背景介绍
所属行业
电信
用户量
2500万
公司简介
中国电信广东公司是中国电信集团公司最大的省级分公司,总资产近1000亿元,年收入占中国电信股份有限公司的五分之一。2000年以来,累计向国家上缴税收近350亿元。2007年,在广东省50强企业中排行第13位,同年被评为“广东省通信发展突出贡献单位”和“广东省十大国有诚信企业”。