程彥博

相較前些年，近年來云計算開始在我國各個行業(yè)落地，諸多企業(yè)開始更廣泛地使用虛擬化技術(shù)，來實現(xiàn)數(shù)據(jù)中心的云化。然而，在企業(yè)數(shù)據(jù)中心邁向云端的同時，更多的安全威脅和傳統(tǒng)安全防護體系力不從心，成為令企業(yè)信息化管理者頭疼的問題。近日，記者了解到了廣東中煙工業(yè)有限責任公司（下文簡稱廣東中煙）在數(shù)據(jù)中心云化后采用的安全防護解決方案，為相關(guān)企業(yè)提供借鑒。

廣東中煙成立于2003年，負責廣東卷煙工業(yè)的生產(chǎn)經(jīng)營和管理，下設(shè)廣州卷煙二廠、梅州卷煙廠、韶關(guān)卷煙廠、湛江卷煙廠，共有5000多名員工。作為國內(nèi)信息化建設(shè)領(lǐng)先的省級煙草工業(yè)公司，廣東中煙早在2012年底就利用虛擬化技術(shù)向內(nèi)部業(yè)務(wù)部門提供了云計算應(yīng)用平臺。然而，各項應(yīng)用上線運行一年之后，云數(shù)據(jù)中心系統(tǒng)管理中的兩大性能問題越來越突出，嚴重阻礙了廣東中煙信息化應(yīng)用對業(yè)務(wù)的支撐。

性能瓶頸的源頭

據(jù)廣東中煙工程師李先生介紹，公司采用VMware的解決方案建設(shè)云數(shù)據(jù)中心的初衷就是提高IT基礎(chǔ)設(shè)施的利用率，提升投資回報率。然而，在上線之后，隨著業(yè)務(wù)和虛擬機的增多，防病毒體系成為了云數(shù)據(jù)中心的性能瓶頸，讓投資回報率降低，有違云計算的理念?？偨Y(jié)起來，廣東中煙云數(shù)據(jù)中心遇到的性能瓶頸主要有兩個。

性能瓶頸一：磁盤I/O風(fēng)暴，導(dǎo)致虛擬機運行緩慢。

據(jù)長期監(jiān)控所得到的IT運維數(shù)據(jù)分析顯示，一到辦公繁忙的時間段，部署在云中心的業(yè)務(wù)系統(tǒng)訪問速度會明顯下降。此時，登錄到云中心管理平臺進行檢查，會發(fā)現(xiàn)ESXi主機的存儲I/O次數(shù)會明顯大幅增加。經(jīng)過虛擬化廠家及云中心運維工程師的深入分析，發(fā)現(xiàn)導(dǎo)致云中心出現(xiàn)磁盤I/O風(fēng)暴的源頭就是部署在各個虛擬機上的傳統(tǒng)防病毒客戶端。由于傳統(tǒng)防病毒客戶端并不是針對虛擬化環(huán)境設(shè)計，因此在實時病毒掃描時，會產(chǎn)生大量的磁盤I/O訪問操作。當操作超過了ESXi主機能夠支撐的閾值時，便會導(dǎo)致磁盤請求大量堆積，進而形成磁盤風(fēng)暴，最終導(dǎo)致虛擬機變得異常緩慢。

性能瓶頸二：防病毒軟件掃描耗時過長，影響業(yè)務(wù)正常運作。

當業(yè)務(wù)系統(tǒng)在物理機環(huán)境運行時，所有計算資源獨立，傳統(tǒng)防病毒軟件在執(zhí)行預(yù)設(shè)任務(wù)“全盤掃描”時，能夠在第二天上班前順利完成，不影響業(yè)務(wù)正常運作。但當業(yè)務(wù)遷移至云中心時，物理機的資源由多個虛擬機分享，執(zhí)行全盤掃描時就會根據(jù)虛擬機的優(yōu)先級分配資源。這就導(dǎo)致了優(yōu)先級較低的虛擬機需要花費更多的時間來完成該任務(wù)，影響了用戶第二天的正常使用。

面對以上棘手的難題，李先生認為：“現(xiàn)有的傳統(tǒng)防毒軟件，由于它們并不是專為虛擬化環(huán)境設(shè)計的，如果把其部署在云中心，會對云中心的各種計算資源帶來巨大的壓力，并影響業(yè)務(wù)的正常運行，甚至導(dǎo)致虛擬化環(huán)境崩潰。顯然，傳統(tǒng)的防病毒軟件已經(jīng)不能再適用新環(huán)境下的需求。經(jīng)過多次的討論之后，虛擬化勢在必行。為此，我們需要考慮借助專門在虛擬化平臺上研發(fā)的安全解決方案，來改善遇到的上述安全問題，應(yīng)對日新月異的威脅攻擊?！?/p>

應(yīng)用無代理防護

為了確保云中心發(fā)展的可持續(xù)性，同時避免病毒對數(shù)據(jù)、應(yīng)用和網(wǎng)絡(luò)帶來威脅，廣東中煙開始廣泛尋找最佳的解決方案。一次偶然的機會，廣東中煙了解到趨勢科技Deep Security與VMware兼容度極高，它能夠利用VMware發(fā)布的vShield EndPoint安全接口在VMware ESXi平臺上提供“無代理”防護方案，直接把防護客戶端部署在虛擬化平臺ESXi上，能夠有效地解決之前遇到的各種問題。經(jīng)過與趨勢科技技術(shù)顧問的深入交流和反復(fù)測試，廣東中煙最終決定使用趨勢科技Deep Security作為其云中心的安全保障，以此推動虛擬化進程的建設(shè)。

據(jù)介紹，在實施階段Deep Security無代理功能相對于傳統(tǒng)防病毒產(chǎn)品表現(xiàn)出優(yōu)異的性能和管理優(yōu)勢，很好的解決了磁盤I/O風(fēng)暴、全盤掃描耗時過長等虛擬化特有的安全難題。隨著廣東中煙虛擬化應(yīng)用范疇的不斷擴展，Deep Security無代理技術(shù)已經(jīng)完全避免了磁盤I/O風(fēng)暴的產(chǎn)生，使得云中心在辦公忙時的業(yè)務(wù)訪問不再緩慢，充分展示了云中心低成本、高效能、易管理的建設(shè)價值。

由此，趨勢科技Deep Security完全滿足了廣東中煙的安全防護需求，并解決了云數(shù)據(jù)中心的性能瓶頸。它讓管理員不必再為性能忐忑不安。對此，李先生表示：“安全是一個整體，物理機和虛擬機都需要防惡意軟件的保護，但是虛擬化安全解決方案必須專為共享資源環(huán)境設(shè)計，絕不能因為安全而耗盡性能。在實施Deep Security后，我們可以放心地把云技術(shù)延伸至虛擬桌面等創(chuàng)新應(yīng)用中，并對下一階段的云業(yè)務(wù)拓展和大數(shù)據(jù)應(yīng)用前景更有信心?！?