為了應對服務器在虛擬化環境中不斷涌現的安全挑戰，在統一資源池建設后積極拓展云計算業務，廣東省電信公司(以下簡稱：廣東電信)攜手趨勢科技，通過支持最新“多租戶”安全管理的趨勢科技服務器深度安全防護系統(Deep Security)，以及獨有的“無代理”防毒技術部署，完成了安全可信的業務網統一資源池建設，真正發揮了VMware ESX平臺虛擬化性能與成本優勢。

難題一：傳統安全域技術支撐無力

據了解，廣東電信作為中國電信集團公司全國最大的省級公司，是最早按照集團技術規范要求進行統一虛擬化資源池建設的公司之一。目前業務網資源池已具備三個機房，共配置3個VMware云計算數據中心共5個計算集群，2000臺虛擬機，計劃未來3年內擴展到20000臺虛擬機。但在統一資源池建設初期，IT運維管理部門就發現一個必須要解決的安全問題。

據廣東電信IT運維管理部門的梁先生介紹，由于傳統IDC環境采用邊界分離、安全隔離的方式，可以建立安全域進行安全加固。而統一資源池使用了大量的虛擬化技術，虛擬網絡層的交互數據直接在VMware ESXi主機內部完成。這種現象直接導致了原來部署的傳統安全產品(如IPS、IDS等)，無法實時監控到虛擬網絡內部的潛在威脅，為全局應用下的安全運行帶來了極大的風險。而由于缺少專門針對虛擬化防毒和消除威脅的配套方案，這已經影響了統一資源池項目在廣東電信乃至整個集團內部的推進步伐。

難題二：防毒掃描風暴致使ROI未達預期

廣東電信數據中心利用VMware虛擬化技術建立統一的資源池，可以實現資源與項目分離，推進業務平臺集中部署、集約運營，逐步實現資源整合。然而，原有服務器設備在遷移至云資源池后，其上部署的傳統防毒防病毒方案(需要安裝代理客戶端)將產生“防毒掃描風暴(AV Storms)”。這是因為，傳統防病毒方案與虛擬化底層兼容性極低，當虛擬機均采用這些技術時，會造成搶占CPU、內存、存儲I/O和網絡擁堵的現象，直接造成業務訪問延遲或超時。對于這種情況，運營商只能通過降低虛擬化密度或卸載防病毒軟件解決，不管采用哪種方案，對資源池的ROI及安全都帶來負面的影響，致使預期收益不達標。

【傳統防毒系統在虛擬化環境中產生“防毒掃描風暴(AV Storms)”】

難題三：多用戶管理不能“水中望月”

在數據中心未升級至虛擬化架構之前，各個業務部門的系統均擁有獨立的運行環境，邊界清晰，因而可以擁有獨立自主的安全管理模式及系統，互不干擾。但當多個部門的系統均納入統一資源池中運行時，各個業務系統之間的邊界變得模糊，傳統安全方案無法支持各部門安全事務獨立管理的模式，打亂了原有沿用多年的管理模式，極大的阻礙了統一資源池的推進。同時，由于未來統一資源池的規模會迅速擴張，如果把全省所有業務部門的安全事務集中交付給運維部門進行管理，必然會超出IT運維管理的承受極限。

【虛擬化資源池中存在的集中安全管理和授權問題】

因此，廣東電信用戶迫切希望安全方案能夠參考VMware的軟件定義數據中心(vCloud SDDC)方案，將數據中心安全策略成功擴展到云端，在安全管理上實現“多租戶”管理。

“無代理”防護獲認可 “多租戶”承載云計算未來

為了確保公司的業務順利遷移至資源池，廣東電信開始廣泛尋找最佳的解決方案。廣東電信對多家廠商的虛擬化安全防護產品進行了全面評估及測試，但發現這些廠家的方案均是傳統的、基于操作系統的解決方案，不能全面解決之前遇到的各種問題。而在一次與趨勢科技的技術交流中得知，有別于其他傳統的安全解決方案，趨勢科技Deep Security 9能夠在VMWare ESXi平臺下提供目前最新的無代理防護方案，直接把防護系統部署在ESXi虛擬化平臺底層，可以有效地解決之前遇到的各種問題。

【趨勢科技Deep Security有效解決了“安全管理多租戶”等一系列虛擬化環境的安全問題】

為了驗證趨勢科技Deep Security 9的技術可行性，廣東電信邀請趨勢科技參與了虛擬化平臺安全防護方案的測試。趨勢科技也緊緊抓住了這個機會，利用以VMware vShield Endpoint及VMSAFE兩套安全API為基礎的虛擬化底層防護技術，有效解決了“安全管理多租戶”等一系列虛擬化環境的安全問題。經過深入細致的測試，用戶從以下幾方面了對趨勢科技Deep Security無代理功能得到了充分認可，其中包括：

Ø 通過Deep Security的虛擬化底層防護技術，有效解決了ESXi環境下定時全盤殺毒的防毒掃描風暴問題，使統一資源池虛擬化密度提升2.5倍。

Ø 通過 Deep Security 9的多租戶技術，有效解決了多業務部門安全管理分權的難題，加快了統一資源池推廣進程。

Ø 通過Deep Security的虛擬化底層訪問控制技術，有效解決了虛擬層無法劃分安全域的難題，并使統一資源池的安全合規性可以符合集團的安全規范。

資源池安全管理“三大難題”已解 云端業務蓄勢待發

目前，廣東電信還處在統一資源池建設的嘗試階段，一旦突破技術和管理上的難關，虛擬服務器數量將會呈爆炸式增長趨勢，更多的業務、更多的應用將直接匯聚于統一資源池中。而最新的Deep Security 9可以提供更完整的入侵防護和性能監控程序，并在一個無需安裝代理程序的高性能平臺上實現了動態的虛擬補丁功能，它大幅降低了數據中心和私有云環境的運維負荷。

廣東電信在充分驗證了趨勢科技Deep Security的先進技術后，最終確定在現有虛擬化平臺上全面部署了Deep Security無代理防護解決方案。廣東電信的梁先生表示：“使用趨勢科技專門對虛擬化安全環境開發的Deep Security，并利用其獨有的‘無代理’和‘多租戶’安全防護方案，能夠有效解決統一資源池安全管理上的三大難題，掃除了阻礙統一資源池發展的安全障礙，為廣東電信統一資源池建設提供了有力的保障和強大的支持!”