虛擬化技術(shù)早已不再是紙上談兵的神話，據(jù)有關(guān)數(shù)據(jù)統(tǒng)計(jì)，在2009年時(shí)，全球虛擬化服務(wù)器的數(shù)量就已經(jīng)超過了物理服務(wù)器的數(shù)量。虛擬化技術(shù)，憑借自身的低成本投入、靈活便捷的管理、強(qiáng)大的業(yè)務(wù)擴(kuò)展能力，在IT架構(gòu)中扮演著越來越重要的角色。

在國家“十二五規(guī)劃”所提倡的“綠色I(xiàn)T”指引下，江淮汽車也正在對(duì)IT基礎(chǔ)架構(gòu)進(jìn)行著虛擬化洗禮，并且已經(jīng)把部分應(yīng)用系統(tǒng)和全部測(cè)試環(huán)境遷移至虛擬化平臺(tái)。江淮汽車信息中心的邵科長表示，隨著虛擬化技術(shù)在江淮的應(yīng)用，極大的提高了服務(wù)器硬件資源的利用率，但是隨著虛擬化程度的不斷提高，在享受虛擬化帶來的好處的同時(shí)，也帶來了一些新的服務(wù)器管理復(fù)雜度和安全隱患的問題。作為信息中心負(fù)責(zé)人，邵科長急需一種專門針對(duì)虛擬化平臺(tái)的行之有效的安全解決方案。

作為全球云安全和虛擬化安全技術(shù)的領(lǐng)導(dǎo)者，趨勢(shì)科技在對(duì)江淮汽車虛擬化進(jìn)程進(jìn)行了詳實(shí)的評(píng)估之后，為江淮汽車提供了一套專門針對(duì)虛擬化服務(wù)器環(huán)境的安全解決方案——Deep Security，幫助用戶在提升虛擬環(huán)境安全性的同時(shí)，降低了管理成本，得到了客戶的高度認(rèn)可。

虛擬化安全管理出現(xiàn)“空缺”急需新途徑彌補(bǔ)

江淮汽車是一家集商用車、乘用車及動(dòng)力總成研發(fā)、制造、銷售和服務(wù)于一體的綜合型汽車廠商。據(jù)了解，江淮汽車在信息化建設(shè)方面走的比較早，從1994年開始進(jìn)行信息化建設(shè)，先后實(shí)施過CAD、MRPII、ERP等信息化項(xiàng)目，全面實(shí)現(xiàn)從產(chǎn)品開發(fā)到經(jīng)營管理的信息化。隨著最新的供應(yīng)鏈管理SCM平臺(tái)落地，為了進(jìn)一步提高生產(chǎn)力，提升IT效率，江淮汽車很早就開始規(guī)劃虛擬化架構(gòu)，在國內(nèi)汽車制造業(yè)中率先引入服務(wù)器虛擬化技術(shù)。隨著江淮汽車的虛擬化項(xiàng)目全面進(jìn)入第二階段，應(yīng)用服務(wù)器的虛擬化程度和虛擬機(jī)密度不斷提升，隨之而來的則是在虛擬化環(huán)境下嶄新的安全管理難題，這給江淮汽車的IT部門帶來了從未有過的挑戰(zhàn)。

邵科長介紹說：“在我們之前的虛擬化項(xiàng)目實(shí)施中，IT管理員已經(jīng)發(fā)現(xiàn)，要讓每一臺(tái)虛擬化服務(wù)器都能符合物理服務(wù)器同樣的安全等級(jí)，就需要在每個(gè)虛機(jī)上單獨(dú)安裝一套防毒軟件，大量的虛擬機(jī)中安裝和部署防毒軟件的工作量讓工程師們應(yīng)接不暇。并且，為了防止最新的病毒變種入侵，就需要頻繁的在每臺(tái)虛擬機(jī)上更新操作系統(tǒng)補(bǔ)丁和防毒代碼，不但存在著兼容性隱患，而且每次更新狀態(tài)之后的‘重啟’操作，都會(huì)嚴(yán)重的影響正常業(yè)務(wù)訪問，管理成本也在隨之成倍增長。”

在最新的二期工程中，除了上述問題依然存在之外，還會(huì)遭遇服務(wù)器安全審計(jì)，整體監(jiān)控等定制化防護(hù)策略和統(tǒng)一管理的難題。并且，隨著Linux和UNIX等更多的虛擬化服務(wù)器的加入，企業(yè)不但要額外購買和安裝防毒軟件，還要防止在同一臺(tái)物理機(jī)上不同虛擬機(jī)之間的互相攻擊，這些預(yù)算外的超支成本，讓虛擬化原生的優(yōu)勢(shì)黯然淡去。

深入剖析虛擬化安全視角成為首選方案

針對(duì)上述問題，江淮汽車的IT部門協(xié)將安全產(chǎn)品采購的重點(diǎn)瞄準(zhǔn)了專門針對(duì)虛擬化平臺(tái)的安全防護(hù)軟件上。據(jù)了解，鑒于江淮汽車的虛擬化環(huán)境架構(gòu)在VMware的基礎(chǔ)之上，趨勢(shì)科技與VMware為全球戰(zhàn)略合作伙伴，是全球最早、目前也是唯一可以基于VMware底層應(yīng)用接口，實(shí)現(xiàn)虛擬化底層防護(hù)。就這樣，趨勢(shì)科技推出的Deep Security被列為首選對(duì)象。

接下來，趨勢(shì)科技與江淮汽車在“病毒掃描風(fēng)暴”產(chǎn)生原因等一系列的技術(shù)難點(diǎn)和管理因素進(jìn)行深入溝通，在真切了解到IT管理員的需求基礎(chǔ)上，為江淮汽車規(guī)劃了整體虛擬化應(yīng)用的安全解決方案。

與多數(shù)加入虛擬化大家庭的企業(yè)一樣，在虛擬化二期工程中江淮汽車也無法避免的遇到了“病毒掃描風(fēng)暴”等棘手問題。之前，由于每臺(tái)物理主機(jī)上的虛擬化服務(wù)器數(shù)量還沒有達(dá)到上限，而現(xiàn)在如果仍然使用傳統(tǒng)的防毒軟件直接轉(zhuǎn)化在虛擬機(jī)中，很快就出現(xiàn)了虛擬安全管理中特殊的性能問題。正是因?yàn)?，每個(gè)虛擬機(jī)上都安裝一套防毒軟件之后，多個(gè)虛擬機(jī)同時(shí)啟動(dòng)病毒掃描，不但物理主機(jī)的磁盤的I/O將都會(huì)被占滿，同時(shí)虛擬服務(wù)器也開始瘋狂的搶占CPU、內(nèi)存、網(wǎng)絡(luò)三項(xiàng)主要資源，客戶端訪問開始頻繁出現(xiàn)“延遲”現(xiàn)象。

虛擬化安全提供全程護(hù)航受客戶充分認(rèn)可

Deep Security的成功部署，為江淮汽車大幅提改良了之前虛擬化管理的復(fù)雜程度。邵科長介紹說，由于充分與江淮汽車部署的VMware vShield Endpoint相結(jié)合，Deep Security實(shí)現(xiàn)了真正的底層防護(hù)，現(xiàn)在江淮汽車每增加一臺(tái)虛擬操作系統(tǒng)都無需再安裝防毒軟件。由于每臺(tái)物理機(jī)只需要在底層一次性安裝防護(hù)軟件，不但降低了物理服務(wù)器整體資源開銷，又降低了管理安全策略的部署和管理成本。這樣的結(jié)果，便為虛擬化平臺(tái)隨時(shí)啟動(dòng)和遷移提供了即裝即防的實(shí)時(shí)防護(hù)，真正實(shí)現(xiàn)了虛擬化的便捷性優(yōu)勢(shì)。

同時(shí)，針對(duì)之前遇到虛擬化進(jìn)程中的防毒軟件兼容性、補(bǔ)丁和代碼更新、服務(wù)器重啟、交叉感染、相互攻擊和服務(wù)器性能問題，Deep Security憑借在虛擬化安全上的創(chuàng)新功能，難關(guān)被一一擊破。通過與VMware VMsafe API的結(jié)合，Deep Security通過虛擬補(bǔ)丁的方式，在無需要求服務(wù)器重啟、且把兼容性隱患降到最低的前提下，為服務(wù)器彌補(bǔ)各類操作系統(tǒng)以及應(yīng)用程序的漏洞產(chǎn)生的風(fēng)險(xiǎn)。并且，由于Deep Security是基于VMware底層防護(hù)，直接在物理層進(jìn)行管理，這樣就可以在網(wǎng)絡(luò)威脅經(jīng)過vSwitch(虛擬網(wǎng)絡(luò)交換機(jī))交互時(shí)進(jìn)行過濾和攔截，最大程度縮小虛擬化平臺(tái)的防護(hù)單位。針對(duì)vSwitch的安全檢測(cè)，彌補(bǔ)之前江淮汽車使用傳統(tǒng)硬件防火墻無法防護(hù)同一臺(tái)虛擬服務(wù)器內(nèi)部互相攻擊的不足。

邵科長表示：“趨勢(shì)科技的Deep Security服務(wù)器深度防護(hù)系統(tǒng)讓我們十分滿意，并且已經(jīng)起到了非常好的防護(hù)效果?，F(xiàn)在，淮汽車現(xiàn)在虛擬化第二期工程正在順利展開中，針對(duì)所有虛擬化服務(wù)要實(shí)現(xiàn)的統(tǒng)一監(jiān)控方面的需求，通過Deep Security的日志審計(jì)和完整性監(jiān)控功能，實(shí)現(xiàn)了所有虛擬化服務(wù)器的安全日志審計(jì)、分析，以及重要路徑、文件、注冊(cè)表鍵值的監(jiān)控，進(jìn)一步幫助我們完成了安全策略審查的目標(biāo)。”

通過趨勢(shì)科技的不懈努力，江淮汽車的虛擬化平臺(tái)遷移工作進(jìn)展順利，并且用戶對(duì)趨勢(shì)科技的技術(shù)和服務(wù)非常認(rèn)可，目前已經(jīng)將原有桌面端某品牌的防護(hù)軟件，全部替換成趨勢(shì)科技OfficeScan防毒軟件，并表示愿意在未來信息化安全建設(shè)中與趨勢(shì)科技保持更全面、緊密的合作。