客戶需求:生態(tài)環(huán)境部希望重新構(gòu)建云安全防御系統(tǒng),提升云數(shù)據(jù)中心的網(wǎng)絡(luò)安全運(yùn)維水平, 在“環(huán)保云”建設(shè)應(yīng)用過程中,將等級保護(hù)工作落地,實(shí)現(xiàn)虛擬化平臺(tái)的統(tǒng)一安全管理,消除防毒掃描風(fēng)暴造成的性能影響。
解決方案:亞信安全以服務(wù)器深度安全防護(hù)系統(tǒng)(Deep Security)為核心產(chǎn)品,基于“無代理”防護(hù)技術(shù)優(yōu)勢,為客戶消除了傳統(tǒng)防毒系統(tǒng)對服務(wù)器資源的搶占,實(shí)現(xiàn)了對于VMware vSphere虛擬化環(huán)境的集中安全管控,全面滿足國家等級保護(hù)要求,打造出高效、安全、可靠的“環(huán)保云”。
效果/客戶證言:通過部署亞信安全服務(wù)器深度安全防護(hù)系統(tǒng),我們成功完成了“環(huán)保云”的安全防護(hù)體系升級,很好地滿足了等級保護(hù)三級要求對虛擬化平臺(tái)標(biāo)準(zhǔn)延伸要求,保證了環(huán)保行業(yè)國家級重要業(yè)務(wù)信息系統(tǒng)的安全,為生態(tài)環(huán)境大數(shù)據(jù)建設(shè)和環(huán)保云平臺(tái)提供可靠的安全保障。
——生態(tài)環(huán)境部相關(guān)領(lǐng)導(dǎo)
作為中國環(huán)保產(chǎn)業(yè)的“掌門人”,中華人民共和國生態(tài)環(huán)境部全面引入虛擬化、云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)等新技術(shù),重建國家環(huán)保信息技術(shù)框架。面對新技術(shù)應(yīng)用環(huán)境下的網(wǎng)絡(luò)安全挑戰(zhàn),生態(tài)環(huán)境部采用基于“無代理”防護(hù)技術(shù)的亞信安全服務(wù)器深度安全防護(hù)系統(tǒng)(Deep Security),消除了防毒掃描風(fēng)暴對服務(wù)器性能的影響,為VMware vSphere虛擬化環(huán)境形成了集中管控、多層防護(hù)的云安全保障體系,全面滿足國家等級保護(hù)要求,打造出高效、安全、可靠的“環(huán)保云”。
八大業(yè)務(wù)列為國家重要系統(tǒng),“環(huán)保云”遭遇三大安全挑戰(zhàn)
生態(tài)環(huán)境部于2014年開始進(jìn)行數(shù)據(jù)中心升級建設(shè),引入虛擬化技術(shù)構(gòu)建基礎(chǔ)平臺(tái),并將業(yè)務(wù)專網(wǎng)的應(yīng)用部署在VMware vSphere平臺(tái)上。截止2016年末,環(huán)保行業(yè)共有8個(gè)業(yè)務(wù)信息系統(tǒng)被列為國家級重要信息系統(tǒng),是國家網(wǎng)絡(luò)和信息安全的重要組成部分。隨著運(yùn)行環(huán)境的變化,不僅數(shù)據(jù)中心的物理網(wǎng)絡(luò)安全邊界漸漸消失,傳統(tǒng)網(wǎng)絡(luò)安全產(chǎn)品也難以被直接應(yīng)用于云安全防護(hù),這給生態(tài)環(huán)境部網(wǎng)絡(luò)安全管理人員提出了新的挑戰(zhàn)。
第一、技術(shù)層面,需要消除“防毒掃描風(fēng)暴”產(chǎn)生的性能瓶頸,并對虛擬化平臺(tái)進(jìn)行立體防護(hù)。這一需求來自虛擬化平臺(tái)的容量設(shè)計(jì),如果不能杜絕防毒軟件集中掃描時(shí)對物理主機(jī)CPU、內(nèi)存、磁盤的資源搶占,就無法按照規(guī)劃部署虛擬機(jī)密度。另外,要構(gòu)建完整的虛擬化環(huán)境安全防護(hù)體系,就離不開惡意程序檢測、網(wǎng)絡(luò)入侵、惡意訪問攔截、漏洞利用以及數(shù)據(jù)完整性等多種層面的風(fēng)險(xiǎn)防御能力。
第二、管理層面,需要實(shí)現(xiàn)虛擬化平臺(tái)“化零為整”。生態(tài)環(huán)境部的虛擬化安全管理有兩個(gè)具體要求:一是完全兼容VMware vSphere,避免因?yàn)榧嫒菪詥栴}影響上層業(yè)務(wù)系統(tǒng)的正常運(yùn)行;二是所有虛擬的安全策略需要統(tǒng)一部署、調(diào)整和優(yōu)化,能夠形成統(tǒng)一的安全預(yù)警和日志報(bào)表管理。
第三、法規(guī)層面,需遵循國家等保要求,推動(dòng)“云等?!甭涞?,確保機(jī)密數(shù)據(jù)不外泄?!碍h(huán)保云”為部級云平臺(tái),是為全國各地區(qū)和各個(gè)行業(yè)提供環(huán)保業(yè)務(wù)應(yīng)用的重要信息系統(tǒng)平臺(tái),需按照國家信息安全等級保護(hù)第三級安全要求進(jìn)行規(guī)劃建設(shè)。
“無代理”實(shí)現(xiàn)底層防護(hù),虛擬平臺(tái)“合二為一”
經(jīng)過全面評估,生態(tài)環(huán)境部決定采購專為虛擬化平臺(tái)打造的新一代云安全產(chǎn)品,并最終確定采用基于無代理技術(shù)的亞信安全服務(wù)器深度安全防護(hù)系統(tǒng)(Deep Security)。
與傳統(tǒng)安全軟件系統(tǒng)不同,“無代理”模式下,虛擬機(jī)無需安裝任何客戶端或者軟件,就可以利用一個(gè)安全虛擬設(shè)備為上層所有虛擬機(jī)進(jìn)行殺毒處理。而生態(tài)環(huán)境部利用亞信安全Deep Security的無代理殺毒技術(shù),有效解決了防毒風(fēng)暴問題,實(shí)際測試結(jié)果表明,采用此項(xiàng)技術(shù)后,云數(shù)據(jù)中心病毒掃描時(shí)所占資源,只有傳統(tǒng)方案的10%。此外,由于這項(xiàng)安全機(jī)制工作在最底層,還解決了傳統(tǒng)方案不能監(jiān)測虛擬網(wǎng)絡(luò)內(nèi)部風(fēng)險(xiǎn)的致命問題,并向上層提供了病毒防護(hù)、訪問控制、入侵檢測/入侵防護(hù)、虛擬補(bǔ)丁、主機(jī)完整性監(jiān)控、日志審計(jì)等功能,組成多層防護(hù)架構(gòu)。
作為跨虛擬化平臺(tái)云安全解決方案的核心,亞信安全服務(wù)器深度安全防護(hù)系統(tǒng)(Deep Security)是為虛擬化環(huán)境量身打造的專屬安全防護(hù)系統(tǒng),通過的底層接口和Deep Security Manager集中管理單元,實(shí)現(xiàn)了VMware vSphere虛擬主機(jī)的統(tǒng)一管理。另外,通過這套平臺(tái),生態(tài)環(huán)境部還可以對所有物理服務(wù)器、虛擬主機(jī)客戶端進(jìn)行統(tǒng)一的配置管理和更新升級,從而實(shí)現(xiàn)全面、實(shí)時(shí)、高效的虛擬化病毒防護(hù)。
云數(shù)據(jù)中心安全能力成功進(jìn)階,等保工作在云端落地
圍繞“互聯(lián)網(wǎng)+”深度思考與創(chuàng)新實(shí)踐,環(huán)保產(chǎn)業(yè)近幾年在大數(shù)據(jù)、云計(jì)算領(lǐng)域全面發(fā)力,以智能化數(shù)據(jù)采集、處理分析、決策輔助為核心的全產(chǎn)業(yè)鏈形態(tài)正在形成。與此同時(shí),《網(wǎng)絡(luò)安全法》落地,等級保護(hù)標(biāo)準(zhǔn)在云計(jì)算領(lǐng)域進(jìn)一步延伸,都對云計(jì)算安全等級保護(hù)提出了更高要求。
針對“環(huán)保云”網(wǎng)絡(luò)安全防護(hù)能力提升和等級保護(hù)工作落實(shí)情況,生態(tài)環(huán)境部網(wǎng)安管理人員表示:“通過部署亞信安全服務(wù)器深度安全防護(hù)系統(tǒng),我們成功完成了‘環(huán)保云’的安全防護(hù)體系升級,很好地滿足了等級保護(hù)三級要求對虛擬化平臺(tái)標(biāo)準(zhǔn)延伸要求,保證了環(huán)保行業(yè)國家級重要業(yè)務(wù)信息系統(tǒng)的安全,為生態(tài)環(huán)境大數(shù)據(jù)建設(shè)和環(huán)保云平臺(tái)提供可靠的安全保障?!?/span>
(審核編輯: 智匯胡妮)
分享