廣東電網(wǎng)虛擬防毒

虛擬化、云計(jì)算，這些原本只是代表行業(yè)趨勢(shì)的時(shí)髦詞匯如今已經(jīng)生根落地，并在不同行業(yè)企業(yè)中發(fā)揮著自己的作用。不過(guò)，由于這些新的趨勢(shì)改變了IT基礎(chǔ)架構(gòu)和服務(wù)模式，因此會(huì)給企業(yè)帶來(lái)一些新的難題。

廣東電網(wǎng)在嘗試進(jìn)行私有云建設(shè)的過(guò)程中就遇到了一個(gè)以前從未遇見(jiàn)過(guò)的問(wèn)題：在虛擬化平臺(tái)上怎么防護(hù)病毒？聽(tīng)起來(lái)，這并不難解決，只要把在物理機(jī)上的解決方案直接照搬過(guò)來(lái)用就可以了，但是實(shí)際上并不是這樣。

這種簡(jiǎn)單套用的效果并不好。一方面，在虛擬環(huán)境中，網(wǎng)絡(luò)設(shè)備和服務(wù)器之間不再?zèng)芪挤置鳎瑐鹘y(tǒng)網(wǎng)絡(luò)安全設(shè)備（如IDS、IPS、防火墻等）無(wú)法監(jiān)測(cè)到虛擬機(jī)之間發(fā)送的通信流，會(huì)在VMware ESXi主機(jī)內(nèi)部產(chǎn)生風(fēng)險(xiǎn)“盲點(diǎn)”；另一方面，虛擬化環(huán)境會(huì)利用快照技術(shù)以提高數(shù)據(jù)恢復(fù)速度，而這些快照文件很有可能是很早以前創(chuàng)建的，安全策略已經(jīng)過(guò)期，一旦基于這些快照創(chuàng)建虛擬機(jī)，必然會(huì)導(dǎo)致整個(gè)虛擬化環(huán)境出現(xiàn)薄弱環(huán)節(jié)。

除此之外，由于虛擬化遷移技術(shù)能夠隨意把不同ESX平臺(tái)上的虛擬機(jī)遷移到其他平臺(tái)上，因此會(huì)帶來(lái)很多安全風(fēng)險(xiǎn)。主機(jī)很有可能因?yàn)檫@種隨意遷移而被黑客控制。

除了這幾點(diǎn)外，廣東電網(wǎng)IT相關(guān)負(fù)責(zé)人表示，沿用物理機(jī)的保護(hù)方式還會(huì)大量占用系統(tǒng)資源：“我們?cè)?jīng)在所有虛擬系統(tǒng)上安裝了傳統(tǒng)的防毒軟件，但由于它們并不是專(zhuān)為虛擬化環(huán)境設(shè)計(jì)的，所以在運(yùn)行全盤(pán)掃描時(shí)，會(huì)對(duì)虛擬化平臺(tái)的CPU、磁盤(pán)、內(nèi)存帶來(lái)巨大的壓力，并影響業(yè)務(wù)的正常運(yùn)行，甚至導(dǎo)致虛擬化環(huán)境崩潰。”

在這一背景下，廣東電網(wǎng)開(kāi)始選擇專(zhuān)門(mén)針對(duì)虛擬化環(huán)境的解決方案，并最終選中了趨勢(shì)科技Deep Security虛擬化病毒防護(hù)產(chǎn)品。其不僅可以一次性部署在虛擬化平臺(tái)的操作系統(tǒng)層級(jí)，能夠監(jiān)控所有往來(lái)流量，而且也節(jié)約了系統(tǒng)資源。同時(shí)，Deep Security也可以為所有虛擬機(jī)進(jìn)行打補(bǔ)丁、統(tǒng)一管理等一體化操作。由于Deep Security不需要在每臺(tái)虛擬機(jī)上都部署客戶(hù)端，因此其操作又被稱(chēng)之為“無(wú)代理”方式。其利用了VMware vShield Endpoint應(yīng)用程序接口，能夠與VMWare ESX平臺(tái)保持良好的兼容性。