湖南教育考试院用山石云•格保护虚机安全

湖南教育考试院用山石云·格保护虚机安全

价值

云内安全域动态创建、调整
为虚机提供2-7层全面安全防护
虚机间通信、应用、威胁可视
精细化阻断云内向外攻击
安全防护充分利用通用硬件计算资源，提升系统高可用

概要

湖南省教育考试院的部分应用系统在私有云上运行，采用山石云·格微隔离和可视化产品，实现安全防护弹性扩展、业务连续性和精细化虚机级安全防护，弥补原有硬件防火墙在云环境防护的不足。

需求分析

湖南省教育考试院承担了湖南省内高中、高等教育、研究生、成人教育、自学、大量面向社会的非学历证书、中外合作教育的招生、考试工作。为了更及时的响应新需求，服务社会，同时节省宝贵的机房空间、充分利用计算资源，湖南省教育考试院很早就采用了VMware的服务器虚拟化产品，构建了私有云环境，将部分非**和对I/O需求少的应用系统迁移到虚拟化平台上，为外部公众、兄弟单位和内部提供支撑。

湖南省教育考试院在建设私有云之初，就把安全放在了非常重要的地位考虑。在之前的虚拟化计算资源池中，采用了硬件防火墙加VLAN的方式进行了安全域之间的隔离和互访控制。某知名厂家的硬件防火墙作为虚拟化计算资源池的边界防护，同时在硬件防火墙上启用了虚拟防火墙功能，每个应用系统由一个虚拟防火墙做边界防护。除了防火墙，其他的网络安全设备、堡垒机等产品手段也不断完善中。

使用过程中，湖南教育考试院发现硬件防火墙的方案在云计算环境中已经难以适应，突出表现在以下几点。首先是弹性不足，扩展性不好。采用硬件防火墙的方式，每上线一个应用系统，都需要去增加虚拟防火墙的配置，相对繁琐。同时硬件防火墙的处理能力是有局限的，使用中发现启用的虚拟防火墙数量过多后，也会带来一些问题。其次是无法做到计算资源共享，例如硬件防火墙采用专用硬件，如果设备出现故障需要返厂维修的时候，则只能从HA变成单一硬件防护，无法共享相对充裕的服务器硬件资源。再有就是在云环境中，硬件防火墙防护颗粒太大，在出现云计算资源池内部，比如安全域内、VLAN内攻击，由内部向外部攻击时，防护起来、定位起来难。

湖南省教育考试院正在扩建新的云计算资源池，他们希望采用新的产品技术，做好安全防护，摸索一条真正适应云环境的全面网络安全防护方法。

解决方案

湖南教育考试院选择了山石云·格产品来提供云环境的安全防护，在已有的网络划分基础上，部署了山石云·格产品，配合外部硬件防火墙、堡垒机为虚拟化环境提供全面防护。

山石云·格是软件形态的网络安全产品，是符合云计算安全潮流的VNF（网络功能虚拟化）类产品。安全防护可以充分利用云计算资源池的通用物理服务器硬件，实现了计算资源的分享和利用。同时也可以随着物理计算节点的增加，实现动态的扩展，满足云计算对安全防护弹性的需求。由于共享服务器的计算资源，不会出现专有硬件平台损害导致防护能力减弱的窘境，提升了整体的业务持续性。

山石云·格为虚机和云计算环境提供了全面的防护：