趨勢科技助力深圳電網(wǎng)公司邁向綠色IT之路

2013-11-22 10:33:09 51CTO　點擊量：評論 (0)

企業(yè)利用服務器虛擬化技術，結合自身情況對服務器資源重新優(yōu)化配置，可以充分利用服務器資源，并有效控制隨服務器數(shù)量快速增長帶來的其他一系列問題。但是，當把這一技術付諸于實踐之后，一些用戶會發(fā)現(xiàn)

企業(yè)利用服務器虛擬化技術，結合自身情況對服務器資源重新優(yōu)化配置，可以充分利用服務器資源，并有效控制隨服務器數(shù)量快速增長帶來的其他一系列問題。但是，當把這一技術付諸于實踐之后，一些用戶會發(fā)現(xiàn)，由于缺少專門針對虛擬化防毒和消除威脅的配套方案，這會直接影響虛擬化在企業(yè)內(nèi)部的推進步伐。
為了應對服務器在虛擬化環(huán)境中不斷涌現(xiàn)的安全挑戰(zhàn)，深圳電網(wǎng)公司(以下簡稱：深圳電網(wǎng))攜手全球服務器安全、虛擬化及云計算安全領導廠商——趨勢科技，通過趨勢科技服務器深度安全防護系統(tǒng)(Deep Security)的“無代理”防毒技術的部署，真正發(fā)揮了VMware ESXi平臺虛擬化性能與成本優(yōu)勢。在全面降低資源占用的基礎上，低能耗、安全穩(wěn)定的虛擬化平臺為深圳電網(wǎng)把國家綠色減排的號召轉(zhuǎn)變?yōu)樽罴褜嵺`。
“脫離安全控制”傳統(tǒng)防毒與虛擬化環(huán)境不兼容
深圳電網(wǎng)最高供電負荷(1367.5萬千瓦)位居全國第四、南方電網(wǎng)第一，同時也是全國供電負荷密度最大、供電可靠性領先的特大型城市電網(wǎng)。2012年，建成110千伏及以上變電容量346.2萬千伏安、線路長度145.4千米。然而，業(yè)務的全面增長，也為IT管理帶來了的全新的挑戰(zhàn)。無限的應用擴展，已經(jīng)在能耗、機房空間為深圳電網(wǎng)公司帶來巨大的壓力，而虛擬化的出現(xiàn)，為深圳電網(wǎng)帶來了新的選擇。在國家綠色IT的指引下，深圳電網(wǎng)率先在公司內(nèi)部開始推進服務器虛擬化進程。
作為全國最大的市級電網(wǎng)企業(yè)，為了確保在虛擬化平臺上運行的業(yè)務系統(tǒng)、數(shù)據(jù)安全，深圳電網(wǎng)非常謹慎地對虛擬化平臺上的各種安全解決方案進行測試、調(diào)研，并在虛擬化平臺的小范圍業(yè)務系統(tǒng)中進行試用。意想不到的是，在此次試用中，發(fā)現(xiàn)傳統(tǒng)防病毒軟件與虛擬化平臺有著嚴重的兼容性問題。尤其是在虛擬系統(tǒng)上安裝了傳統(tǒng)防毒軟件之后，但由于它們并不是專為虛擬化環(huán)境設計的，所以在運行全盤掃描時，會對虛擬化平臺的硬件資源帶來巨大的壓力，輕者影響業(yè)務的正常運行，重者則會導致虛擬化環(huán)境崩潰。
深圳電網(wǎng)的黃工表示：“使用虛擬化技術，能夠?qū)⒍鄠€硬件資源整合成一個虛擬的統(tǒng)一資源池，供各個虛擬業(yè)務系統(tǒng)靈活調(diào)度，大大降低了業(yè)務系統(tǒng)膨脹帶來的能耗、機房空間占用問題。但同時，由于在虛擬機上部署了傳統(tǒng)的防病毒軟件，不但降低了虛擬化技術在我公司的應用效率，還讓虛擬機的安全管理脫離了我們原有的控制框架。”
那么，黃工所談到的“脫離安全控制”主要是指什么呢?具他介紹：首先，在虛擬環(huán)境中，網(wǎng)絡邊界不再涇渭分明，傳統(tǒng)安全設備(如入侵檢測系統(tǒng)、入侵防御系統(tǒng)、防火墻等)無法監(jiān)測到虛擬層的通信流，在虛擬層內(nèi)部產(chǎn)生了安全“盲點”。其次，深圳電網(wǎng)使用虛擬化特有的動態(tài)資源分配技術(DRS)，一旦vCenter發(fā)現(xiàn)某個主機資源不足以運行多臺虛擬服務器時，能夠動態(tài)把虛擬服務器遷移到其他主機上，保障業(yè)務不間斷運行。這種虛擬機在主機間動態(tài)漂移的技術，雖然能夠保障業(yè)務不間斷運行，但同時管理員也沒法掌握遷移到虛擬化平臺的虛擬機是否具備最新組件的防護，為整個虛擬化平臺的安全監(jiān)控帶來監(jiān)控難度。很顯然，面對以上在虛擬化推進工作中存在不利因素，傳統(tǒng)的安全產(chǎn)品已經(jīng)不能再適用深圳電網(wǎng)的需求。
無代理+虛擬層安全網(wǎng)關 “三大優(yōu)勢”得以驗證
為了確保公司的業(yè)務連續(xù)性，避免病毒對數(shù)據(jù)、應用和網(wǎng)絡帶來威脅，深圳電網(wǎng)協(xié)同多位外聘安全專家、VMWare原廠工程師對傳統(tǒng)防病毒軟件的問題進行分析。專家皆都認為在虛擬化平臺上，必須使用專為虛擬化環(huán)境設計的安全軟件，才能解決上述遇到的一系列問題。在后續(xù)通過VMWare官方網(wǎng)站的驗證和第三方評測機構的推薦，深圳電網(wǎng)將目光聚焦在趨勢科技的服務器深度安全防護系統(tǒng)上來。趨勢科技Deep Security是第一款能夠在VMWare ESXi平臺下提供無代理防護方案的產(chǎn)品，它能把安全防護組件以虛擬層安全網(wǎng)關的方式部署在ESXi上，有效地解決了用戶之前遇到的各種問題。

【趨勢科技Deep Security有效解決了“防毒掃描風暴”等一系列虛擬化環(huán)境的安全問題】

為了驗證趨勢科技Deep Security的技術可行性，深圳電網(wǎng)邀請趨勢科技參與了虛擬化平臺安全防護方案的測試。經(jīng)過深入細致的測試，深圳電網(wǎng)的IT部門對趨勢科技Deep Security給出了極高的評價，并對無代理功能的優(yōu)點進行了總結，其中包括以下三個方面：
第一，通過Deep Security的虛擬安全網(wǎng)關，能夠在ESX底層即可對虛擬化環(huán)境的病毒進行查殺，解決了傳統(tǒng)方案不能監(jiān)測虛擬交換機內(nèi)部風險的致命問題，并且查殺的效果更優(yōu)于傳統(tǒng)的客戶端方式
第三，通過Deep Security的無代理虛擬補丁技術，能夠在ESX底層即可實現(xiàn)對所有虛擬機的補丁防護，并且通過非侵入式的部署方法，保障業(yè)務運行的不間斷性
第二，通過Deep Security的無代理殺毒技術，有效解決了ESX環(huán)境下定時全盤殺毒的資源風暴問題，這完全符合了第三方機構(Tolly)發(fā)布的測試結果。實際的測試結果是：采用趨勢的Deep Security進行殺毒時所占資源，盡是傳統(tǒng)方案的10%(隨著虛擬機數(shù)量的增加，效果更加明顯)。
虛擬機密度提高2倍綠色IT不再是夢
目前，深圳電網(wǎng)還處在虛擬化建設的嘗試階段，一旦突破技術和管理上的難關，虛擬服務器數(shù)量將會呈爆炸式增長趨勢，更多的業(yè)務、更多的應用將直接匯聚于數(shù)據(jù)中心中。因此，安全與性能的平衡，是當前深圳電網(wǎng)最為關注的要點。深圳電網(wǎng)在充分驗證了趨勢科技Deep Security的先進技術后，最終確定在現(xiàn)有虛擬化平臺上全面部署了Deep Security無代理防護解決方案。

深圳電網(wǎng)的黃工表示：“當解決了安全系統(tǒng)對虛擬化平臺帶來的性能問題后，我們可以更加放心地把更多的業(yè)務系統(tǒng)遷移到虛擬化平臺上。相對于原有的傳統(tǒng)防病毒方案，采用趨勢科技的Deep Security可以把虛擬化密度提高2倍以上，使我們能夠更好地整合硬件資源，不再擔心機房因為業(yè)務膨脹而無限擴張，極為符合國家對電網(wǎng)公司的綠色IT要求。”