當(dāng)今，用戶對虛擬化和云計算平臺的需求正在呈現(xiàn)爆發(fā)趨勢。然而，虛擬化技術(shù)其實是一把雙刃劍，它具有更高效率地利用計算、存儲資源等優(yōu)勢，但這些優(yōu)勢都依賴于虛擬化系統(tǒng)資源高度集中的特性，但集中意味著更大的風(fēng)險，在安全方面，挑戰(zhàn)尤其嚴(yán)重。

[[187272]]

資源集中的虛擬化環(huán)境和傳統(tǒng)物理環(huán)境安裝部署安全系統(tǒng)有著本質(zhì)的區(qū)別，在傳統(tǒng)物理環(huán)境的防病毒解決方案中，往往需要給每個物理服務(wù)器安裝防病毒軟件，以實時防御可能的病毒入侵。而當(dāng)這些業(yè)務(wù)被遷移到虛擬化環(huán)境中后，傳統(tǒng)的安全防護(hù)方案需要在每臺虛擬機(jī)上安裝防病毒軟件，即有代理模式，傳統(tǒng)防病毒方案的“不適應(yīng)性”開始凸顯。

傳統(tǒng)安全防護(hù)對虛擬化環(huán)境水土不服

難題一：管理復(fù)雜

傳統(tǒng)防病毒方案中，每臺虛擬機(jī)的防病毒軟件都需要單獨(dú)安裝、分別升級、逐個查毒，部署成本較高。同時管理員還需要對每臺虛機(jī)單獨(dú)執(zhí)行防病毒策略、安全加固與補(bǔ)丁管理等工作，消耗了大量的人力資源，因此虛擬機(jī)的靈活性由于傳統(tǒng)防病毒軟件的限制受到了很大的影響。

難題二：殺毒風(fēng)暴引發(fā)宕機(jī)風(fēng)險

同一個物理服務(wù)器上的多個虛擬機(jī)同時按需全盤掃描或更新病毒特征庫時，便會觸發(fā)所有虛擬機(jī)同時執(zhí)行排程，從而導(dǎo)致對物理主機(jī)性能需求出現(xiàn)瞬間激增，引發(fā)殺毒風(fēng)暴，造成CPU、內(nèi)存、存儲I/O 和網(wǎng)絡(luò)擁堵，造成業(yè)務(wù)訪問延遲或超時，嚴(yán)重時可能導(dǎo)致服務(wù)器宕機(jī)。

難題三：存在防護(hù)間歇

虛擬機(jī)處于休眠、關(guān)閉或開啟等不同狀態(tài)，虛擬機(jī)的安全策略不統(tǒng)一，導(dǎo)致防護(hù)間歇問題。如某臺一直處于關(guān)閉狀態(tài)的虛擬機(jī)在業(yè)務(wù)需要時會自動啟動，但在這臺虛擬機(jī)啟動時，其包括防病毒在內(nèi)的所有安全狀態(tài)較其他一直在線運(yùn)行的虛擬機(jī)處于滯后和脫節(jié)的地位，因此會引入額外的風(fēng)險。

新華三聯(lián)手亞信安全提供高效解決之道

上述引發(fā)的問題如果采用傳統(tǒng)手段只能通過降低虛擬化密度或卸載防病毒軟件解決，不管采用哪種方案，對資源池的ROI 及安全都帶來負(fù)面的影響，致使預(yù)期收益不達(dá)標(biāo)。那怎樣才能既達(dá)到安全防護(hù)的目的，又節(jié)約IT資源，從而保證虛擬化平臺運(yùn)轉(zhuǎn)無虞呢?

答案是采用無代理安全部署模式。所謂無代理模式，即虛擬機(jī)無需安裝任何客戶端或者軟件，就可以利用一個安全虛擬設(shè)備為所有虛擬機(jī)進(jìn)行殺毒處理。不過，阻礙無代理安全實現(xiàn)的一個現(xiàn)實困難是：不同廠商在虛擬化實現(xiàn)技術(shù)、存儲架構(gòu)、虛擬交換機(jī)之間的隔離等方面仍然存在很大差異。因此，安全廠商需要跟不同虛擬化廠商合作，針對不同虛擬化廠商和平臺架構(gòu)、開放接口進(jìn)行差異化的開發(fā)，因此，無代理安全模式需要與虛擬化系統(tǒng)密切結(jié)合在一起，才能真正為虛擬化用戶帶來效率和資源利用率的同時提升安全體驗。

針對用戶的這一核心痛點(diǎn)，新華三聯(lián)手亞信安全共同推出了虛擬化安全套件。作為雙方合作的核心成果，亞信安全Deep Security深度安全防護(hù)系統(tǒng)經(jīng)過深入的對接開發(fā)及驗證測試，成為H3Cloud CAS虛擬化軟件Hypervisor層的標(biāo)準(zhǔn)化安全模塊，通過病毒防護(hù)、訪問控制、入侵檢測/入侵防護(hù)、虛擬補(bǔ)丁等功能，實現(xiàn)宿主機(jī)和虛擬機(jī)的全面防護(hù)，從而構(gòu)建CAS虛擬化平臺的全方位綜合防護(hù)，并滿足信息系統(tǒng)合規(guī)性審計要求。

具體來說，Deep Security for CAS無代理安全防護(hù)解決方案具有以下三個優(yōu)勢：

首先， Deep Security for CAS無代理安全防護(hù)解決方案深度對接了CAS的網(wǎng)絡(luò)安全技術(shù)接口，CAS虛擬化平臺上的所有虛擬機(jī)無需安裝任何軟件，也無需再安裝單獨(dú)的安全虛擬機(jī)，只需要在每臺宿主機(jī)底層Hypervisor上安裝一次殺毒引擎就能對虛擬機(jī)的病毒、間諜軟件、木馬等威脅進(jìn)行查殺。

其次，底層查殺的方式降低了虛擬機(jī)并發(fā)全盤掃描及病毒庫更新時產(chǎn)生的大量資源消耗，資源的消耗并不隨著虛擬機(jī)密度的增加而增大，因此能夠最大化利用計算資源，避免殺毒風(fēng)暴，同時底層查殺的方式極大增加了查殺的效率，對Hypervisor本身的安全也起到了安全防護(hù)的效果。

第三 ，不論是休眠或是關(guān)閉狀態(tài)的虛機(jī)，一旦啟動進(jìn)入到資源池，安全防護(hù)能力便能自動加載。用戶在新增虛擬機(jī)時，也無需再次部署安全解決方案，這不僅解決了資源池中虛擬機(jī)安全策略不統(tǒng)一導(dǎo)致的防護(hù)間歇問題，同時也大大降低了人員的管理成本。

Deep Security for CAS無代理安全防護(hù)解決方創(chuàng)新采用安全防護(hù)引擎與Hypervisor無縫集成的方式，提供了一種更輕松、更易于管理的虛擬機(jī)安全防護(hù)方法，極大提高了資源利用率，使虛擬機(jī)密度遠(yuǎn)高于傳統(tǒng)安全解決方案，在為虛擬化提供安全防護(hù)的同時，加快虛擬化和云的部署速度，是虛擬化和安全的一次最成功親密接觸。