客戶需求
虛擬資源池建設完成后���,原有防毒軟件無法適用虛擬化環(huán)境���,造成了服務器性能下降、安全策略不統(tǒng)一���、網(wǎng)絡病毒入侵的情況���。
解決方案
利用亞信安全服務器深度安全防護系統(tǒng)Deep Security“無代理”底層防護機制��,消除AV掃描風暴��、自下而上對虛擬化主機�����、虛擬網(wǎng)絡提供全方位防護�����。
效果/客戶證言
通過部署這套針對虛擬化環(huán)境設計的安全防護方案�����,第一時間將網(wǎng)內存在的惡意威脅進行查殺和處理����,使得網(wǎng)絡環(huán)境恢復正常��。同時�,Deep security產(chǎn)品的無代理防護方式為三大資源池建起完整的安全防御系統(tǒng)��,體現(xiàn)了安全與效率的統(tǒng)一�?�!煌ㄟ\輸部規(guī)劃院IT負責人
近年來�,國家“大通道”建設充分體現(xiàn)了交通運輸在國民經(jīng)濟中基礎、先導和戰(zhàn)略性的產(chǎn)業(yè)特征�。作為國家級交通運輸規(guī)劃研究機構,交通運輸部規(guī)劃研究院(以下簡稱“部規(guī)劃院”) 為了更好地支撐交通運輸規(guī)劃的信息化工作��,采用亞信安全服務器深度安全防護系統(tǒng)Deep Security確保虛擬化平臺和信息數(shù)據(jù)安全����,充分發(fā)揮IT技術的創(chuàng)新力量���,全面推動我國智慧交通��、綜合交通的建設步伐。
特殊的虛擬資源池異常現(xiàn)象
交通運輸部規(guī)劃研究院是中國國家級交通運輸規(guī)劃研究機構����,主要從事綜合運輸體系和交通運輸行業(yè)的發(fā)展戰(zhàn)略、規(guī)劃和政策研究工作���,在重大交通運輸建設項目�、國家運輸樞紐總體規(guī)劃可行性審查(核)工作中承當可行性方案制定和核心數(shù)據(jù)決策分析等工作。為了推動交通運輸規(guī)劃研究的信息化能力�����,部規(guī)劃院圍繞“三大應用系統(tǒng)”和基礎環(huán)境平臺���、數(shù)據(jù)資源平臺等“四大平臺”�。
在基礎平臺建設方面���,部規(guī)劃院以云計算��、虛擬化為主要技術思路�����,建設完成了院內應用��、代部建設����、物理隔離內網(wǎng)三大虛擬化資源池,并要求所有信息化相關項目���,統(tǒng)一納入資源池����,按需使用���。但是�,隨著資源池應用的逐步上線��,網(wǎng)絡威脅風險也尾隨而至�。
在虛擬化管理過程中,部規(guī)劃院發(fā)現(xiàn)了非常特殊的現(xiàn)象�����。例如����,內網(wǎng)有時會發(fā)現(xiàn)流量異常情況���,造成防火墻性能下降����,互聯(lián)網(wǎng)出口流量擁塞現(xiàn)象;資源池訪問速度有時也會突然減慢����,造成客戶端Web應用的明顯卡頓。
病毒感染的根源所在
通過對服務器���、網(wǎng)絡設備���、防火墻日志的全面分析,并結合專業(yè)安全廠商的意見����,部規(guī)劃院網(wǎng)絡技術部門最終找出了問題的根源。
原因一:在前期項目中���,原有物理資源被統(tǒng)一遷移到虛擬化平臺��,為了確保應用和數(shù)據(jù)安全�����,原有防毒軟件被一同重新部署過來����。但由于無法與虛擬化底層兼容,會在病毒掃描策略執(zhí)行時出現(xiàn)嚴重的性能問題��,即業(yè)內所說的“防病毒風暴”現(xiàn)象���,造成CPU���、磁盤I/O的超大壓力,影響業(yè)務正常運行���,甚至導致虛擬化環(huán)境崩潰��。
原因二:由于傳統(tǒng)防毒軟件“不好用”���,在后續(xù)遷移的業(yè)務應用、測試系統(tǒng)中�,并不能保障每臺主機都安裝防毒軟件�、不能保證每套防毒系統(tǒng)都能隨時更新,這就造成了少數(shù)主機感染病毒的情況����。這也是防火墻性能下降、網(wǎng)絡異常流量的根源點。
此外���,虛擬化技術使用還帶來了一些全新的威脅挑戰(zhàn)�,譬如虛擬化防護間隙�����、虛擬網(wǎng)絡的入侵檢測�,以及安全策略動態(tài)遷移等等。因此���,依然沿用傳統(tǒng)的防護手段�����,必將無力支持資源池的正常應用���。
“無代理”防毒的大轉折
為了保障虛擬化資源池的業(yè)務連續(xù)性,避免病毒以及網(wǎng)絡攻擊對數(shù)據(jù)��、應用和網(wǎng)絡帶來威脅����,部規(guī)劃院從多套備選方案中最終確定部署基于“無代理”技術的亞信安全服務器深度安全防護系統(tǒng)Deep Security����,解決虛擬技術使用后的安全防護空白�,同時從惡意軟件、網(wǎng)絡入侵攻擊��、主機訪問控制等方面實現(xiàn)資源池整體的安全�。
亞信安全服務器深度安全防護系統(tǒng)Deep Security集成了最新的VMware vShield Endpoint API,無需在虛擬機上安裝任何代理程序����,無需占用任何客戶虛擬機資源,進而實現(xiàn)了保護一臺ESX主機�����,上層所有VMware虛擬機自動實現(xiàn)安全配置的效果����,用更低的資源消耗和更快的掃描速度避免了防毒掃描風暴的產(chǎn)生。
在進行網(wǎng)絡攻擊防護時��,系統(tǒng)首先通過主機防火墻將非必要的端口阻斷�����,降低系統(tǒng)遭受攻擊的范圍���,然后通過在虛機網(wǎng)卡處使用入侵防御規(guī)則����,偵測�、分析、攔截惡意網(wǎng)絡流量在虛擬網(wǎng)絡中的流竄�����。
除此以外��,部規(guī)劃院所采用的“無代理”技術還解決了虛擬化日常應用中的多項安全技術難題���,比如:虛擬機無論是開啟還是關閉�����,都能一直受到來自安全虛擬機的防護��,從根本上解決了隨時啟動的防護間隙問題�����;當應用層及操作系統(tǒng)廠商發(fā)現(xiàn)新的漏洞時����,亞信安全的資深專家會及時的獲取到漏洞信息,全面漏洞的利用方式�,利用“虛擬補丁”有效抵御零日漏洞的攻擊。
創(chuàng)新安全技術服務智慧交通
隨著我國智慧交通建設的全面提速�,大數(shù)據(jù)已經(jīng)成為交通數(shù)據(jù)平臺的重要載體。而“超級大”的交通數(shù)據(jù)包含了政府�����、個人的敏感信息��,一旦遭到非法使用���,將引起重大后果����。因此�,確保大數(shù)據(jù)基礎層面的安全可靠,對于我國智慧交通的發(fā)展刻不容緩���。
對此�,部規(guī)劃院相關領導表示:“通過部署這套針對虛擬化環(huán)境設計的安全防護方案,第一時間將網(wǎng)內存在的惡意威脅進行的查殺和處理����,使得網(wǎng)絡環(huán)境恢復了正常�����。同時����,Deep security產(chǎn)品無代理防護方式為三大資源池建起完整的安全防御系統(tǒng),體現(xiàn)了安全與效率的統(tǒng)一��?!?/p>
電話:020-87554885 
郵箱:zzj@lanhuait.com
傳真:020-87539535
地址:廣州市天河區(qū)石牌西路8號1610房
當前位置:
020-87554885 
廣州市天河區(qū)石牌西路8號1610房
