无代理防毒:虚拟化与安全的深度融合

2017 年 4 月 1 日3180

当今,用户对虚拟化和云计算平台的需求正在呈现爆发趋势。然而,虚拟化技术其实是一把双刃剑,它具有更高效率地利用计算、存储资源等优势,但这些优势都依赖于虚拟化系统资源高度集中的特性,但集中意味着更大的风险,在安全方面,挑战尤其严重。

资源集中的虚拟化环境和传统物理环境安装部署安全系统有着本质的区别,在传统物理环境的防病毒解决方案中,往往需要给每个物理服务器安装防病毒软件,以实时防御可能的病毒入侵。而当这些业务被迁移到虚拟化环境中后,传统的安全防护方案需要在每台虚拟机上安装防病毒软件,即有代理模式,传统防病毒方案的“不适应性”开始凸显。

传统安全防护对虚拟化环境水土不服


难题一:管理复杂

传统防病毒方案中,每台虚拟机的防病毒软件都需要单独安装、分别升级、逐个查毒,部署成本较高。同时管理员还需要对每台虚机单独执行防病毒策略、安全加固与补丁管理等工作,消耗了大量的人力资源,因此虚拟机的灵活性由于传统防病毒软件的限制受到了很大的影响。

难题二:杀毒风暴引发宕机风险

同一个物理服务器上的多个虚拟机同时按需全盘扫描或更新病毒特征库时,便会触发所有虚拟机同时执行排程,从而导致对物理主机性能需求出现瞬间激增,引发杀毒风暴,造成CPU、内存、存储I/O 和网络拥堵,造成业务访问延迟或超时,严重时可能导致服务器宕机。

难题三:存在防护间歇

虚拟机处于休眠、关闭或开启等不同状态,虚拟机的安全策略不统一,导致防护间歇问题。如某台一直处于关闭状态的虚拟机在业务需要时会自动启动,但在这台虚拟机启动时,其包括防病毒在内的所有安全状态较其他一直在线运行的虚拟机处于滞后和脱节的地位,因此会引入额外的风险。

新华三联手亚信安全提供高效解决之道


上述引发的问题如果采用传统手段只能通过降低虚拟化密度或卸载防病毒软件解决,不管采用哪种方案,对资源池的ROI 及安全都带来负面的影响,致使预期收益不达标。那怎样才能既达到安全防护的目的,又节约IT资源,从而保证虚拟化平台运转无虞呢?

答案是采用无代理安全部署模式。所谓无代理模式,即虚拟机无需安装任何客户端或者软件,就可以利用一个安全虚拟设备为所有虚拟机进行杀毒处理。不过,阻碍无代理安全实现的一个现实困难是:不同厂商在虚拟化实现技术、存储架构、虚拟交换机之间的隔离等方面仍然存在很大差异。因此,安全厂商需要跟不同虚拟化厂商合作,针对不同虚拟化厂商和平台架构、开放接口进行差异化的开发,因此,无代理安全模式需要与虚拟化系统密切结合在一起,才能真正为虚拟化用户带来效率和资源利用率的同时提升安全体验。

针对用户的这一核心痛点,新华三联手亚信安全共同推出了虚拟化安全套件。作为双方合作的核心成果,亚信安全Deep Security深度安全防护系统经过深入的对接开发及验证测试,成为H3Cloud CAS虚拟化软件Hypervisor层的标准化安全模块,通过病毒防护、访问控制、入侵检测/入侵防护、虚拟补丁等功能,实现宿主机和虚拟机的全面防护,从而构建CAS虚拟化平台的全方位综合防护,并满足信息系统合规性审计要求。

具体来说,Deep Security for CAS无代理安全防护解决方案具有以下三个优势:

首先, Deep Security for CAS无代理安全防护解决方案深度对接了CAS的网络安全技术接口,CAS虚拟化平台上的所有虚拟机无需安装任何软件,也无需再安装单独的安全虚拟机,只需要在每台宿主机底层Hypervisor上安装一次杀毒引擎就能对虚拟机的病毒、间谍软件、木马等威胁进行查杀。

其次,底层查杀的方式降低了虚拟机并发全盘扫描及病毒库更新时产生的大量资源消耗,资源的消耗并不随着虚拟机密度的增加而增大,因此能够最大化利用计算资源,避免杀毒风暴,同时底层查杀的方式极大增加了查杀的效率,对Hypervisor本身的安全也起到了安全防护的效果。

第三 ,不论是休眠或是关闭状态的虚机,一旦启动进入到资源池,安全防护能力便能自动加载。用户在新增虚拟机时,也无需再次部署安全解决方案,这不仅解决了资源池中虚拟机安全策略不统一导致的防护间歇问题,同时也大大降低了人员的管理成本。

Deep Security for CAS无代理安全防护解决方创新采用安全防护引擎与Hypervisor无缝集成的方式,提供了一种更轻松、更易于管理的虚拟机安全防护方法,极大提高了资源利用率,使虚拟机密度远高于传统安全解决方案,在为虚拟化提供安全防护的同时,加快虚拟化和云的部署速度,是虚拟化和安全的一次最成功亲密接触。

0 0