亚信安全助力中科院虚拟化安全管理 为Citrix云桌面提供“无代理”安全加速

客户需求：解决Citrix虚拟化桌面安装防毒软件之后产生的性能损耗，实现统一的防病毒管理，确保防毒代码和补丁集中升级时不影响用户体验，为后期项目提供安全、可靠、易管的虚拟化平台。

解决方案：以亚信安全服务器深度安全防护系统（Deep Security）为方案核心，全面兼容Citrix虚拟化平台，通过“无代理”部署特性避免了防毒风暴（AV Storm）的产生，大幅提升虚拟机密度。同时，利用虚拟补丁等等创新技术，为云桌面提供360度的安全防护屏障。

效果/客户证言：Deep Security具有多项领先的虚拟化安全技术，不仅可以对Citrix平台上各类操作系统、应用程序和数据进行防护，还可以保护处于运行状态和休眠状态的虚拟机，让我们在应对“永恒之蓝”等勒索软件攻击中从容有序地完成主机加固工作。对于整个项目而言，其大价值在于提升虚拟化投资收益率，完全达到了预期的虚机密度，服务器硬件投入也比“有代理”方式节省了80%.

——中科院机关信息化主管领导

近年来，虚拟化桌面正在逐步取代PC，成为办公环境中的主流配置，但同时产生的虚拟化防毒问题，却对用户的数据资产构成了严重的威胁。有鉴于此，中国科学院院部机关在大规模应用Citrix XenDesktop桌面虚拟化技术之后，随即部署亚信安全服务器深度安全防护系统（Deep Security），充分发挥其深入虚拟化底层核心的“无代理”病毒查杀机制，有效避免了防毒扫描风暴（AV Storms）产生的性能瓶颈，打造出便捷、高效、安全的办公环境。

防毒后云桌面缓慢异常，“谁”之过？

中国科学院学部成立于1955年，是国家在科学技术方面的高咨询机构。在加强与各领域科技创新合作的同时，学部发挥自身基础和技术优势，持续推动信息化应用建设，为各项科研工作提供了高可靠的信息化基础设施。

2016年底，中科院院部机关对所有办公终端进行一次细致的资产盘查，并且重新梳理了终端用户的应用需求。资产盘点后发现，用户终端设备半数以上为2009年以前采购，使用期已经超过6年，由于配置低、使用年限长，设备运行速度缓慢，从性能和安全性方面均无法满足信息化应用需要。为此，院机关决定建设应用效率更高、管理更便捷的云桌面系统。经过评审招标，院机关最终部署了Citrix 虚拟化桌面平台，提升了机关办公用户终端信息系统应用能力，解决了终端资源不足、操作系统和浏览器版本差异化造成的应用限制问题。但是，由于缺少与之匹配的虚拟化防毒软件，云桌面的性能、效率、便捷等优势并没有完全发挥出来。

院部相关技术负责人表示：“在前期规划中，我们希望实现‘1：40’或是更高的虚机密度，但将原有的防毒软件迁移过来之后却发现，如果在每一个映像中安装传统的防毒软件，在终端同时进行病毒扫描时，服务器CPU、内存、磁盘等都会产生极高的负载，用户终端应用异常缓慢。此外，‘休眠’状态下的虚机也不在传统防毒软件的管理范围，这些系统在启动时，会集中更新防毒病毒代码和补丁，由此产生的高额流量很容易造成网络拥堵。为了解决以上问题，我们必须寻找一种全面兼容Citrix平台的安全方案，为云桌面提供极致体验，确保未来两年内实现所有桌面终端虚拟化的目标。”

完美兼容Citrix，“无代理”避免防毒风暴

通过对市场中主流虚拟化安全产品的充分调研，中国科学院学部发现，亚信安全服务器深度安全防护系统（Deep Security）能够全面支持VMware、Citrix、Amazon AWS、Microsoft Hyper-V等虚拟化平台，其“无代理”部署特性能够与Citrix完美兼容，从而避免产生防毒风暴（AV Storm），大幅提升虚拟机密度。

院部网络安全工程师对测试Deep Security的效果十分满意，他表示：“无代理防护的方案可以把繁琐的问题简化，它不需要在每个虚拟桌面内部署防护客户端，而是在虚拟化服务器底层实现，然后Citrix平台通过底层接口调用，完成上层虚机的统一安全防护。有效避免了传统的安全防护方式中客户端争夺服务器资源的问题，即使在云桌面的虚化比达到1：50的情况下，也能保证终端用户流畅的工作。”

在通过严格测试之后，中科院机关正式部署Deep Security，为所有Citrix云桌面实现了全方位的安全防护。在病毒防护基础上，Deep Security还提供了防火墙、IDS/IPS、Web应用程序防护，以及完整性监控和安全日志报表等功能。同时，中科院还通过Deep Security提供的虚拟补丁（Virtual Patch）功能，为桌面系统建成了统一的补丁部署架构，对于最新发现的威胁漏洞，Deep Security能够在第一时间提供修补程序，在无需重新启动系统的前提下，即可在数分钟内将这些规则应用到所有虚拟桌面上。

从容应对勒索软件，确保云桌面投资收益

Deep Security不仅有助于完全释放服务器性能压力，还具有多项领先的虚拟化安全技术，在勒索软件攻击等网络安全事件中发挥出了巨大的防护效果。对此，中科院机关的IT团队对于其给予了高度评价。

信息技术部主管表示：“Deep Security不仅可以对Citrix平台上各类操作系统、应用程序和数据进行防护，还可以保护处于运行状态和休眠状态的虚拟机，让我们在应对‘永恒之蓝’等勒索软件攻击中从容有序的完成了主机加固工作。对于整个项目而言，其大价值在于提升虚拟化投资收益率，完全达到了预期的虚机密度，服务器硬件投入也比‘有代理’方式节省了80%.”