打通云數(shù)據(jù)中心安全性能瓶頸

程彥博

相較前些年，近年來云計(jì)算開始在我國各個(gè)行業(yè)落地，諸多企業(yè)開始更廣泛地使用虛擬化技術(shù)，來實(shí)現(xiàn)數(shù)據(jù)中心的云化。然而，在企業(yè)數(shù)據(jù)中心邁向云端的同時(shí)，更多的安全威脅和傳統(tǒng)安全防護(hù)體系力不從心，成為令企業(yè)信息化管理者頭疼的問題。近日，記者了解到了廣東中煙工業(yè)有限責(zé)任公司（下文簡稱廣東中煙）在數(shù)據(jù)中心云化后采用的安全防護(hù)解決方案，為相關(guān)企業(yè)提供借鑒。

廣東中煙成立于2003年，負(fù)責(zé)廣東卷煙工業(yè)的生產(chǎn)經(jīng)營和管理，下設(shè)廣州卷煙二廠、梅州卷煙廠、韶關(guān)卷煙廠、湛江卷煙廠，共有5000多名員工。作為國內(nèi)信息化建設(shè)領(lǐng)先的省級煙草工業(yè)公司，廣東中煙早在2012年底就利用虛擬化技術(shù)向內(nèi)部業(yè)務(wù)部門提供了云計(jì)算應(yīng)用平臺。然而，各項(xiàng)應(yīng)用上線運(yùn)行一年之后，云數(shù)據(jù)中心系統(tǒng)管理中的兩大性能問題越來越突出，嚴(yán)重阻礙了廣東中煙信息化應(yīng)用對業(yè)務(wù)的支撐。

性能瓶頸的源頭

據(jù)廣東中煙工程師李先生介紹，公司采用VMware的解決方案建設(shè)云數(shù)據(jù)中心的初衷就是提高IT基礎(chǔ)設(shè)施的利用率，提升投資回報(bào)率。然而，在上線之后，隨著業(yè)務(wù)和虛擬機(jī)的增多，防病毒體系成為了云數(shù)據(jù)中心的性能瓶頸，讓投資回報(bào)率降低，有違云計(jì)算的理念?？偨Y(jié)起來，廣東中煙云數(shù)據(jù)中心遇到的性能瓶頸主要有兩個(gè)。

性能瓶頸一：磁盤I/O風(fēng)暴，導(dǎo)致虛擬機(jī)運(yùn)行緩慢。

據(jù)長期監(jiān)控所得到的IT運(yùn)維數(shù)據(jù)分析顯示，一到辦公繁忙的時(shí)間段，部署在云中心的業(yè)務(wù)系統(tǒng)訪問速度會明顯下降。此時(shí)，登錄到云中心管理平臺進(jìn)行檢查，會發(fā)現(xiàn)ESXi主機(jī)的存儲I/O次數(shù)會明顯大幅增加。經(jīng)過虛擬化廠家及云中心運(yùn)維工程師的深入分析，發(fā)現(xiàn)導(dǎo)致云中心出現(xiàn)磁盤I/O風(fēng)暴的源頭就是部署在各個(gè)虛擬機(jī)上的傳統(tǒng)防病毒客戶端。由于傳統(tǒng)防病毒客戶端并不是針對虛擬化環(huán)境設(shè)計(jì)，因此在實(shí)時(shí)病毒掃描時(shí)，會產(chǎn)生大量的磁盤I/O訪問操作。當(dāng)操作超過了ESXi主機(jī)能夠支撐的閾值時(shí)，便會導(dǎo)致磁盤請求大量堆積，進(jìn)而形成磁盤風(fēng)暴，最終導(dǎo)致虛擬機(jī)變得異常緩慢。

性能瓶頸二：防病毒軟件掃描耗時(shí)過長，影響業(yè)務(wù)正常運(yùn)作。

當(dāng)業(yè)務(wù)系統(tǒng)在物理機(jī)環(huán)境運(yùn)行時(shí)，所有計(jì)算資源獨(dú)立，傳統(tǒng)防病毒軟件在執(zhí)行預(yù)設(shè)任務(wù)“全盤掃描”時(shí)，能夠在第二天上班前順利完成，不影響業(yè)務(wù)正常運(yùn)作。但當(dāng)業(yè)務(wù)遷移至云中心時(shí)，物理機(jī)的資源由多個(gè)虛擬機(jī)分享，執(zhí)行全盤掃描時(shí)就會根據(jù)虛擬機(jī)的優(yōu)先級分配資源。這就導(dǎo)致了優(yōu)先級較低的虛擬機(jī)需要花費(fèi)更多的時(shí)間來完成該任務(wù)，影響了用戶第二天的正常使用。

面對以上棘手的難題，李先生認(rèn)為：“現(xiàn)有的傳統(tǒng)防毒軟件，由于它們并不是專為虛擬化環(huán)境設(shè)計(jì)的，如果把其部署在云中心，會對云中心的各種計(jì)算資源帶來巨大的壓力，并影響業(yè)務(wù)的正常運(yùn)行，甚至導(dǎo)致虛擬化環(huán)境崩潰。顯然，傳統(tǒng)的防病毒軟件已經(jīng)不能再適用新環(huán)境下的需求。經(jīng)過多次的討論之后，虛擬化勢在必行。為此，我們需要考慮借助專門在虛擬化平臺上研發(fā)的安全解決方案，來改善遇到的上述安全問題，應(yīng)對日新月異的威脅攻擊。”

應(yīng)用無代理防護(hù)

為了確保云中心發(fā)展的可持續(xù)性，同時(shí)避免病毒對數(shù)據(jù)、應(yīng)用和網(wǎng)絡(luò)帶來威脅，廣東中煙開始廣泛尋找最佳的解決方案。一次偶然的機(jī)會，廣東中煙了解到趨勢科技Deep Security與VMware兼容度極高，它能夠利用VMware發(fā)布的vShield EndPoint安全接口在VMware ESXi平臺上提供“無代理”防護(hù)方案，直接把防護(hù)客戶端部署在虛擬化平臺ESXi上，能夠有效地解決之前遇到的各種問題。經(jīng)過與趨勢科技技術(shù)顧問的深入交流和反復(fù)測試，廣東中煙最終決定使用趨勢科技Deep Security作為其云中心的安全保障，以此推動虛擬化進(jìn)程的建設(shè)。

據(jù)介紹，在實(shí)施階段Deep Security無代理功能相對于傳統(tǒng)防病毒產(chǎn)品表現(xiàn)出優(yōu)異的性能和管理優(yōu)勢，很好的解決了磁盤I/O風(fēng)暴、全盤掃描耗時(shí)過長等虛擬化特有的安全難題。隨著廣東中煙虛擬化應(yīng)用范疇的不斷擴(kuò)展，Deep Security無代理技術(shù)已經(jīng)完全避免了磁盤I/O風(fēng)暴的產(chǎn)生，使得云中心在辦公忙時(shí)的業(yè)務(wù)訪問不再緩慢，充分展示了云中心低成本、高效能、易管理的建設(shè)價(jià)值。

由此，趨勢科技Deep Security完全滿足了廣東中煙的安全防護(hù)需求，并解決了云數(shù)據(jù)中心的性能瓶頸。它讓管理員不必再為性能忐忑不安。對此，李先生表示：“安全是一個(gè)整體，物理機(jī)和虛擬機(jī)都需要防惡意軟件的保護(hù)，但是虛擬化安全解決方案必須專為共享資源環(huán)境設(shè)計(jì)，絕不能因?yàn)榘踩谋M性能。在實(shí)施Deep Security后，我們可以放心地把云技術(shù)延伸至虛擬桌面等創(chuàng)新應(yīng)用中，并對下一階段的云業(yè)務(wù)拓展和大數(shù)據(jù)應(yīng)用前景更有信心?！?