亞信安全守護華南農業大學雲資料中心建智慧校園縱深防禦體系

行者武松發表於2017-11-16
原文網址 : https://flycode.co/archives/124393
  • 客戶需求:構建面向全校教育資訊化支撐的雲資料中心的過程中,迎接伺服器虛擬化安全挑戰。
  • 解決方案:以亞信安全伺服器深度安全防護系統(Deep Security)為核心,構建多層次雲安全縱深防禦解決方案,實現物理和虛擬主機的全面防護,並滿足現階段和未來“等級保護制度2.0”中的資訊系統合規性審計要求。
  • 效果/客戶證言:亞信安全無代理安全防護技術實現了底層虛擬機器內部流量的安全防護,提供了包括防病毒、防火牆等在內全面的安全功能,幫助華南農業大學解決了虛擬化安全挑戰的同時,還提高了虛擬化資源利用率,並實現了平臺統一管理。——華南農業大學相關負責人

相對於傳統資料中心,雲端計算資料中心在架構、運營和管理等方面優勢明顯,為高校資訊化創新開啟了更多視窗。然而,雲端計算資料中心的安全管理卻未能實現“並軌而行”,底層虛擬主機的安全性缺少與之對應的技術保障。為此,華南農業大學採用亞信安全伺服器深度安全防護系統(Deep

Security)等產品和方案,快速構建起雲時代的網路安全體系,有效解決了虛擬化等安全技術難題,滿足了國家現階段和未來等級保護制度政策法規要求,為雲端計算的規模化鋪平了道路。

雲化遷移面臨安全挑戰,虛擬化障礙不得不除

近年來,全國各地各大高校密集擴建雲端計算資料中心的趨勢明顯,許多高校已把雲端計算資料中心列在“十三五”教育資訊化的規劃中,並將和物聯網、大資料等技術一起促進高校教育資訊化創新。為此,華南農業大學現代教育技術中心按照國家政策和資訊化發展的要求,著手構建面向全校教育資訊化支撐的雲端計算資料中心。在雲端計算實施過程中,學校率先引入了伺服器虛擬化技術,把部分業務系統遷移至伺服器虛擬化平臺上,但隨之而來的安全問題卻令資料中心管理人員忐忑不安。

  • 首先,伺服器虛擬化平臺上的業務系統脫離了原來的DMZ安全區域,虛擬機器、虛擬交換機等虛擬裝置的大量湧現,增大了資料中心東西向通訊量,而這部分的通訊不會流經之前防火牆等負責南北通訊的邊界安全裝置,產生了監測盲點。
  • 其次,虛擬機器安全防護沿用傳統硬體伺服器方式,即在每臺虛擬主機安裝安全軟體,這樣不但會造成資源的過度浪費,減少了虛擬機器部署的數量,在虛擬機器數量多的情況,還會形成防毒風暴(AV Storm),導致系統崩潰。
  • 最後,等級保護制度即將進入2.0時代,“雲端計算資訊保安等級保護基本要求”、“雲端計算資訊保安等級保護安全設計技術要求”等“雲等保標準”即將正式頒佈,學校雲資料中心安全加固專案需滿足未來雲安全的擴充套件標準。

在全面瞭解伺服器虛擬化安全風險之後,學校資訊中心提出要完善學校資訊保安防護體系的基礎架構,同時具備對最新安全威脅的抵抗力,降低安全威脅出現到可以真正進行防範的時間差,提高伺服器的安全性和抗攻擊能力,構建伺服器虛擬化平臺的基礎架構多層次的綜合防護。

雲端安全盲點一一掃清,虛擬機器密度恢復正常

亞信安全針對華南農業大學雲資料中心的安全隱患,以亞信安全伺服器深度安全防護系統(Deep
Security)為核心提供了完全的解決方案,通過病毒防護、訪問控制、入侵檢測/防護、虛擬補丁、完整性監控等功能實現物理和虛擬主機的全面防護,並滿足“雲等保標準”中的合規性審計要求。

在整個方案架構設計過程中,亞信安全伺服器深度安全防護系統(Deep
Security)利用API來訪問每臺虛擬機器的特權狀態資訊,包括其記憶體、狀態和網路通訊流量等。在華南農業大學雲資料中心的ESXi主機環境中,利用VMware
VShield Endpoint
程式部署專用安全虛擬機器以及經特別授權訪問管理程式的API,對ESXi底層虛擬機器內部流量進行安全防護,實現了包括防病毒、防火牆、IDS/IPS
和系統完整性監控等在內的安全功能,並通過統一管理平臺進行管理。

此外,亞信安全的解決方案幫助華南農業大學雲資料中心避免傳統防毒軟體產生的防毒風暴,從而大幅提升虛擬機器密度。作為虛擬化專屬的安全防護系統,Deep
Security 還為華南農業大學虛擬化環境量身打造了Web 應用層檢測、IDS、IPS
等深度檢測包技術和虛擬補丁功能,可以有效發現和攔截隱藏在虛擬網路中的惡意程式碼。

針對雲等保試行標準中的相關要求,Deep
Security提供了全程監控和安全控制的創新特性,可實現虛擬機器之間的訪問隔離、授權和審計功能,並能實現虛機訪問控制策略的智慧遷移。此外,亞信安全獨有的虛擬補丁功能可保護對外介面免遭漏洞攻擊,實現智慧阻斷攔截,有效防止了虛擬機器之間可能存在交叉感染的情況。

雲資料中心動力強大,智慧校園安全無憂

華南農業大學的雲端計算資料中心建設起步較早,在2011年就為我國農業物聯網的發展提供了一個有力平臺。截至到2016年末,華南農業大學現代教育技術中心已經整合了資料中心IT基礎架構的計算、網路、儲存、虛擬化和雲作業系統,運維安全等軟硬體平臺,實現虛擬資料中心、關鍵業務、大資料、高效能運算、雲災備、雲安全、雲運維等,在學校現有云計算能力上增加480核CPU,6.4TB記憶體,364TB的儲存資源,為智慧校園建設提供更充足的軟硬體支撐。

作為智慧校園的“心臟”防護憑證,亞信安全的整體解決方案採用創新的“無代理”安全防護技術,在雲端計算資料中心實現了應用層、網路層、主機層的多層次縱深防禦體系,使得全校教育資訊系統能夠得到統一的安全監管和維護。同時,方案還滿足國家資訊保安等級保護制度要求,為雲端計算平臺減少了安全隱患,資訊保安保障能力得到大幅提升。

原文釋出時間為:2017年9月16日

本文來自雲棲社群合作伙伴至頂網,瞭解相關資訊可以關注至頂網。


相關文章