相对于传统数据中心,云计算数据中心在架构、运营和管理等方面优势明显,为高校信息化创新打开了更多窗口。然而,云计算数据中心的安全管理却未能实现“并轨而行”,底层虚拟化主机的安全性缺少与之对应的技术保障。为此,华南农业大学采用亚信安全云主机安全(DeepSecurity)等产品和方案,快速构建起云时代的网络安全体系,有效的解决了虚拟化等安全技术难题,满足了国家等保要求,为云计算的规模化铺平了道路。
云化迁移面临安全挑战,虚拟化障碍不得不除
相对于前期尝试性的建设,各大高校密集扩建云计算数据中心的趋势明显,许多高校已把云计算数据中心列在“十三五”信息化规划中,并将和物联网、大数据等技术一起促进高校教育信息化创新。为此,华南农业大学按照国家政策和信息化发展的要求,着手构建面向全校教育信息化支撑的云计算数据中心。在建设过程中,学校率先引入了服务器虚拟化技术,把部分业务系统迁移至服务器虚拟化平台上,但随之而来的安全问题却令现代教育技术中心忐忑不安。
首先,服务器虚拟化平台上的业务系统脱离了原来的DMZ安全区域,虚拟机、虚拟交换机等虚拟设备的大量涌现,增大了数据中心东西向通信量,而这部分的通信不会流经之前防火墙等负责南北通信的边界安全设备,产生了监测盲点。其次,虚拟机安全防护沿用传统硬件服务器方式,即在每台虚拟主机安装安全软件,这样不但会造成资源的过度浪费,减少了虚拟机部署的数量,在虚拟机数量多的情况,还会形成杀毒风暴(AV Storm),导致系统崩溃。
在全面了解服务器虚拟化安全风险之后,学校信息中心提出要完善学校信息安全防护体系的基础架构,同时具备对最新安全威胁的抵抗力,降低安全威胁出现到可以真正进行防范的时间差,提高服务器的安全性和抗攻击能力,构建服务器虚拟化平台的基础架构多层次的综合防护。
云端安全盲点一一扫清,虚拟机密度恢复正常
亚信安全针对华南农业大学云数据中心的安全隐患,以亚信安全云主机安全(DeepSecurity)为核心提供了完全的解决方案,通过病毒防护、访问控制、入侵检测/防护、虚拟补丁、完整性监控等功能实现物理和虚拟主机的全面防护,并满足信息系统合规性审计要求。
首先,亚信安全云主机安全(DeepSecurity)利用API来访问每台虚拟机的特权状态信息,包括其内存、状态和网络通信流量等。在华南农大数据中心的ESXi主机环境中,利用VMware VShield Endpoint 程序部署专用安全虚拟机以及经特别授权访问管理程序的API,对ESXi底层虚拟机内部流量进行安全防护,实现了包括防病毒、防火墙、IDS/IPS 和系统完整性监控等在内的安全功能,并通过统一管理平台进行管理。
其次,亚信安全的解决方案帮助华南农业大学云数据中心避免传统防毒软件产生的防毒风暴,从而大幅提升虚拟机密度。作为虚拟化专属的安全防护系统,DeepSecurity 还为华南农大虚拟化环境量身打造了Web 应用层检测、IDS、IPS 等深度检测包技术和虚拟补丁功能,可以有效发现和拦截隐藏在虚拟网络中的恶意代码。
最后,针对虚拟机快照、休眠主机,以及迁移过程中安全保护,DeepSecurity提供了全程监控的创新特性,一旦有长期不使用或者外部导入虚拟机存在安全漏洞或者已经被感染,都可以被管理员及时发现,并实现智能阻断拦截,有效防止了虚拟机之间可能存在交叉感染的情况。
云数据中心动力强大,智慧校园安全无忧
华南农业大学的云计算数据中心建设起步较早,在2011年就为我国农业物联网的发展提供了一个有力平台。截至到2016年末,华南农业大学现代教育技术中心已经整合了数据中心IT基础架构的计算、网络、存储、虚拟化和云操作系统,运维安全等软硬件平台,实现虚拟数据中心、关键业务、大数据、高性能计算、云灾备、云安全、云运维等,在学校现有云计算能力上增加480核CPU,6.4TB内存,364T的计算资源,为智慧校园建设提供更充足的软硬件支撑。
作为智慧校园的“心脏”防护凭证,亚信安全的整体解决方案采用创新的“无代理”安全防护技术,在云计算数据中心实现了应用层、网络层、主机层的多层次纵深防御体系,使得全校教育信息系统能够得到统一的安全监管和维护。同时,方案还满足国家信息安全等级保护要求,为云计算平台减少了安全隐患,信息安全保障能力得到大幅提升。