亞信安全確保中國石油大學虛擬化環境等保 “無障礙”實施
責編:gill |2016-03-31 14:00:40在教育信息化角色不斷強化的今天,加強IT基礎資源配置、提升數據安全管理,已經成為了高校信息化發展的重要支撐。作為率先采用虛擬化與云計算“武裝”數據中心的高校之一,中國石油大學(文中簡稱:中石大)采用亞信安全服務器深度安全防護系統(Deep Security),不僅全面提升了虛擬化平臺的安全管理效率,更有力配合了信息安全等級保護工作的落地。
虛擬化“等保”迎來新挑戰
中石大(北京)是一所石油特色鮮明、以工為主、多學科協調發展的教育部直屬全國重點大學。近年來,學校緊抓數字化校園建設契機,利用移動應用、虛擬化、云計算與SDN技術,對校園內的教學、科研、管理和生活服務等信息資源進行整合、集成和全面的數字化,構成了統一的用戶管理和資源管理平臺。
隨著信息化的深入,尤其是虛擬化技術的大量應用,中石大網絡中心的老師們卻發現,傳統的網絡安全防護模式已經不能滿足發展需求,并由此催生了諸多棘手問題,如虛擬化平臺防毒效果不佳、數據安全受到威脅、運維壓力過大等。如何在各項業務遷移到虛擬化平臺的同時解決這些問題,確保主機安全管理達到等級保護的目標,是擺在中石大信息化管理者面前的新課題。
中石大網絡中心的吳老師指出:“虛擬化對數據中心的影響是巨大的,它在資源利用率提高和簡化系統管理方面比傳統架構出色很多。但是,由于傳統信息安全產品不是針對虛擬化環境設計的,會產生病毒掃描風暴等一系列問題。而在虛擬化場景下實現等級保護的要求,更是一個新的挑戰,必須制定可行方案,否則整個虛擬環境的安全將難以得到保證。”
為數據中心披上“保護甲”
在虛擬化數據中心,服務器主機物理邊界已經消失,而實施等保的技術難點在于對于虛擬網絡進行監控與網絡攻擊防御,以及虛擬機安全防御策略的統一管理。為此,中石大網絡中心與VMware的技術工程師進行了多次溝通,分析了VMware虛擬環境下VMsafe和vShield技術的特點。其中,VMware VMsafe作為一組特殊的應用程序通用接口組件(API),第三方廠商可以利用其構建針對虛擬環境的安全系統,解決虛擬網絡流量監控和虛機惡意代碼交叉感染的問題。
據了解,從產品研發階段開始,亞信安全服務器深度安全防護系統(Deep Security)就最緊密整合了“VMsafe”API和“VMware vShield Endpoint”API。而在功能集成方面,Deep Security更為用戶提供了平臺化的操作環境,這包括統一管理所需的內容安全功能,配置防火墻、防惡意軟件、IDS/IPS、Web 應用程序防護、虛擬補丁、完整性監控,以及日志審計和綜合報表等模塊。
“在考察了多款產品之后,我們發現亞信安全服務器深度安全防護系統(Deep Security)能夠解決上述問題。其與VMware實現了完美融合,我們不需要為每一個虛擬機安裝代理程序,就能提供網絡防護以及病毒防護技術,從而降低內存與CPU的負載。最重要的一點是解決了虛擬環境中可管、可控的難題,可以將等保的要求推送到虛擬服務器上。” 吳老師介紹了選擇亞信安全產品的原因,而數據中心也最終穿上了這層“保護甲”。
探索“等保”新領域
2015年10月,亞信安全服務器深度安全防護系統(Deep Security)正式入駐中石大數據中心,負責100多臺虛擬服務器,以及部分物理服務器的安全防護。在使用過程中,用戶不需要對每個操作系統安裝防毒軟件、配置防火墻策略、主機安全加固策略,安全管理效率得到了大幅提升。
需要重點強調的是,針對等保工作的具體要求,亞信安全服務器深度安全防護系統(Deep Security)可以實現虛擬機保護區域邊界的動態管理,讓安全策略從始至終跟蹤虛擬機的移動。另外,通過基于云的事件白名單和可信事件管理,顯著降低了數據完整性監控的復雜程度,在近乎不影響性能的情況下實時檢測并刪除虛擬服務器中的惡意軟件。
亞信安全服務器深度安全防護系統(Deep Security)正在成為中國石油大學數據中心安全運維的核心系統。針對應用效果,吳老師表示:“傳統的等級保護標準主要面向靜態的、具有固定邊界的系統環境。面向虛擬化環境下的等級保護工作需要進一步深入研究,國家等級保護規范也會在云普及的大環境下進行動態調整。而在與亞信安全的合作中,我們積極探索這種新技術的可行性,使得虛擬機設計密度達到了預期標準,提升了我校數據中心的安全性,為信息化應用創新發展提供了更加可信的運行環境。”