相较前些年，近年来云计算开始在我国各个行业落地，诸多企业开始更广泛地使用虚拟化技术，来实现数据中心的云化。然而，在企业数据中心迈向云端的同时，更多的安全威胁和传统安全防护体系力不从心，成为令企业信息化管理者头疼的问题。近日，记者了解到了广东中烟工业有限责任公司（下文简称广东中烟）在数据中心云化后采用的安全防护解决方案，为相关企业提供借鉴。
　　广东中烟成立于2003年，负责广东卷烟工业的生产经营和管理，下设广州卷烟二厂、梅州卷烟厂、韶关卷烟厂、湛江卷烟厂，共有5000多名员工。作为国内信息化建设领先的省级烟草工业公司，广东中烟早在2012年底就利用虚拟化技术向内部业务部门提供了云计算应用平台。然而，各项应用上线运行一年之后，云数据中心系统管理中的两大性能问题越来越突出，严重阻碍了广东中烟信息化应用对业务的支撑。
　　性能瓶颈的源头
　　据广东中烟工程师李先生介绍，公司采用VMware的解决方案建设云数据中心的初衷就是提高IT基础设施的利用率，提升投资回报率。然而，在上线之后，随着业务和虚拟机的增多，防病毒体系成为了云数据中心的性能瓶颈，让投资回报率降低，有违云计算的理念。总结起来，广东中烟云数据中心遇到的性能瓶颈主要有两个。
　　性能瓶颈一：磁盘I/O风暴，导致虚拟机运行缓慢。
　　据长期监控所得到的IT运维数据分析显示，一到办公繁忙的时间段，部署在云中心的业务系统访问速度会明显下降。此时，登录到云中心管理平台进行检查，会发现ESXi主机的存储I/O次数会明显大幅增加。经过虚拟化厂家及云中心运维工程师的深入分析，发现导致云中心出现磁盘I/O风暴的源头就是部署在各个虚拟机上的传统防病毒客户端。由于传统防病毒客户端并不是针对虚拟化环境设计，因此在实时病毒扫描时，会产生大量的磁盘I/O访问操作。当操作超过了ESXi主机能够支撑的阈值时，便会导致磁盘请求大量堆积，进而形成磁盘风暴，最终导致虚拟机变得异常缓慢。
　　性能瓶颈二：防病毒软件扫描耗时过长，影响业务正常运作。
　　当业务系统在物理机环境运行时，所有计算资源独立，传统防病毒软件在执行预设任务“全盘扫描”时，能够在第二天上班前顺利完成，不影响业务正常运作。但当业务迁移至云中心时，物理机的资源由多个虚拟机分享，执行全盘扫描时就会根据虚拟机的优先级分配资源。这就导致了优先级较低的虚拟机需要花费更多的时间来完成该任务，影响了用户第二天的正常使用。
　　面对以上棘手的难题，李先生认为：“现有的传统防毒软件，由于它们并不是专为虚拟化环境设计的，如果把其部署在云中心，会对云中心的各种计算资源带来巨大的压力，并影响业务的正常运行，甚至导致虚拟化环境崩溃。显然，传统的防病毒软件已经不能再适用新环境下的需求。经过多次的讨论之后，虚拟化势在必行。为此，我们需要考虑借助专门在虚拟化平台上研发的安全解决方案，来改善遇到的上述安全问题，应对日新月异的威胁攻击。”
　　应用无代理防护
　　为了确保云中心发展的可持续性，同时避免病毒对数据、应用和网络带来威胁，广东中烟开始广泛寻找最佳的解决方案。一次偶然的机会，广东中烟了解到趋势科技Deep Security与VMware兼容度极高，它能够利用VMware发布的vShield EndPoint安全接口在VMware ESXi平台上提供“无代理”防护方案，直接把防护客户端部署在虚拟化平台ESXi上，能够有效地解决之前遇到的各种问题。经过与趋势科技技术顾问的深入交流和反复测试，广东中烟最终决定使用趋势科技Deep Security作为其云中心的安全保障，以此推动虚拟化进程的建设。
　　据介绍，在实施阶段Deep Security无代理功能相对于传统防病毒产品表现出优异的性能和管理优势，很好的解决了磁盘I/O风暴、全盘扫描耗时过长等虚拟化特有的安全难题。随着广东中烟虚拟化应用范畴的不断扩展，Deep Security无代理技术已经完全避免了磁盘I/O风暴的产生，使得云中心在办公忙时的业务访问不再缓慢，充分展示了云中心低成本、高效能、易管理的建设价值。
　　由此，趋势科技Deep Security完全满足了广东中烟的安全防护需求，并解决了云数据中心的性能瓶颈。它让管理员不必再为性能忐忑不安。对此，李先生表示：“安全是一个整体，物理机和虚拟机都需要防恶意软件的保护，但是虚拟化安全解决方案必须专为共享资源环境设计，绝不能因为安全而耗尽性能。在实施Deep Security后，我们可以放心地把云技术延伸至虚拟桌面等创新应用中，并对下一阶段的云业务拓展和大数据应用前景更有信心。”