虛擬化安全可行性探討()

1、3.虛擬化安全可行性探討每個(gè)虛擬機(jī)上都部署防病毒軟件，管理員就要對(duì)每個(gè)虛擬機(jī)進(jìn)行登錄管理、監(jiān)控、維護(hù)，比如病毒碼升級(jí)、軟件故障處理等，會(huì)造成管理的復(fù)雜;對(duì)于虛擬化系統(tǒng)的病毒問題，目前都是用物理機(jī)的解決方案進(jìn)行，但是使用這樣的解決方案存在很多的問題，具體如下:如：CPU內(nèi)存、I/O等內(nèi)容，造成虛擬化密度低，造成投資;把ESX Serve的資源全部吃滿，甚至造成宕機(jī);1.在每個(gè)虛擬機(jī)上部署防病毒軟件，這會(huì)更多的占用ESX Serve的資源,2.如果全部的防病毒軟件同時(shí)進(jìn)行系統(tǒng)掃描，這樣會(huì)形成“病毒風(fēng)暴”病毒庫 更新安裝新 VMSVM4.虛擬機(jī)存在使用和關(guān)閉兩種情況，對(duì)于關(guān)閉的虛擬系統(tǒng)是不能夠部署

2、新的病毒碼的，但是這個(gè)虛擬機(jī)是和虛擬化平臺(tái)底層可以通信的，所 以很容易被利用造成破壞；Active Active,安全策略過期,其工作原理如下圖:由于存在以上的眾多問題，我們需要一為虛擬環(huán)境所打造的防病毒解決方案, 此方案應(yīng)該是只在每臺(tái)物理服務(wù)器 上安裝一次，同時(shí)達(dá)到如下效果:（一）提升硬件服務(wù)器使用率a）相同硬件能提高虛擬機(jī)密度b）提高300%服務(wù)器使用率（二）簡(jiǎn)化管理a）以主機(jī)為單位的保護(hù)管理b） 一次性安裝，部署（三）自動(dòng)繼承的保護(hù)a）虛擬鏡像即裝即防b）即便裸機(jī)也能立即保護(hù)這樣的虛擬化解決方案才是理想的解決方Partner hlBOBgemem ConsoleAdmunScunty V

3、MAgentEPs&cInterface(G«»t VMVI AdminvStiieid "工"啟界4.1vCenlerI ESX 4.1IvSphefe PlalfamivShMdl Endpoint ComiponertsVMwarePlatform" L 'Inibemds j iniufnnjc-vmware其能夠?qū)崿F(xiàn)如下功能:（一）在訪問掃描文件打開/關(guān)閉觸發(fā)殺毒引擎進(jìn)行掃描提供對(duì)文件的掃描數(shù)據(jù)SfuiriW VMt_hi k oe占4 lean'sUri LJuinKud ScansC-acliing -&a

4、mp; FiFIcf mg網(wǎng)口第 cjichw?% nvrntftk ewM"Kite； lIhi 函 request"Ilie dacascan r«ukmultAPPse.uM 一 1diau cached? , file 也 gli 拈 eventEPiecIhinA(»nt鐘d網(wǎng)故I try filler?dsla roqUHit- Flla-dibFdrUwrAgent（二）按需掃描殺毒引擎發(fā)起 對(duì)所有客戶檔案系統(tǒng)進(jìn)行掃描攵cLiri睜ym Acfiis ScarktOn Detina nd Sc-aniR-tfiraeilifiliunCac

5、hing & FulleringPannerAgentOn Demand Scan Events. 口 Stop ScanPause Scan|Q| Query Status- g idW' wens-幽生球H 玷 Jm OL4ErJ jki|ha inFy vftrwAlr fHli鬼 艮不ai!g«nn 曬 4£0 手I AuWrAton 喘刑 Ji-n 塾 Xu lorn I，un引耐總 Iff 印 Laniusi K JJI 0t_lB:Wr 5li DesW甲！&MMujpgj SwOeM 凈出融由4 £昭 加j|巾癡._

6、1;|、龍3_3（三）緩存和篩選數(shù)據(jù)和結(jié)果的緩存，以減少數(shù)據(jù)流量和優(yōu)化性能基于文件名、后綴名進(jìn)行排除清單（四）整治刪除，清除，阻斷，隔離基于VC報(bào)警系統(tǒng)對(duì)處理進(jìn)行通告*rvalk(ua cj-x2jcm.vmws fcjddivi VHwaMJLMU-U昌 1JU47Gtfrn- Jfftrtcd 次尸門6 Hrt m HQiM* fnrwE悟 0*叩1二,射5 T“33l市g(shù)口皿 MessgF Ing9md Kitts Jctiz35:,MiJ-ft哥N-sm?"MmstwI口 |iciiriL3ie4-K2._ 鼻 嘴K一嚕. EPMHg.羋Z 7/20010 16:25137A

7、NVMware系統(tǒng)首推的解決方案為趨勢(shì)科技的 Deep Security,解決方案如下:ActiveUpdate| Deep Security Manager此產(chǎn)品的性能非常理想，我們通過第三方測(cè)試結(jié)果、在我們實(shí)際環(huán)境中的測(cè) 試進(jìn)行了驗(yàn)證，驗(yàn)證情況如下：(一)第三方評(píng)測(cè)趨勢(shì)科技的企業(yè)級(jí)云安全產(chǎn)品 Deep Security日前在美國(guó)再獲兩項(xiàng)殊榮，分別 在Network World»雜志的 最佳明智選擇測(cè)試 (Clear Choice Test)以及全球權(quán) 威的第三方評(píng)測(cè)機(jī)構(gòu)Tolly Group特別針對(duì)虛擬化安全解決方案產(chǎn)品的最新測(cè)試 中獲得全部項(xiàng)目第一名的佳績(jī)。最佳報(bào)表制作及分析功

8、能：實(shí)現(xiàn)虛擬化系統(tǒng)透明安全管理在美國(guó)Network World»雜志同時(shí)測(cè)試的五套市場(chǎng)主流虛擬化安全產(chǎn)品中， 趨勢(shì)科技Deep Security在包括報(bào)表、主機(jī)管理、政策控管以及使用者管理的全 部四項(xiàng)分類測(cè)試中都獲得了最佳成績(jī)。其中，趨勢(shì)科技 Deep Security實(shí)用的報(bào) 表功能尤其令評(píng)測(cè)人員稱道。主辦方指出：我們測(cè)試并評(píng)估了各產(chǎn)品在制作可定制化的信息安全策略報(bào)表時(shí)的易操作性，以及產(chǎn)品是否可自動(dòng)標(biāo)出特定的違規(guī)情況等方面的性能表現(xiàn)。其中，趨勢(shì)科技Deep Security的報(bào)表制作、分析操作最為簡(jiǎn)便，且最易于企業(yè)主管閱讀，在所有評(píng)測(cè)產(chǎn)品中的表現(xiàn)最為突出。”止匕外， 趨勢(shì)科技Dee

9、p Security的網(wǎng)頁式管理接口設(shè)計(jì)也獲得了推薦評(píng)價(jià)。具特色的設(shè) 計(jì)讓用戶即使在未否安裝防護(hù)產(chǎn)品，或未能獲得任何提醒的時(shí)候，都能夠全面清晰的了解系統(tǒng)中所有虛擬機(jī)的狀態(tài)。最適用于虛擬化的安全解決方案：提升虛擬機(jī)密度最高達(dá)275%對(duì)于旨在降低資本和運(yùn)營(yíng)開支的企業(yè)IT戰(zhàn)略而言，服務(wù)器和桌面虛擬化已成 為不可或缺的部分。然而由于急于實(shí)施虛擬化技術(shù)，許多組織僅部署了與其物理 服務(wù)器和桌面系統(tǒng)完全相同的防病毒解決方案。 而由于這些傳統(tǒng)的防病毒解決方 案不是專為虛擬環(huán)境而設(shè)計(jì)的，它們會(huì)引起嚴(yán)重的運(yùn)營(yíng)問題，如防病毒風(fēng)暴、資 源浪費(fèi)、管理開支增加并影響組織的目標(biāo) 最大化虛擬機(jī)密度。對(duì)此，全球領(lǐng) 先的第三方驗(yàn)

10、證服務(wù)機(jī)構(gòu)Tolly Group對(duì)目前市場(chǎng)主流的虛擬化安全解決方案產(chǎn) 品對(duì)主機(jī)系統(tǒng)（物理服務(wù)器）資源影響的進(jìn)行了評(píng)估性測(cè)試，內(nèi)容包括運(yùn)行防病 毒任務(wù)（如全盤掃描和病毒庫更新）時(shí)的資源消耗，以及每臺(tái)虛擬機(jī)上存在防病 毒防護(hù)時(shí)的常規(guī)用戶工作負(fù)荷。報(bào)告顯示，趨勢(shì)科技Deep Security所提供的無客戶端、基于虛擬設(shè)備的病毒 防護(hù)方法最適用于虛擬化系統(tǒng)，并且與不具有虛擬化感知能力的實(shí)施方案 （防病 毒客戶端處理于每臺(tái) Windows7虛擬機(jī)中）相比，趨勢(shì)科技Deep Security所消耗 的CPU內(nèi)存和磁盤I/O資源大幅減少。止匕外，趨勢(shì)科技在全盤掃描和特征碼更 新時(shí)，以虛擬設(shè)配層集成聯(lián)動(dòng)，成功

11、避免了防病毒風(fēng)暴問題：從而有效提升真實(shí) 虛擬機(jī)密度達(dá)29%至275%,表現(xiàn)遠(yuǎn)勝于競(jìng)爭(zhēng)產(chǎn)品。本次測(cè)試還設(shè)置了密度高達(dá) 100臺(tái)虛擬機(jī)同時(shí)在VMware ESX 4.1環(huán)境中運(yùn)行的測(cè)試環(huán)境，使用趨勢(shì)科技解決國(guó)示：虛膽化防病毒測(cè)底環(huán)境，源:ToUy eroup測(cè)試報(bào)告. 5010年10月）方案時(shí)，虛擬機(jī)密度改善在 CPU和內(nèi)存方面遠(yuǎn)遠(yuǎn)高于使用 其它同類產(chǎn)品。與傳統(tǒng)的基于客戶端的解 決方案不同，趨勢(shì)科技DeepSecurity無論是以軟件、虛擬應(yīng) 用或是混合式的方式實(shí)施，均 可以有效支配虛擬系統(tǒng)資源， 減少資源爭(zhēng)奪、簡(jiǎn)化管理并加 強(qiáng)虛擬機(jī)的透明安全性，使得 組織可以提升虛擬機(jī)密度，即增加每臺(tái)物理機(jī)上可

12、運(yùn)行的虛擬機(jī)數(shù)量，從而降低了企業(yè)的資本支出和運(yùn)營(yíng)支出。趨勢(shì)科技全球研發(fā)長(zhǎng)暨大中華區(qū)執(zhí)行副總裁張偉欽表示：我們很高興看到Deep Security獲得國(guó)際上權(quán)威媒體及評(píng)測(cè)機(jī)構(gòu)的肯定。集成趨勢(shì)科技云安全3.0技術(shù)架構(gòu)下去的防護(hù)盾”技術(shù)的服務(wù)器和應(yīng)用程序保護(hù)軟件 Deep Security,是全 世界第一套專為虛擬化環(huán)境設(shè)計(jì)的惡意軟件防護(hù)解決方案，可為從虛擬化桌面、 實(shí)體服務(wù)器、虛擬服務(wù)器到云端服務(wù)器的動(dòng)態(tài)數(shù)據(jù)中心內(nèi)的所有系統(tǒng)提供最先進(jìn) 的可靠的安全防護(hù)，從而能夠幫助企業(yè)虛擬化IT系統(tǒng)充分、穩(wěn)定發(fā)揮出云端效能。我們通過與市場(chǎng)占有率第一的虛擬化及云基礎(chǔ)架構(gòu)全球領(lǐng)導(dǎo)廠商VMware公司的戰(zhàn)略合作，已經(jīng)為

13、全球及中國(guó)許多的企業(yè)成功部署了保護(hù)虛擬化系統(tǒng)及云計(jì) 算平臺(tái)的深度安全解決方案，同時(shí)Deep Security已經(jīng)被VMware公司采用為其內(nèi) 部虛擬化服務(wù)器的安全防護(hù)系統(tǒng)。”（二）同類產(chǎn)品比較同類產(chǎn)品中我們選擇了 Symantec Mcafee、Trendmicro三個(gè)廠商的產(chǎn)品進(jìn)行 比較，比較結(jié)果如下：1.主機(jī)資源消耗 vCenterqudeftfti VMw- E5X 4J 主機(jī)資源消耗 25臺(tái)Microsoft Windows 7虛擬機(jī)執(zhí)行按需掃描 （敷值越低越好）趨勢(shì)科技 McAfeeSymantec注意：除掃描之外.所商系統(tǒng)江運(yùn)行了專有工作負(fù)荷。星線指未安裝睢點(diǎn)安全解決方案運(yùn)行時(shí)的專

14、有工作免荷，星線值：CPU平 均值=4.1 口曳花部?jī)?nèi)存平均值=7日”N8 MB.磁盤平均值=1741,23 K日趨靜雪次只會(huì)運(yùn)行單個(gè)掃描。其他供應(yīng)商”同 時(shí)赳發(fā)25個(gè)掃描.苗中供應(yīng)商均建設(shè)了各種方法f如隨機(jī)選擇法） 來調(diào)整按需掃描.有去詳細(xì)信息，請(qǐng)蟄見報(bào)告主悻.基于基線 的利用率是由培果成去基就，除以基線.再乘以1口口計(jì)背得到的.平均運(yùn)行時(shí)間為30分鐘.數(shù)據(jù)來源；Tolly,加伯年1。月圖22.掃描測(cè)試VMware ESX 4.1下防病毒解決方案比較在Microsoft Windows 7平臺(tái)上的虛擬機(jī)運(yùn)f誑需掃描I供應(yīng)商C 0用于進(jìn)行按n徹插的虛掖機(jī)敦25507510G居勢(shì)科技埴勢(shì)科技 m

15、mp Sscurit7.5是，完全穩(wěn)定是，完至穩(wěn)定是（W,無測(cè)試）是f痢計(jì),無測(cè)試）McAfeeTotal Protectioo 伯it Endpoint是.但存在穩(wěn) 定性問題由于同時(shí)進(jìn)行25個(gè)掃描存在不穩(wěn)定性問割.因此Tolly工程師宋客試更大融 測(cè)試.A括白在其客戶端任弱中提供了循機(jī)選擇誥項(xiàng)，西選里可以為預(yù)設(shè)電發(fā)任芳和手動(dòng)觸發(fā)任弱提供免有分布功潴，SymantecEndpoint Protection 11.Q是.但存在穩(wěn) 定性問題由于同時(shí)進(jìn)行25個(gè)掃描存在不穩(wěn)定性問脫.因此Tolly工程師未崇試更大敗 測(cè)試.古yhnnn餡*速諛為隨機(jī)選擇方法配制預(yù)謾任棄，缺省情況下，道會(huì)將100 合虛擬

16、機(jī)的拽霸掃描請(qǐng)求擴(kuò)大到大約160個(gè)小時(shí),手動(dòng)觸發(fā)預(yù)設(shè)任務(wù)無法隨機(jī) 速摧開始時(shí)間.”黃；趨勢(shì)科技方案是唯一紂瀏試的具有底朋什.感知功荒的解決方案.逡方案自動(dòng)錯(cuò)開按需舊描的時(shí)間以便掃描逐次執(zhí)行.數(shù)據(jù)來源F T閔帆201。年10月«1（三）我們的實(shí)際環(huán)境中測(cè)試狀況 在我們的實(shí)際環(huán)境中測(cè)試情況如下：WinXP SP3 VM 性能數(shù)據(jù)手動(dòng)掃描耗時(shí)手動(dòng)掃力施啟動(dòng)于手動(dòng)掃描結(jié)束于Item平均最低最局1st3'30''1st_S13:02:251st_E13:05:55手動(dòng)掃描耗時(shí)3'42''3'30''4'20'

17、;'2nd4'20"2nd_S13:07:552nd_E13:11:35CPU占用（實(shí)時(shí)掃描）1.69%1.65%1.78%3rd3'40''3rd_SI13:13:043rd_E13:16:44內(nèi)存占用（實(shí)時(shí)掃描:8.00%6.32%11.05%4th3'30''4th_S：13:18:544th_E13:22:255th3'30''5th_S13:56:455th_E14:00:15Win7 VM性能數(shù)據(jù)手動(dòng)掃描耗時(shí)手動(dòng)掃力施啟動(dòng)于手動(dòng)掃描結(jié)束于Item平均最低最局1st1010''1st_S15:39:311st_E15:49:41手動(dòng)掃描耗時(shí)9'42''8'50''1040''2nd9'50"2nd S15:51:512nd E16:01:41CPU占用（實(shí)時(shí)掃描）0.87%0.58%1.20%3rd8'50"3rd S16:04:013rd E16:2