亞信安全守護華南農業大學云數據中心 建智慧校園縱深防御體系
責編:gill |2017-09-14 16:14:36客戶需求:構建面向全校教育信息化支撐的云數據中心的過程中,迎接服務器虛擬化安全挑戰。
解決方案:以亞信安全服務器深度安全防護系統(Deep Security)為核心,構建多層次云安全縱深防御解決方案,實現物理和虛擬主機的全面防護,并滿足現階段和未來“等級保護制度2.0”中的信息系統合規性審計要求。
效果/客戶證言:亞信安全無代理安全防護技術實現了底層虛擬機內部流量的安全防護,提供了包括防病毒、防火墻等在內全面的安全功能,幫助華南農業大學解決了虛擬化安全挑戰的同時,還提高了虛擬化資源利用率,并實現了平臺統一管理。——華南農業大學相關負責人
相對于傳統數據中心,云計算數據中心在架構、運營和管理等方面優勢明顯,為高校信息化創新打開了更多窗口。然而,云計算數據中心的安全管理卻未能實現“并軌而行”,底層虛擬主機的安全性缺少與之對應的技術保障。為此,華南農業大學采用亞信安全服務器深度安全防護系統(Deep Security)等產品和方案,快速構建起云時代的網絡安全體系,有效解決了虛擬化等安全技術難題,滿足了國家現階段和未來等級保護制度政策法規要求,為云計算的規模化鋪平了道路。
云化遷移面臨安全挑戰,虛擬化障礙不得不除
近年來,全國各地各大高校密集擴建云計算數據中心的趨勢明顯,許多高校已把云計算數據中心列在“十三五”教育信息化的規劃中,并將和物聯網、大數據等技術一起促進高校教育信息化創新。為此,華南農業大學現代教育技術中心按照國家政策和信息化發展的要求,著手構建面向全校教育信息化支撐的云計算數據中心。在云計算實施過程中,學校率先引入了服務器虛擬化技術,把部分業務系統遷移至服務器虛擬化平臺上,但隨之而來的安全問題卻令數據中心管理人員忐忑不安。
- 首先,服務器虛擬化平臺上的業務系統脫離了原來的DMZ安全區域,虛擬機、虛擬交換機等虛擬設備的大量涌現,增大了數據中心東西向通信量,而這部分的通信不會流經之前防火墻等負責南北通信的邊界安全設備,產生了監測盲點。
- 其次,虛擬機安全防護沿用傳統硬件服務器方式,即在每臺虛擬主機安裝安全軟件,這樣不但會造成資源的過度浪費,減少了虛擬機部署的數量,在虛擬機數量多的情況,還會形成殺毒風暴(AV Storm),導致系統崩潰。
- 最后,等級保護制度即將進入0時代,“云計算信息安全等級保護基本要求”、“云計算信息安全等級保護安全設計技術要求”等“云等保標準”即將正式頒布,學校云數據中心安全加固項目需滿足未來云安全的擴展標準。
在全面了解服務器虛擬化安全風險之后,學校信息中心提出要完善學校信息安全防護體系的基礎架構,同時具備對最新安全威脅的抵抗力,降低安全威脅出現到可以真正進行防范的時間差,提高服務器的安全性和抗攻擊能力,構建服務器虛擬化平臺的基礎架構多層次的綜合防護。
云端安全盲點一一掃清,虛擬機密度恢復正常
亞信安全針對華南農業大學云數據中心的安全隱患,以亞信安全服務器深度安全防護系統(Deep Security)為核心提供了完全的解決方案,通過病毒防護、訪問控制、入侵檢測/防護、虛擬補丁、完整性監控等功能實現物理和虛擬主機的全面防護,并滿足“云等保標準”中的合規性審計要求。
在整個方案架構設計過程中,亞信安全服務器深度安全防護系統(Deep Security)利用API來訪問每臺虛擬機的特權狀態信息,包括其內存、狀態和網絡通信流量等。在華南農業大學云數據中心的ESXi主機環境中,利用VMware VShield Endpoint 程序部署專用安全虛擬機以及經特別授權訪問管理程序的API,對ESXi底層虛擬機內部流量進行安全防護,實現了包括防病毒、防火墻、IDS/IPS 和系統完整性監控等在內的安全功能,并通過統一管理平臺進行管理。
此外,亞信安全的解決方案幫助華南農業大學云數據中心避免傳統防毒軟件產生的防毒風暴,從而大幅提升虛擬機密度。作為虛擬化專屬的安全防護系統,Deep Security 還為華南農業大學虛擬化環境量身打造了Web 應用層檢測、IDS、IPS 等深度檢測包技術和虛擬補丁功能,可以有效發現和攔截隱藏在虛擬網絡中的惡意代碼。
針對云等保試行標準中的相關要求,Deep Security提供了全程監控和安全控制的創新特性,可實現虛擬機之間的訪問隔離、授權和審計功能,并能實現虛機訪問控制策略的智能遷移。此外,亞信安全獨有的虛擬補丁功能可保護對外接口免遭漏洞攻擊,實現智能阻斷攔截,有效防止了虛擬機之間可能存在交叉感染的情況。
云數據中心動力強大,智慧校園安全無憂
華南農業大學的云計算數據中心建設起步較早,在2011年就為我國農業物聯網的發展提供了一個有力平臺。截至到2016年末,華南農業大學現代教育技術中心已經整合了數據中心IT基礎架構的計算、網絡、存儲、虛擬化和云操作系統,運維安全等軟硬件平臺,實現虛擬數據中心、關鍵業務、大數據、高性能計算、云災備、云安全、云運維等,在學校現有云計算能力上增加480核CPU,6.4TB內存,364TB的存儲資源,為智慧校園建設提供更充足的軟硬件支撐。
作為智慧校園的“心臟”防護憑證,亞信安全的整體解決方案采用創新的“無代理”安全防護技術,在云計算數據中心實現了應用層、網絡層、主機層的多層次縱深防御體系,使得全校教育信息系統能夠得到統一的安全監管和維護。同時,方案還滿足國家信息安全等級保護制度要求,為云計算平臺減少了安全隱患,信息安全保障能力得到大幅提升。