利用虚拟化技术实现云平台建设并不是一件容易的事,这中间要克服很多障碍,网络病毒防护就是其必须闯过的关卡。北京市西城区现代教育信息技术中心(以下简称“信息中心”)在创新实践虚拟化it系统整合时,就遇到了“没有虚拟化专属防毒平台”的难题。但是,这支北京市教育信息化的“先锋部队”却没有因此停下脚步,他们利用亚信安全服务器深度安全防护系统(deep security)打败了病毒扫描风暴(av storms),将虚拟化“1 1>2”的效果延伸到每所学校。
率先开启“多租户”模式,云计算化解合并难题
事情还要从北京市“宣武西城合并”的大事件说起。2010年9月,北京原西城区和原宣武区合并为现在的西城区。在此背景下,原西城区和原宣武区的两个教委的信息系统也面临合并和同步更新的问题。此时,教育行业中的虚拟化、云计算等技术尚未成熟应用,数据中心“多租户”的模式更是少见,而西城区教育信息中心却前瞻性的提出了“虚拟硬件、定制软件、自选商城”的运营模式。
信息中心网络部负责人毛老师表示:“经过全方位的评估与测试,我们最终采用了vmware的一系列虚拟化与管理技术和产品,实现了原来两区教委信息系统的整合,节约了大量it成本,同时也大大减轻了运营和维护的工作量,真正做到了资源共享,整合效果令人满意。”
各学校的信息化主管也对云平台的建立大为称赞。某学校信息化主管校长表示:之前,由于受到各方面条件的限制,增加新应用时需要等待服务器的申报、审批、购买、安装等一系列复杂过程。由于每次所需时间都长达半年甚至一年,延长了部署新应用的时间,导致发展严重滞后,影响了资源的合理调配。而现在仅仅十几分钟就有了一台定制化的虚拟服务器,效率提高了数百倍。
但是,在虚拟化应用前景看好的大好形势下,信息中心网络部却遇到了非常棘手的虚拟化防毒难题。那么,这个问题具体指的是什么,又是如何破冰的呢?
采用“无代理”技术,虚拟化防毒迎刃而解
据毛老师介绍,根据各个学校的外网业务应用需求,信息中心已经开启了400多台虚拟主机提供服务,并且要求每个学校自行对服务器进行安全加固,并安装杀毒软件。但是每台虚机和镜像文件安装防毒软件之后,会集中启动和扫描病毒程序,这时的内存、cpu和存储几乎达到了承载极限。
通过对虚拟化技术资料的汇总分析,信息中心对虚拟化环境下的病毒扫描风暴(av storms)有了全面的了解。其产生的原因在于,由于传统防毒软件并不是专为虚拟化环境设计,当所有虚拟机的防毒软件开启实时防护时,会对虚拟化平台的cpu、内存和磁盘i/o带来巨大的压力,并影响业务的正常运行。倘若在虚拟化环境中继续沿用非专用的安全凯发k8官网下载的解决方案,只会让操作和管理更加复杂,但如果不对虚拟化环境进行防毒产品部署,依靠外围安全设备,便会出现“空挡滑行”的危险。
“我们研究了vmware平台下的防毒软件,而当时只有趋势科技中国,也就是现在亚信安全的服务器深度安全防护系统deep security可以符合要求。这套系统的具备了无代理杀毒技术,测试其性能占用时,我们发现它只是传统方案的10%,并且只需要在底层部署,学校管理员则完全不必要再安装防毒系统了,这有效解决了防毒风暴问题,更降低了校方的管理难度。” 毛老师认为只有专属的产品才能应对虚拟环境下的安全问题。
西城教育云平台安全可靠,10万师生因信息化受益
信息中心的虚拟化安全加固项目在2014年启动,而当时西城区共有229个教育单位,在校生13.3万,教职员工2.4万余人。西城区教育云平台的建成,不仅需要满足学校虚拟化服务器托管的要求,更肩负着数字化校园和教育大数据研究的业务方向。
在实施deep security后,在虚拟化建设时遇到的包括防毒风暴和虚拟网络内部攻击等诸多安全问题得到了解决,这让信息中心十分放心地把许多重要业务系统也迁移至虚拟化平台,同时将云平台的业务覆盖面推广到了全区各个学校,虚拟化的价值得到了进一步体现。
针对亚信安全提供的deep security与相关服务,毛老师表示:如今,各个学校用户已经完全接纳了服务器虚拟化,大多数用户不会再纠结于虚拟化是否可用、虚拟化是否安全这些问题,而是将关注点放在如何才能更快速、更合理地部署服务器虚拟化技术,并从中获益。这个平台的安全性之所以有保障、让用户放心,与我们两年以前的‘正确选择’密不可分。