为了应对办事器在虚拟化环境中不竭出现的安然挑战,在统一资本池扶植后积极拓展云计较营业,广东省电信公司(以下简称:广东电信)联袂趋势科技,经由过程撑持最新“多租户”安然治理的趋势科技办事器深度安然防护系统(Deep Security),和独有的“无代办署理”防毒手艺摆设,完成了安然可托的营业网统一资本池扶植,真正阐扬了VMware ESX平台虚拟化机能与成本优势。
坚苦一:传统安然域手艺撑持无力
据体味,广东电信作为中国电信集体公司全国最大年夜的省级公司,是最早遵循集体手艺规范要求进行统一虚拟化资本池扶植的公司之一。今朝营业网资本池已具有三个机房,共建设3个VMware云计较数据中间共5个计较集群,2000台虚拟机,打算将来3年内扩大到20000台虚拟机。但在统一资本池扶植初期,IT运维治理部门就发现一个必需要解决的安然标题问题。
据广东电信IT运维治理部门的梁师长教师介绍,因为传统IDC环境采取鸿沟分手、安然隔离的编制,可以成立安然域进行安然加固。而统一资本池利用了大年夜量的虚拟化手艺,虚拟收集层的交互数据直接在VMware ESXi主机内部完成。这类现象直接导致了本来摆设的传统安然产品(如IPS、IDS等),没法及时监控到虚拟收集内部的暗藏威胁,为全局利用下的安然运行带来了极大年夜的风险。而因为贫乏专门针对虚拟化防毒和消弭威胁的配套方案,这已影响了统一资本池项目在广东电信乃至全部集体内部的推动法度。
坚苦二:防毒扫描风暴导致ROI未达预期
广东电信数据中间操纵VMware虚拟化手艺成立统一的资本池,可以实现资本与项目分手,推动营业平台集中摆设、集约运营,慢慢实现资本整合。但是,原有办事器设备在迁徙至云资本池后,其上摆设的传统防毒防病毒方案(需要安装代办署理客户端)将产生“防毒扫描风暴(AV Storms)”。这是因为,传统防病毒方案与虚拟化底层兼容性极低,当虚拟机均采取这些手艺时,会造成抢占CPU、内存、存储I/O和收集拥堵的现象,直接造成营业拜候延迟或超时。对这类环境,运营商只能经由过程降落虚拟化密度或卸载防病毒软件解决,不管采取哪一种方案,对资本池的ROI及安然都带来负面的影响,导致预期收益不达标。
【传统防毒系统在虚拟化环境中产生“防毒扫描风暴(AV Storms)”】
坚苦三:多用户治理不克不及“水中看月”
在数据中间未进级至虚拟化架构之前,各个营业部门的系统均具有自力的运行环境,鸿沟清晰,因此可以具有自力自立的安然治理模式及系统,互不干扰。但当多个部门的系统均纳进统一资本池中运行时,各个营业系统之间的鸿沟变得恍惚,传统安然方案没法撑持各部门安然事务自力治理的模式,打乱了原有沿用多年的治理模式,极大年夜的阻碍了统一资本池的推动。同时,因为将来统一资本池的范围会敏捷扩大,假定把全省所有营业部门的安然事务集中交付给运维部门进行治理,必定会超出IT运维治理的承受极限。
【虚拟化资本池中存在的集中安然治理和授权标题问题】
是以,广东电诺言户火急希看安然方案可以或许参考VMware的软件定义数据中间(vCloud SDDC)方案,将数据中间安然策略成功扩大到云端,在安然治理上实现“多租户”治理。
“无代办署理”防护获承认 “多租户”承载云计较将来
为了确保公司的营业顺利迁徙至资本池,广东电信开端遍及寻觅最好的解决方案。广东电信对多家厂商的虚拟化安然防护产品进行了周全评估及测试,但发现这些厂家的方案均是传统的、基于把持系统的解决方案,不克不及周全解决之前碰着的各类标题问题。而在一次与趋势科技的手艺交换中得知,有别于其他传统的安然解决方案,趋势科技Deep Security 9可以或许在VMWare ESXi平台下供给今朝最新的无代办署理防护方案,直接把防护系统摆设在ESXi虚拟化平台底层,可以有效地解决之前碰着的各类标题问题。
【趋势科技Deep Security有效解决了“安然治理多租户”等一系列虚拟化环境的安然标题问题】
为了验证趋势科技Deep Security 9的手艺可行性,广东电信聘请趋势科技介入了虚拟化平台安然防护方案的测试。趋势科技也紧紧抓住了这个机缘,操纵以VMware vShield Endpoint及VMSAFE两套安然API为根本的虚拟化底层防护手艺,有效解决了“安然治理多租户”等一系列虚拟化环境的安然标题问题。颠末深进详实的测试,用户从以下几方面了对趋势科技Deep Security无代办署理功能获得了充分承认,此中包含:
经由过程Deep Security的虚拟化底层防护手艺,有效解决了ESXi环境下按时全盘杀毒的防毒扫描风暴标题问题,使统一资本池虚拟化密度晋升2.5倍。
经由过程 Deep Security 9的多租户手艺,有效解决了多营业部门安然治理分权的坚苦,加快了统一资本池奉行过程。
经由过程Deep Security的虚拟化底层拜候节制手艺,有效解决了虚拟层没法划分安然域的坚苦,并使统一资本池的安然合规性可以合适集体的安然规范。
资本池安然治理“三大年夜坚苦”已解 云端营业蓄势待发
今朝,广东电信还处在统一资本池扶植的测验测验阶段,一旦冲破手艺和治理上的难关,虚拟办事器数量将会呈爆炸式增加趋势,更多的营业、更多的利用将直接会聚于统一资本池中。而最新的Deep Security 9可以供给更完全的进侵防护和机能监控法度,并在一个无需安装代办署理法度的高机能平台上实现了动态的虚拟补丁功能,它大年夜幅降落了数据中间和私有云环境的运维负荷。
广东电信在充分验证了趋势科技Deep Security的进步前辈手艺后,最终肯定在现有虚拟化平台上周全摆设了Deep Security无代办署理防护解决方案。广东电信的梁师长教师暗示:“利用趋势科技专门对虚拟化安然环境开辟的Deep Security,并操纵其独有的‘无代办署理’和‘多租户’安然防护方案,可以或许有效解决统一资本池安然治理上的三大年夜坚苦,打扫阻碍统一资本池成长的安然障碍,为广东电信统一资本池扶植供给了有力的保障和强大年夜的撑持!”