客戶需求:華南理工大學廣州國際校區采用了最新的SDN和云計算技術,打造出新一代綠色云數據中心,需要針對云主機惡意木馬攻擊入侵、勒索病毒、挖礦病毒、安全漏洞提供了整合運維管理。
解決方案: 亞信安全以信艙云主機安全產品(DS)為核心提供了一體化的解決方案,通過病毒防護、訪問控制、入侵檢測/防護、虛擬補丁、等功能實現物理和云主機的全面防護,并滿足信息系統合規性審計要求。
效果/客戶證言:在DS部署之后,我們基本形成了覆蓋物理主機加固到虛擬化專屬防毒的云安全保護體系,尤其是亞信安全的虛擬補丁技術,可以在第一時間提供針對漏洞攻擊的攔截,并且不需要終端云主機服務。下一步,信息中心將針對‘公有云多租戶’的特性,從多個維度提供豐富的網絡安全、系統安全與威脅防護整合應用,借助亞信安全DS完整覆蓋CWPP(云工作負載保護平臺)模型的優勢特性,全面簡化云安全運維管理,實現云端負載風險高效治理。
——華南理工大學廣州國際校區信息化相關領導
“云大智物移”等信息技術的創新融合發展,在促進高校網絡化、數字化、智能化高質量發展的同時,也帶來了不同場景下的網絡威脅與風險。在此背景下,華南理工大學采用亞信安全信艙云主機安全產品(DS),為廣州國際校區云主機提供了主動防御與持續監控的安全能力,實現了安全與運維的統一。
智慧校園,云數據中心帶來新挑戰
“博學慎思,明辨篤行。” 華南理工大學位于廣東廣州,是教育部直屬的985高校,2017年入選“雙一流”建設A類高校名單。作為以工見長、理工結合的高校,華南理工自建校以來,始終以超前的建設理念及先進的技術應用走在全國前列。其中,華南理工大學廣州國際校區則是國內首個由部、省、市、校四方共建,正式落地的國際化、研究型大學校區。
信息化建設是構建新時代世界一流大學堅實底座的重要組成部分。面向廣州國際校區的辦學定位和特色,學校采用了最新的SDN和云計算技術,打造出新一代綠色云數據中心。建設過程中,學校率先引入了服務器虛擬化技術,把業務系統遷移至服務器虛擬化平臺上,既能有效的提供相應的服務,又能共享教育資源、降低運營成本。
隨著云數據中心正式上線,學校信息化安全管理也迎來新挑戰。例如:不法份子如果入侵數據中心導致關鍵業務數據被竊取、主機業務系統被破壞導致系統癱瘓或中斷、云主機資源被黑客控制挖礦,導致系統正常服務性能極差等等。而嚴重的信息泄露,不僅會導致學校聲譽受損,還可能承擔國家網絡安全法規定的法律責任。基于上述考慮,廣州國際校區決定“為云主機加上一把安全鎖”。
安全先行,打造一體化安全運維平臺
只有安全先行,才能為師生提供放心的云。在全面了解虛擬化和云主機安全風險之后,學校信息中心提出,要形成一體化的云端風險管理平臺,既能對網絡病毒提供精準防護,同時還需統一安全策略,讓數據中心安全能力全面升級,不留死角。
針對以上需求,亞信安全以信艙云主機安全產品(DS)為核心提供了一體化的解決方案,通過病毒防護、訪問控制、入侵檢測/防護、虛擬補丁、等功能實現物理和云主機的全面防護,并滿足信息系統合規性審計要求。
首先,亞信安全DS利用API來訪問每臺虛擬機的特權狀態信息,包括其內存、狀態和網絡通信流量等。在數據中心的ESXi主機環境中,利用VMware VShield Endpoint程序部署專用安全虛擬機以及經特別授權訪問管理程序的API,對ESXi底層虛擬機內部流量進行安全防護,實現了包括防病毒、防火墻、IDS/IPS和系統完整性監控等在內的安全功能,并通過統一管理平臺進行管理。
其次,亞信安全的解決方案幫助信息中心避免了傳統防毒軟件產生的防毒風暴,從而大幅提升虛擬機密度。作為虛擬化專屬的安全防護系統,DS還為華南理工大學廣州國際校區虛擬化環境量身打造了Web應用層檢測、IDS、IPS等深度檢測包技術和虛擬補丁功能,可以有效發現和攔截隱藏在虛擬網絡中的惡意代碼。
最后,針對虛擬機快照、休眠主機,以及遷移過程中安全保護,DS提供了全程監控的創新特性,一旦有長期不使用或者外部導入虛擬機存在安全漏洞或者已經被感染,都可以被管理員及時發現,并實現智能阻斷攔截,有效防止了虛擬機之間可能存在交叉感染的情況。
逐步提升,形成校內公共云安全運維平臺
據了解,廣州國際校區數據中心是座五層的獨立建筑,共有12800m2,是目前國內規模和設備均在領先位置的校級數據中心之一。除此以外,華南理工大學構建了新型的校內公共云:涵蓋云資源申請、審批、自動部署、遷移、停機等完整生命周期管理的開放式平臺。該平臺兼容VMware,支持SDN、VxLAN、服務鏈等云網絡和云安全技術,滿足vDC、vPC等高級云用戶需求,也滿足了學校對服務內容與使用流程的全部要求,包括快速交付、簡單運營、安全無憂等。
針對數據中心部署亞信安全DS的效果,學校信息中心相關領導表示:“在DS部署之后,我們基本形成了覆蓋物理主機加固到虛擬化專屬防毒的云安全保護體系,尤其是亞信安全的虛擬補丁技術,可以在第一時間提供針對漏洞攻擊的攔截,并且不需要終端云主機服務。下一步,信息中心將針對‘公有云多租戶’的特性,從多個維度提供豐富的網絡安全、系統安全與威脅防護整合應用,借助亞信安全DS完整覆蓋CWPP(云工作負載保護平臺)模型的優勢特性,全面簡化云安全運維管理,實現云端負載風險高效治理。”
