难题一：传统安全域技术支撑无力

　　据了解，广东电信作为中国电信集团公司全国最大的省级公司，是最早按照集团技术规范要求进行统一虚拟化资源池建设的公司之一。目前业务网资源池已具备三个机房，共配置3个VMware云计算数据中心共5个计算集群，2000台虚拟机，计划未来3年内扩展到20000台虚拟机。但在统一资源池建设初期，IT运维管理部门就发现一个必须要解决的安全问题。

　　据广东电信IT运维管理部门的梁先生介绍，由于传统IDC环境采用边界分离、安全隔离的方式，可以建立安全域进行安全加固。而统一资源池使用了大量的虚拟化技术，虚拟网络层的交互数据直接在VMware ESXi主机内部完成。这种现象直接导致了原来部署的传统安全产品(如IPS、IDS等)，无法实时监控到虚拟网络内部的潜在威胁，为全局应用下的安全运行带来了极大的风险。而由于缺少专门针对虚拟化防毒和消除威胁的配套方案，这已经影响了统一资源池项目在广东电信乃至整个集团内部的推进步伐。

　　难题二：防毒扫描风暴致使ROI未达预期

　　广东电信数据中心利用VMware虚拟化技术建立统一的资源池，可以实现资源与项目分离，推进业务平台集中部署、集约运营，逐步实现资源整合。然而，原有服务器设备在迁移至云资源池后，其上部署的传统防毒防病毒方案(需要安装代理客户端)将产生“防毒扫描风暴(AV Storms)”。这是因为，传统防病毒方案与虚拟化底层兼容性极低，当虚拟机均采用这些技术时，会造成抢占CPU、内存、存储I/O和网络拥堵的现象，直接造成业务访问延迟或超时。对于这种情况，运营商只能通过降低虚拟化密度或卸载防病毒软件解决，不管采用哪种方案，对资源池的ROI及安全都带来负面的影响，致使预期收益不达标。

 

　　【传统防毒系统在虚拟化环境中产生“防毒扫描风暴(AV Storms)”】