论文部分内容阅读
虚拟化可以减少IT基础设施并增强业务灵活性,企业希望通过虚拟化来降低IT固定资产和运营成本,提高工作效率。但随之而来的还有安全风险的增加。因此,企业的安全架构必须随之不断优化和完善。
IT创新要谋划先行
淄博矿业集团有限公司(简称淄矿集团)是一家具有上百年开采历史、多业并举的跨地区、跨行业、跨所有制的大型现代企业集团。以往,淄矿集团在网关、网络接入、内网安全监控与终端防护上部署了完善的解决方案,包括趋势科技OfficeScan防毒墙网络版、网络防毒墙NVWE、防毒墙控管中心TMCM、网络威胁发现设备TDA,以及Web安全网关IWSA等多种安全产品,为网络的平稳运行提供了有效的保障。
随着虚拟化技术逐步重塑企业IT,淄矿集团也被卷入其中。当前,淄矿集团各个业务系统的数据中心正全面升级,按统一的数字化标准和规范建设的全集团综合信息集成平台也迎来数据大集中的攻坚阶段。由于单一物理服务器部署管理难度大、运维成本高,经过长达半年的测试和考察后,淄矿集团引入了VMware服务器虚拟化架构解决方案,并按照ITIL(信息技术基础架构库)中的SLA(服务水平协议)划分边缘与核心系统,准备将集团的30多项业务系统逐级、逐批迁移到虚拟化平台当中。
部署虚拟化解决方案能降低固定资产和运营成本,提高业务连续性和灵活性,同时也带来了更多安全风险。除了物理环境下的安全威胁外,企业还面临虚拟机内部攻击、管理的复杂性、资源争夺等各种新风险。例如:传统的网络安全设备无法查看位于同一物理服务器内部各个虚拟机之间的网络通信,因此无法检测或抑制源于同一主机上的虚拟机的攻击;传统防病毒解决方案在多台虚拟机同时进行病毒扫描或者更新防病毒软件时,可能造成防病毒风暴。
“IT创新要谋划在先。”淄矿集团信息中心杨主任介绍称:“淄矿集团并非第一个实施虚拟化项目的大型集团公司,因此可资借鉴的经验和教训都很多。作为趋势科技长期的合作伙伴,我们在虚拟化项目刚刚立项时,正好赶上趋势科技举办的2012年CIO峰会,淄矿集团信息中心的同事与各行业的CIO进行了广泛接触。一些企业将传统防毒软件部署在虚拟化平台后遇到病毒扫描风暴、虚拟机之间通信无法监控、补丁管理任务繁重等很多问题,为我们敲响了警钟。因此,我们参考VMware的建议,并接受了CSA云安全联盟高层及趋势科技总部专家的推荐,最终选择了已经合作7年的趋势科技,以趋势科技服务器深度安全防护系统(Deep Security)安全产品来应对虚拟化环境下的新威胁。”
消除IT运维“死角”
虚拟化使得企业IT架构发生改变,安全管理策略与工具也需要紧跟这一变化。由于提前一步发现了虚拟化防毒可能带来的资源消耗问题,淄矿集团在先期转移到虚拟化平台上的业务系统和测试平台中安装了Deep Security,利用它独特的无代理防毒技术降低资源占用,成功避免了防毒软件抢占CPU、内存和网络的情况。经过信息中心IT运维工程师对客户端应用状况的长期跟踪,自安装Deep Security之后,这些应用在VMware虚拟化平台上的业务系统从未出现过“延迟”现象。
在物理环境下,数据库、应用程序和Web应用都有所属的网络区段,可用防火墙、IPS/IDS、防毒软件等产品分别为它们提供保护。但在虚拟化环境下,基于边界防护的产品则难以起效。比如,我们可用防火墙保护网络边界的安全,但现在不是所有的流量都来源于自互联网,当某个虚拟服务器与其他虚拟机之间进行通信时,传统的边界防护手段就难以发现这些流量是否带有恶意的攻击特征。因此,淄矿集团信息中心十分重视IT运维管理工作,工程师担心因为虚拟化而产生IT运维管理的“死角”。
“我们并不把Deep Security看成是一款软件,而是把它真正当成了虚拟化数据中心安全运维管理的平台。”杨主任介绍说:“Deep Security在虚拟化层面实现了双向状态防火墙,可以检查所有传入和传出虚机的通信,能够使用细粒化过滤,针对虚拟交换机的底层对所有基于IP的应用进行检测。同时,我们通过产品内部定制的服务器模板,在虚拟化之后仍然可以集中管理所有虚拟服务器的防火墙策略。这种在虚拟化平台上的完整性监控,打消了我们之前针对IT运维‘死角’的顾虑。”
安全从来就没有终点,因此要不停地发展并为新应用匹配最佳的防护手段。为应对数据中心升级、虚拟化运维管理带来的挑战,淄矿集团依然使用趋势科技Deep Security,为消除安全隐患、大幅降低TCO起到了支撑作用。如今,通过VMware和趋势科技Deep Security的最佳实践,淄矿集团数据中心提高了服务器整合的效率,控制和减少物理服务器的数量,明显提高了每个物理服务器及其CPU的资源利用率,从而降低了硬件、人力和能耗等多项成本。
IT创新要谋划先行
淄博矿业集团有限公司(简称淄矿集团)是一家具有上百年开采历史、多业并举的跨地区、跨行业、跨所有制的大型现代企业集团。以往,淄矿集团在网关、网络接入、内网安全监控与终端防护上部署了完善的解决方案,包括趋势科技OfficeScan防毒墙网络版、网络防毒墙NVWE、防毒墙控管中心TMCM、网络威胁发现设备TDA,以及Web安全网关IWSA等多种安全产品,为网络的平稳运行提供了有效的保障。
随着虚拟化技术逐步重塑企业IT,淄矿集团也被卷入其中。当前,淄矿集团各个业务系统的数据中心正全面升级,按统一的数字化标准和规范建设的全集团综合信息集成平台也迎来数据大集中的攻坚阶段。由于单一物理服务器部署管理难度大、运维成本高,经过长达半年的测试和考察后,淄矿集团引入了VMware服务器虚拟化架构解决方案,并按照ITIL(信息技术基础架构库)中的SLA(服务水平协议)划分边缘与核心系统,准备将集团的30多项业务系统逐级、逐批迁移到虚拟化平台当中。
部署虚拟化解决方案能降低固定资产和运营成本,提高业务连续性和灵活性,同时也带来了更多安全风险。除了物理环境下的安全威胁外,企业还面临虚拟机内部攻击、管理的复杂性、资源争夺等各种新风险。例如:传统的网络安全设备无法查看位于同一物理服务器内部各个虚拟机之间的网络通信,因此无法检测或抑制源于同一主机上的虚拟机的攻击;传统防病毒解决方案在多台虚拟机同时进行病毒扫描或者更新防病毒软件时,可能造成防病毒风暴。
“IT创新要谋划在先。”淄矿集团信息中心杨主任介绍称:“淄矿集团并非第一个实施虚拟化项目的大型集团公司,因此可资借鉴的经验和教训都很多。作为趋势科技长期的合作伙伴,我们在虚拟化项目刚刚立项时,正好赶上趋势科技举办的2012年CIO峰会,淄矿集团信息中心的同事与各行业的CIO进行了广泛接触。一些企业将传统防毒软件部署在虚拟化平台后遇到病毒扫描风暴、虚拟机之间通信无法监控、补丁管理任务繁重等很多问题,为我们敲响了警钟。因此,我们参考VMware的建议,并接受了CSA云安全联盟高层及趋势科技总部专家的推荐,最终选择了已经合作7年的趋势科技,以趋势科技服务器深度安全防护系统(Deep Security)安全产品来应对虚拟化环境下的新威胁。”
消除IT运维“死角”
虚拟化使得企业IT架构发生改变,安全管理策略与工具也需要紧跟这一变化。由于提前一步发现了虚拟化防毒可能带来的资源消耗问题,淄矿集团在先期转移到虚拟化平台上的业务系统和测试平台中安装了Deep Security,利用它独特的无代理防毒技术降低资源占用,成功避免了防毒软件抢占CPU、内存和网络的情况。经过信息中心IT运维工程师对客户端应用状况的长期跟踪,自安装Deep Security之后,这些应用在VMware虚拟化平台上的业务系统从未出现过“延迟”现象。
在物理环境下,数据库、应用程序和Web应用都有所属的网络区段,可用防火墙、IPS/IDS、防毒软件等产品分别为它们提供保护。但在虚拟化环境下,基于边界防护的产品则难以起效。比如,我们可用防火墙保护网络边界的安全,但现在不是所有的流量都来源于自互联网,当某个虚拟服务器与其他虚拟机之间进行通信时,传统的边界防护手段就难以发现这些流量是否带有恶意的攻击特征。因此,淄矿集团信息中心十分重视IT运维管理工作,工程师担心因为虚拟化而产生IT运维管理的“死角”。
“我们并不把Deep Security看成是一款软件,而是把它真正当成了虚拟化数据中心安全运维管理的平台。”杨主任介绍说:“Deep Security在虚拟化层面实现了双向状态防火墙,可以检查所有传入和传出虚机的通信,能够使用细粒化过滤,针对虚拟交换机的底层对所有基于IP的应用进行检测。同时,我们通过产品内部定制的服务器模板,在虚拟化之后仍然可以集中管理所有虚拟服务器的防火墙策略。这种在虚拟化平台上的完整性监控,打消了我们之前针对IT运维‘死角’的顾虑。”
安全从来就没有终点,因此要不停地发展并为新应用匹配最佳的防护手段。为应对数据中心升级、虚拟化运维管理带来的挑战,淄矿集团依然使用趋势科技Deep Security,为消除安全隐患、大幅降低TCO起到了支撑作用。如今,通过VMware和趋势科技Deep Security的最佳实践,淄矿集团数据中心提高了服务器整合的效率,控制和减少物理服务器的数量,明显提高了每个物理服务器及其CPU的资源利用率,从而降低了硬件、人力和能耗等多项成本。