眾所周知,醫(yī)療行業(yè)信息化是提升醫(yī)院生產(chǎn)力的重要手段,而虛擬化更是成為醫(yī)療行業(yè)信息化革命中最具爆發(fā)力的“英雄”,但由于缺少與之配套的安全防護軟件,這讓醫(yī)療行業(yè)的用戶對其安全性心存憂慮。為了應(yīng)對醫(yī)療系統(tǒng)在虛擬化環(huán)境中不斷涌現(xiàn)的安全挑戰(zhàn),大理州人民醫(yī)院攜手全球服務(wù)器安全、虛擬化及“云安全”領(lǐng)導(dǎo)廠商——趨勢科技,通過趨勢科技服務(wù)器深度安全防護系統(tǒng)(Deep Security)的“無代理”安全防護技術(shù)的部署,真正發(fā)揮了VMware虛擬化平臺為醫(yī)院信息化革新帶來的性能與成本優(yōu)勢。
“防毒掃描風(fēng)暴”始料未及 虛擬化不應(yīng)因此受阻
據(jù)了解,大理州人民醫(yī)院作為大理州最早獲評的三甲醫(yī)院,在信息化建設(shè)方面起步較早,先后實施了多個升級改造項目,保持著信息化的創(chuàng)新活力。目前,大理州人民醫(yī)院的網(wǎng)絡(luò)中包含了數(shù)十套大型醫(yī)療業(yè)務(wù)系統(tǒng)以及1000多臺PC和智能終端,信息化系統(tǒng)已經(jīng)成為確保醫(yī)療服務(wù)效率和水平的重要保障。
與此同時,為了響應(yīng)國家“十二五規(guī)劃”所提倡的節(jié)能減排要求,大理州人民醫(yī)院從服務(wù)器能耗及資源整合入手,對自身的醫(yī)療系統(tǒng)基礎(chǔ)架構(gòu)進行了虛擬化的改造,并把部分醫(yī)療系統(tǒng)遷移到虛擬化平臺上。第一階段的遷移工作完成后,服務(wù)器硬件資源使用率得到了極大的提高,但隨著虛擬化應(yīng)用的深入,需要增加更多虛擬主機時,信息中心卻發(fā)現(xiàn)一道始料未及的技術(shù)阻礙。
據(jù)大理州人民醫(yī)院專門負責(zé)安全工作的李先生介紹:最初,我們在虛擬機上部署了傳統(tǒng)客戶端模式的防病毒軟件,作為當時唯一的防毒手段,并沒有發(fā)現(xiàn)異常狀況。但經(jīng)過一段時間的運行,虛擬機數(shù)量增加后,我們發(fā)現(xiàn)虛擬化平臺在業(yè)務(wù)高峰期會出現(xiàn)嚴重的性能問題,而這就是后來深入分析后發(fā)現(xiàn)的防毒風(fēng)暴(AV Storm)。
通過對虛擬化技術(shù)資料的匯總分析,信息中心對防毒風(fēng)暴有了全面的了解。其產(chǎn)生的原因在于,由于傳統(tǒng)防毒軟件并不是專為虛擬化環(huán)境設(shè)計,當所有虛擬機的防毒軟件開啟實時防護時,會對虛擬化平臺的CPU、內(nèi)存和磁盤I/O帶來巨大的壓力,并影響業(yè)務(wù)的正常運行。而當處于業(yè)務(wù)高峰期時,并發(fā)量增大,會導(dǎo)致虛擬化環(huán)境崩潰。
尋找虛擬化安全“盲點” 傳統(tǒng)防毒技術(shù)難以勝任
在綠色IT大潮下的虛擬化為醫(yī)療信息化帶來的極大的成本和效率優(yōu)勢,但虛擬化進程中的新威脅和新挑戰(zhàn)卻需要及時發(fā)現(xiàn)和解決。除了防毒風(fēng)暴之外,信息中心還發(fā)現(xiàn)了更多傳統(tǒng)防護系統(tǒng)無法與虛擬化相適應(yīng)的監(jiān)控“盲點”。
對此,李先生表示:我們還發(fā)現(xiàn)網(wǎng)絡(luò)設(shè)備和主機之間不再涇渭分明,傳統(tǒng)網(wǎng)絡(luò)安全設(shè)備(如防火墻、IPS)無法監(jiān)測到虛擬網(wǎng)絡(luò)內(nèi)部的數(shù)據(jù)流,在虛擬網(wǎng)絡(luò)產(chǎn)生了風(fēng)險“盲點”。另外,由于需要保障醫(yī)療信息化系統(tǒng)(如HIS、LIS等)不間斷運行,我們使用虛擬化特有的動態(tài)資源分配技術(shù)(DRS),一旦vCenter發(fā)現(xiàn)某個主機計算資源不足時,能夠動態(tài)把虛擬機遷移到其他主機上,保障業(yè)務(wù)不間斷運行。這種虛擬機漂移的技術(shù),雖然能夠保障業(yè)務(wù)不間斷運行,但管理員卻沒法掌握漂移后的虛擬機是否具備最新組件的防護,增加了安全監(jiān)控的難度。
顯然,傳統(tǒng)的防病毒軟件已經(jīng)不再適用大理州人民醫(yī)院的需求,嚴重阻礙了虛擬化進程的推進,但經(jīng)過多次的討論之后,綜合考慮虛擬化的優(yōu)勢、劣勢,虛擬化建設(shè)仍然勢在必行。為此,大理州人民醫(yī)院需要考慮借助專門在虛擬化平臺上研發(fā)的安全解決方案,來改善醫(yī)院遇到的虛擬化安全問題,使虛擬化技術(shù)得以在大理州人民醫(yī)院推廣。
開創(chuàng)“無代理”防護新紀元 實地測試獲用戶認可
大理州人民醫(yī)院開始廣泛尋找最佳的解決方案,而在VMware官網(wǎng)上了解到的信息則為突破技術(shù)阻礙帶來的新機會。這些信息包括VMware為了幫助用戶節(jié)省系統(tǒng)資源、最大限度發(fā)揮性能價值,推出的“VMsafe”、“VMware vShield Endpoint”等API,以及目前業(yè)界與VMware兼容度最佳的安全產(chǎn)品——趨勢科技Deep Security。
趨勢科技Deep Security能夠利用VMware發(fā)布的VMware vShield EndPoint安全接口或在最新的NSX架構(gòu)上,為VMware ESXi平臺上提供無代理防護方案。通過直接在ESXi上部署專用安全虛擬機(DSVA),能夠有效地解決了用戶之前遇到的各種問題。經(jīng)過與趨勢科技技術(shù)顧問的深入交流后,大理州人民醫(yī)院最終決定使用趨勢科技Deep Security作為其虛擬化平臺的安全保障,以推動虛擬化的建設(shè)進程。
【趨勢科技Deep Security有效解決了“AV Storm”及“虛擬網(wǎng)絡(luò)內(nèi)部攻擊”等虛擬化環(huán)境的安全問題】
為了驗證趨勢科技Deep Security的技術(shù)可行性,大理州人民醫(yī)院邀請趨勢科技對虛擬化平臺安全防護方案進行實地測試。而趨勢科技也緊緊抓住了這個機會,利用特有的無代理防毒技術(shù)有效解決了防毒風(fēng)暴及虛擬網(wǎng)絡(luò)內(nèi)部攻擊等虛擬化環(huán)境的安全問題。其中包括:
n 通過Deep Security的無代理殺毒技術(shù),有效解決了ESXi環(huán)境下的防毒風(fēng)暴問題,實際的測試結(jié)果表明,采用趨勢的Deep Security進行殺毒時所占資源,只是傳統(tǒng)方案的10%;
n 通過Deep Security的無代理防毒技術(shù),能夠在ESXi底層即可對虛擬化環(huán)境的病毒進行查殺,解決了傳統(tǒng)方案不能監(jiān)測虛擬網(wǎng)絡(luò)內(nèi)部風(fēng)險的致命問題。
安全防護難題得以解決 醫(yī)療系統(tǒng)虛擬化改造隨即加速
現(xiàn)在,在大理州人民醫(yī)院的業(yè)務(wù)高峰期,傳統(tǒng)防毒軟件導(dǎo)致的業(yè)務(wù)訪問緩慢現(xiàn)象已經(jīng)完全消失,一線的醫(yī)生和業(yè)務(wù)人員對業(yè)務(wù)系統(tǒng)的應(yīng)用滿意度大幅提升,這讓希望虛擬化在全院推廣的信息中心信心倍增。
李先生表示:“趨勢科技Deep Security是目前少數(shù)能夠支持虛擬機無代理防護技術(shù)的產(chǎn)品之一,在測試過程中,我們發(fā)現(xiàn)Deep Security與虛擬化平臺的整合度是各個產(chǎn)品中最好的。在實施Deep Security后,我們在虛擬化建設(shè)時遇到的包括防毒風(fēng)暴和虛擬網(wǎng)絡(luò)內(nèi)部攻擊等諸多安全問題得到了解決,讓我們更加安心地把重要的業(yè)務(wù)系統(tǒng)遷移至虛擬化平臺,極大地加速了我院醫(yī)療系統(tǒng)虛擬化改造的進程。”