保障云計算平臺高效運轉 北京西城區教育建筑安全砥柱
責編:mhshi |2017-03-20 11:22:04——西城區教育信息中心部署亞信安全Deep Security強化虛擬化防毒平臺
利用虛擬化技術實現云平臺建設并不是一件容易的事,這中間要克服很多障礙,網絡病毒防護就是其必須闖過的關卡。北京市西城區現代教育信息技術中心(以下簡稱“信息中心”)在創新實踐虛擬化IT系統整合時,就遇到了“沒有虛擬化專屬防毒平臺”的難題。但是,這支北京市教育信息化的“先鋒部隊”卻沒有因此停下腳步,他們利用亞信安全服務器深度安全防護系統(Deep Security)打敗了病毒掃描風暴(AV Storms),將虛擬化“1+1>2”的效果延伸到每所學校。
率先開啟“多租戶”模式,云計算化解合并難題
事情還要從北京市“宣武西城合并”的大事件說起。2010年9月,北京原西城區和原宣武區合并為現在的西城區。在此背景下,原西城區和原宣武區的兩個教委的信息系統也面臨合并和同步更新的問題。此時,教育行業中的虛擬化、云計算等技術尚未成熟應用,數據中心“多租戶”的模式更是少見,而西城區教育信息中心卻前瞻性的提出了“虛擬硬件、定制軟件、自選商城”的運營模式。
信息中心網絡部負責人毛老師表示:“經過全方位的評估與測試,我們最終采用了VMware的一系列虛擬化與管理技術和產品,實現了原來兩區教委信息系統的整合,節約了大量IT成本,同時也大大減輕了運營和維護的工作量,真正做到了資源共享,整合效果令人滿意。”
各學校的信息化主管也對云平臺的建立大為稱贊。某學校信息化主管校長表示:之前,由于受到各方面條件的限制,增加新應用時需要等待服務器的申報、審批、購買、安裝等一系列復雜過程。由于每次所需時間都長達半年甚至一年,延長了部署新應用的時間,導致發展嚴重滯后,影響了資源的合理調配。而現在僅僅十幾分鐘就有了一臺定制化的虛擬服務器,效率提高了數百倍。
但是,在虛擬化應用前景看好的大好形勢下,信息中心網絡部卻遇到了非常棘手的虛擬化防毒難題。那么,這個問題具體指的是什么,又是如何破冰的呢?
采用“無代理”技術,虛擬化防毒迎刃而解
據毛老師介紹,根據各個學校的外網業務應用需求,信息中心已經開啟了400多臺虛擬主機提供服務,并且要求每個學校自行對服務器進行安全加固,并安裝殺毒軟件。但是每臺虛機和鏡像文件安裝防毒軟件之后,會集中啟動和掃描病毒程序,這時的內存、CPU和存儲幾乎達到了承載極限。
通過對虛擬化技術資料的匯總分析,信息中心對虛擬化環境下的病毒掃描風暴(AV Storms)有了全面的了解。其產生的原因在于,由于傳統防毒軟件并不是專為虛擬化環境設計,當所有虛擬機的防毒軟件開啟實時防護時,會對虛擬化平臺的CPU、內存和磁盤I/O帶來巨大的壓力,并影響業務的正常運行。倘若在虛擬化環境中繼續沿用非專用的安全解決方案,只會讓操作和管理更加復雜,但如果不對虛擬化環境進行防毒產品部署,依靠外圍安全設備,便會出現“空擋滑行”的危險。
“我們研究了Vmware平臺下的防毒軟件,而當時只有趨勢科技中國,也就是現在亞信安全的服務器深度安全防護系統Deep Security可以符合要求。這套系統的具備了無代理殺毒技術,測試其性能占用時,我們發現它只是傳統方案的10%,并且只需要在底層部署,學校管理員則完全不必要再安裝防毒系統了,這有效解決了防毒風暴問題,更降低了校方的管理難度。” 毛老師認為只有專屬的產品才能應對虛擬環境下的安全問題。
西城教育云平臺安全可靠,10萬師生因信息化受益
信息中心的虛擬化安全加固項目在2014年啟動,而當時西城區共有229個教育單位,在校生13.3萬,教職員工2.4萬余人。西城區教育云平臺的建成,不僅需要滿足學校虛擬化服務器托管的要求,更肩負著數字化校園和教育大數據研究的業務方向。
在實施Deep Security后,在虛擬化建設時遇到的包括防毒風暴和虛擬網絡內部攻擊等諸多安全問題得到了解決,這讓信息中心十分放心地把許多重要業務系統也遷移至虛擬化平臺,同時將云平臺的業務覆蓋面推廣到了全區各個學校,虛擬化的價值得到了進一步體現。
針對亞信安全提供的Deep Security與相關服務,毛老師表示:如今,各個學校用戶已經完全接納了服務器虛擬化,大多數用戶不會再糾結于虛擬化是否可用、虛擬化是否安全這些問題,而是將關注點放在如何才能更快速、更合理地部署服務器虛擬化技術,并從中獲益。這個平臺的安全性之所以有保障、讓用戶放心,與我們兩年以前的‘正確選擇’密不可分。