总24期
Technology    技术前沿
Technology    技术前沿
虚拟化安全之无代理杀毒方案
文/张志波

当今,在数字化转型的驱动下,用户对虚拟化和云计算平台的需求呈现爆发趋势。其实虚拟化技术是一把双刃剑,它具有更高效率地利用计算、存储资源等优势,但这些优势都依赖于虚拟化系统资源高度集中的特性,在安全方面如果控制得好,就是安全统一管控,如果管理不好,则意味着更大的风险,因此在安全方面,挑战和机遇并存。

一般来说,传统安全方案中,每个服务器都需要安装防病毒软件,实时防御潜在的病毒入侵。这些业务迁移到虚拟化环境中后,相应的每台虚拟机上也需安装防病毒软件,即有代理模式,此时传统防病毒方案的“不适应性”就开始凸显。

传统防病毒代理模式的难题

1.杀毒风暴

当物理服务器上的众多虚拟机同时更新病毒特征库或按需全盘扫描时,可能导致物理服务器性能消耗激增,CPU、内存和磁盘I/O可能出现拥堵,造成虚拟机无法正常提供服务。

2.维护复杂

传统防病毒方案中,每台虚拟机的防病毒软件都需要单独安装升级、独立查毒,部署运维成本较高。且需要对每台虚机单独执行防病毒策略、安全加固与补丁管理等工作,消耗了大量的人力资源,因此传统防病毒软件对虚拟机的灵活性造成了极大影响。

3.存在防护间歇

由于虚拟机处于休眠、关闭或开启等不同状态时,安全策略不统一,导致了防护间歇问题。如某台一直处于关闭状态的虚拟机在业务需要时会自动启动,但在这台虚拟机启动时,其包括防病毒在内的所有安全状态较其他一直在线运行的虚拟机处于滞后和脱节的状态,因此会引入额外的风险。

上述引发的问题如果采用传统手段只能通过降低虚拟化密度或卸载防病毒软件解决,不管采用哪种方案,对数据中心的ROI及安全都会有负面的影响,致使利用率不达标。那怎样才能既达到安全防护的目的,又节约IT资源,又能保证虚拟化平台安全运转?

无代理模式破解难题

无代理模式的出现很好地解决了这些难题。无代理模式无需在每个虚拟机上安装agent。其防护功能由虚拟化宿主机上的一个进程实现。该方案通过病毒防护、访问控制、入侵检测/入侵防护、虚拟补丁等功能,实现宿主机和虚拟机的全面防护,从而构建虚拟化平台的全方位综合防护,并满足信息系统合规性审计要求。

虚拟化环境中无代理安全防护示意图

不过,阻碍无代理安全实现的一个现实困难是:不同厂商在虚拟化实现技术、存储架构、虚拟交换机之间的隔离等方面仍然存在很大差异。因此,安全厂商需要跟不同虚拟化厂商合作,针对不同虚拟化厂商和平台架构、开放接口进行差异化的开发,因此,无代理安全模式需要与虚拟化系统密切结合在一起,才能真正为虚拟化用户带来效率和资源利用率的同时提升安全体验。

针对这一核心痛点,紫光股份旗下新华三集团联手亚信安全共同推出虚拟化安全套件。作为双方合作的核心成果,亚信安全Deep Security深度安全防护系统经过深入的对接开发及验证测试,成为H3C CAS虚拟化软件Hypervisor层的标准化安全模块,通过病毒防护、访问控制、入侵检测/入侵防护、虚拟补丁等功能,实现宿主机和虚拟机的全面防护,从而构建CAS虚拟化平台的全方位综合防护,并满足信息系统合规性审计要求。

具体来说,Deep Security for CAS无代理安全防护解决方案具有以下几个优势:

1. 无代理杀毒

Deep Security for CAS无代理安全防护解决方案深度对接了CAS的网络安全技术接口,CAS虚拟化平台上的Linux、windows等所有虚拟机无需安装任何软件,也无需再安装单独的安全虚拟机,只需要在每台宿主机底层Hypervisor上安装一次杀毒引擎就能对虚拟机的病毒、间谍软件、木马等威胁进行查杀。

2. 资源消耗少

底层查杀的方式降低了虚拟机并发全盘扫描及病毒库更新时产生的大量资源消耗,资源的消耗并不随着虚拟机密度的增加而增大,因此能够较大化利用计算资源,避免杀毒风暴,同时底层查杀的方式极大增加了查杀的效率,对Hypervisor本身的安全也起到了安全防护的效果。

3. 无防护间隙

不论是休眠或是关闭状态的虚机,一旦启动进入到资源池,安全防护能力便能自动加载。用户在新增虚拟机时,也无需再次部署安全解决方案,这不仅解决了资源池中虚拟机安全策略不统一导致的防护间歇问题,同时也大大降低了人员的管理成本。

4. 宿主机防护

针对CVK内核定制开发宿主机安全程序及防病毒策略,提供对CVK宿主机的病毒防护,无须改变网络架构即可做到虚拟机与宿主机的同时防护。

5. DPI深度检测

支持IDS/IPS、应用程序防护、应用程序控制等攻击防护和虚拟补丁功能。保护虚拟机免遭已知和零时差漏洞攻击、SQL 注入攻击、跨站点脚本攻击和其他 Web 应用程序漏洞利用。在应用程序或操作系统中发现新漏洞后,补丁程序可能尚不可用。虚拟补丁规则可保护虚拟机,丢弃尝试利用漏洞的流量。

6. 高安全防火墙

亚信安全Deep Security在 CVK可以对虚拟交换机进行设置,允许交换机或端口组运行在“混杂模式”,这时虚拟的IDS传感器能够感知在同一虚拟段上的网络流量。Deep Security除提供传统IDS/IPS系统功能外,还提供虚拟环境中基于政策的(policy-based)监控和分析工具。使Deep Security更精确的流量监控、分析和访问控制、分析网络行为,为虚拟网络提供更高的安全性。

结束语

Deep Security for CAS无代理安全防护解决方创新采用安全防护引擎与Hypervisor无缝集成的方式,提供了一种更轻松、更易于管理的虚拟机安全防护方法,极大提高了资源利用率,使虚拟机密度远高于传统安全解决方案,在为虚拟化提供安全防护的同时,加快虚拟化和云的部署速度,是虚拟化和安全的一次成功的亲密接触,为各行各业的客户提供了全方位的网络安全方案和服务。

分享到
关闭