xxxxx虛擬化平臺防病毒技術(shù)方案

1、McAfee虛擬化解決方案防為公司設(shè)計(jì)2021 年 7 月 13 日文檔說明非常感謝給予el Security 機(jī)會參與此次安全防護(hù)項(xiàng)目，并希望本文檔所提供的解決方案能在整個項(xiàng)目規(guī)劃和建設(shè)中發(fā)揮應(yīng)有的作用。需要的是，本文檔所涉及到的文字、圖表等，僅限于el Security 和內(nèi)部使el Security用，擴(kuò)散到第。目錄1XX 安全防護(hù)現(xiàn)狀和需求分析42虛擬化環(huán)境下的防解決方案52.1MOVE AV 3.652.2MOVE Scheduler 3.672.2.1離線虛擬機(jī)防護(hù)82.2.2針對虛擬機(jī)的按需掃描調(diào)度82.3McAfee MOVE 虛擬化環(huán)境防的獨(dú)特優(yōu)勢93MOVE AV 3.6

2、部署步驟103.1安裝 MOVE AV Server123.2導(dǎo)入 MOVE AV 擴(kuò)展123.3添加 MOVE AV 部署包到 ePO 服務(wù)器資料庫133.4通過 ePO 部署 MOVE AV agent133.5配置策略131XX 安全防護(hù)現(xiàn)狀和需求分析XX 已經(jīng)借助虛擬化，在單一物理系統(tǒng)中運(yùn)行多個虛擬機(jī)，從而使資源得到更高效的利用。這樣，就可以大幅削減設(shè)備的資本支出、降低與電力和冷卻相關(guān)的能源成本以及節(jié)省物理空間。但是虛擬環(huán)境下的服務(wù)器和虛擬桌面會和傳統(tǒng)物理計(jì)算機(jī)碰到相同的安全性問題，例如、蠕蟲、木馬程序和的。所以在虛擬環(huán)境下的服務(wù)器和虛擬桌面同樣需要考慮如何有效地進(jìn)行防范。一般情況下，

3、對于物理計(jì)算機(jī)會安裝防來實(shí)現(xiàn)實(shí)時防御，并且配置計(jì)算機(jī)以便在非工作時間進(jìn)行按需防掃描，從而最大限度減少干擾 。當(dāng)這些系統(tǒng)被遷移到虛和 CPU擬環(huán)境，眾多虛擬機(jī)同時更新特征庫或者進(jìn)行按需全盤掃描可能導(dǎo)致內(nèi)存使用會出現(xiàn)尖峰，導(dǎo)致這些虛擬機(jī)在這段時間內(nèi)都無法正常提供服務(wù)。這種情況通常稱為“防風(fēng)暴”（AVStorming）。如今，最常見的做法是使按需掃描調(diào)度隨機(jī)化，不過，這種做法也不理想希望建立一套更加有效的虛擬環(huán)境實(shí)時防和感知Hypervisor 按需全盤掃描的自動調(diào)度系統(tǒng)。面向虛擬桌面和服務(wù)器的 McAfee Management for Optimized Virtual Environments

4、(MOVE) Anti-是專門針對上述而設(shè)計(jì)的解決方案，能夠有效降低傳統(tǒng)掃描的運(yùn)營費(fèi)用，同時提供確保業(yè)務(wù)成功的安全保護(hù)和卓越性能。2 虛擬化環(huán)境下的防解決方案McAfee 的解決方案能夠讓用戶繼續(xù)使用現(xiàn)有的 McAfee VisurScan Entrise 保護(hù)功能，并針對虛擬化環(huán)境來對其進(jìn)一步優(yōu)化。McAfee MOVE Anti-旨在在虛擬化環(huán)境中支持按掃描和更新功能，以及按需全盤掃描功能，顯著降低傳統(tǒng)防部署中常見的對基礎(chǔ)設(shè)施的影響。借助此輕便的終端組件能夠與虛擬化設(shè)備溝通，實(shí)現(xiàn)各個虛擬機(jī)上的防處理。同時使用 McAfee ePO 管理控制臺集中制定安全策略分配給每個虛擬機(jī)。從 MOVE

5、3.6 以后 McAfee 虛擬化環(huán)境下的防分為以下兩個產(chǎn)品：MOVEAV - 實(shí)現(xiàn)虛擬化環(huán)境下的虛擬機(jī)的實(shí)時防護(hù)，不需要安裝完全的VSE，僅僅通過輕量的 MOVE AV Agent 即可。MOVEScheduler - 實(shí)現(xiàn)虛擬化環(huán)境下的虛擬機(jī)的按需全盤掃描，通過感知Hypervisor 的負(fù)載自動調(diào)度按需全盤掃描進(jìn)程。2.1 MOVE AV 3.6通過虛擬技術(shù)可以在一個 Hypervisor 上同時運(yùn)行幾十個虛擬機(jī)，大大提高了部署效率。雖然虛擬機(jī)能夠在單個虛擬機(jī)上運(yùn)行傳統(tǒng)的防保護(hù)，但對基礎(chǔ)設(shè)施性能造成的累積影響非常大，將直接影響到運(yùn)營回報和支持的虛擬桌面數(shù)量。通過將防掃描進(jìn)程集中到一個或多

6、個虛擬機(jī)上，MOVE AV 可完全應(yīng)對這些挑戰(zhàn)。確保防進(jìn)程不會在多個虛擬機(jī)中重復(fù)，使企業(yè)能夠從虛擬化基礎(chǔ)設(shè)施中獲得更高的投資回報。要實(shí)現(xiàn) MOVE AV 對虛擬機(jī)的保護(hù)，只需要在 Hypervisor 中安裝一臺專門的掃描服務(wù)器（安裝 MOVE AV 3.6），然后在所有虛擬機(jī)上通過 ePO 部署 MOVE AV 3.6 agent 和策略即可。當(dāng)一臺虛擬機(jī)可執(zhí)行程序時，會將文件散列值發(fā)送到掃描服務(wù)器進(jìn)行檢查，病特征和 GTI 信息判斷此文件是否毒掃描服務(wù)器根據(jù)，然后將結(jié)果告知虛擬機(jī)上 MOVE AV agent 來決定是否允許此文件執(zhí)行。當(dāng)另外一臺虛擬機(jī)相同的可執(zhí)行程序時掃描服務(wù)器通過查詢本

7、地的散列值緩存直接將結(jié)果告知虛擬機(jī)上 MOVE AV agent，迅速判定此執(zhí)行文件是否。加快了掃描速度。通過 MOVE AV 3.6 替代原來的VSE 的解決方案，可以占用更少的虛擬機(jī)資源達(dá)到相同的防效果。以上是安裝 MOVE AV 3.6 占用的內(nèi)存資源。2.2 MOVE Scheduler 3.6正常情況下，會對服務(wù)器進(jìn)行配置以便在非工作時間進(jìn)行按需防掃描，從而最大限度減少干擾。當(dāng)這些系統(tǒng)被遷移到虛擬環(huán)境，對眾多虛擬服務(wù)器進(jìn)行調(diào)度可能導(dǎo)致出現(xiàn) CPU峰值，進(jìn)而干擾其他需要進(jìn)行的運(yùn)營活動，例如，也安排在這段時間進(jìn)行的補(bǔ)丁安裝和數(shù)據(jù)備份。如今，最常見的做法是使按需掃描調(diào)度隨機(jī)化，不過，這種做

8、法也不理想，而且不是Hypervisor 感知的。Hypervisor 感知能夠更靈活地了解 Hypervisor 的整體狀況和負(fù)載情況，從而最大限度降低運(yùn)營調(diào)度對高效安全處理的影響。McAfee MOVE Scheduler 能夠代表Hypervisor 協(xié)調(diào)服務(wù)，以提供專門針對虛擬環(huán)境細(xì)化安全管理調(diào)度的支持，McAfee MOVE Scheduler 可提供現(xiàn)在所缺乏的運(yùn)營靈活性。菲是服務(wù)器脫機(jī)掃描原始提供商之一，現(xiàn)在，又對調(diào)度功能進(jìn)行了擴(kuò)展，已不僅局限于虛擬機(jī)狀態(tài)，調(diào)度功能是 Hypervisor 感知的，因此能夠根據(jù) Hypervisor 的整體負(fù)載對掃描進(jìn)行調(diào)度。當(dāng)一個 Hyperv

9、isor 中部署了多個服務(wù)器時，這可確保關(guān)鍵運(yùn)營活動不會由于意想不到的資源問題擾或放棄。2.2.1 離線虛擬機(jī)防護(hù)McAfee MOVE Offline Scan 可為非活動虛擬機(jī)提供離線安全保護(hù)，從而確保這些服務(wù)器能夠得到有效保護(hù)，不會遭遇因掃描而導(dǎo)致的延遲。2.2.2 針對虛擬機(jī)的按需掃描調(diào)度McAfee MOVE Scheduler 通過 Hypervisor 感知能夠更靈活地了解 Hypervisor 的整體狀況和負(fù)載情況，對虛擬服務(wù)器進(jìn)行按需掃描調(diào)度，將防按需掃描分散在一個較長時間的不同時段進(jìn)行，以便各個虛擬機(jī)在該時段內(nèi)仍然可用，從而最大限度降低對業(yè)務(wù)服務(wù)的影響。如下圖所示，MOVE

10、 Scheduler agent 必須安裝在所有虛擬機(jī)上。虛擬服務(wù)器按需掃描調(diào)度的實(shí)施：1.在 ePO 上導(dǎo)入 MOVE Scheduler Agent。2.將 MOVE Scheduler Agent推送到所有虛擬機(jī)上。3.在 MOVE Scheduler 策略配置中，可以啟動按需掃描任務(wù)只有在Hypervisor 的 CPU負(fù)載最近 5 分鐘之內(nèi)小于 50%的情況下才會開始。2.3 McAfee MOVE虛擬化環(huán)境防的獨(dú)特優(yōu)勢1.支持主流的虛擬化環(huán)境，包括 VMWare、Citrix 和Hyper-V。且對客戶沒有額外的虛擬機(jī)成本，例如 VMWare vShield Agentlicens

11、e。2.可以不在虛擬機(jī)上安裝任何防的情況下，通過虛擬機(jī)實(shí)現(xiàn)防功能，在虛擬環(huán)境中支持按需、按掃描和功能更新，能夠顯著降低傳統(tǒng)防部署中常見的對基礎(chǔ)設(shè)施的影響。3.McAfee MOVE 可借助全球威脅智能感知系統(tǒng)（GTI）提供虛擬桌面的零日防護(hù)。4.所有虛擬機(jī)中的 MOVE均通過 ePO 管理控制臺下發(fā)來進(jìn)行安裝，同時通過ePO 配置相關(guān)策略。所有的爆發(fā)事件均會上傳至ePO，實(shí)現(xiàn)報表和審計(jì)。通過集中管理降低了成本，節(jié)省了投資。5.感知 Hypervisor 負(fù)載，實(shí)現(xiàn)虛擬服務(wù)器環(huán)境下的按需掃描自動調(diào)度，為必須持續(xù)運(yùn)轉(zhuǎn)的服務(wù)器提供有效保護(hù)。3MOVEAV3.6部署步驟建議在每個Hypervisor

12、上安裝一臺防掃描虛擬機(jī)，運(yùn)行 VSE 8.8，對其它虛擬機(jī)中的文件進(jìn)行掃描。同時在其余虛擬機(jī)中安裝 MOVE AV Agent 即可實(shí)現(xiàn)虛擬機(jī)環(huán)境下的防御。XX 每臺宿主機(jī)上運(yùn)行 6 個以上，10 個以下虛擬機(jī)。目前防掃描虛擬機(jī)必須滿足以下條件：Windows 2008 R2 SP1 或者 Windows 2008 SP2 (64-bit) 操作系統(tǒng)兩個 vCPU 2GHz 以上8 GB 內(nèi)存300 GB 硬盤空間1 個固定 IP 地址，沒有特別網(wǎng)段要求此防掃描虛擬機(jī)需要進(jìn)行加固，啟用桌面，僅開放 9053 端口。MOVE AV 支持的虛擬機(jī)包括：Windows XP SP3Windows 7

13、 (32-bit or 64-bit)Windows 2003 R2 SP2 (32-bit)Windows 2008 R2 SP1 (64-bit)Windows 2008 SP2 (32-bit or 64-bit)注意事項(xiàng)：刪除虛擬機(jī)上的所有防，包括 VSE 和 Windows Defender。如果安裝了就版本的 VSE，請通過ePO 的客戶端產(chǎn)品部署任務(wù)刪除舊版本 VSE。X 使用的ePO 版本是 4.0，部署 MOVE 3.6 產(chǎn)品需要ePO 4.5 或 4.6。在生產(chǎn)目前系統(tǒng)的 ePO 無法在今年馬上升級的情況下，建議首先選取一臺 MOVE AV Server，在上面加裝 ePO

14、 4.5，所有 MOVE 客戶端均通過此 ePO 進(jìn)行管理。在明年全行 ePO 升級到 4.5以后，可以將這些 MOVE 客戶端無縫切換到全行的 ePO 上，實(shí)現(xiàn)無縫遷移。以下是具體的遷移過程：1.將全行ePO 服務(wù)器升級到4.5，將MOVE 策略導(dǎo)出然后倒入到新的ePO 服務(wù)器。2.在臨時 ePO 服務(wù)器上全行 ePO 服務(wù)器a.選擇“菜單” | “配置” | “已的服務(wù)器”，然后單擊“新建服務(wù)器”。b.從“描述”頁上的“服務(wù)器類型”菜單中選擇“ePO”，指定一個唯一的名稱及任何注釋，然后單擊“下一步”。c.指定下列用來配置服務(wù)器的選項(xiàng)：數(shù)據(jù)庫驗(yàn)證方式、數(shù)據(jù)庫名稱、數(shù)據(jù)庫端口、數(shù)據(jù)庫服務(wù)器地

15、址、ePO 版本、等信息。3.將系統(tǒng)傳輸?shù)饺衑PO 服務(wù)器a.單擊“菜單” |“系統(tǒng)” | “系統(tǒng)樹”，然后選擇要傳輸?shù)南到y(tǒng)。b.單擊“操作” |” | “傳輸系統(tǒng)”。此時會出現(xiàn)“傳輸系統(tǒng)”對“話框。c.從下拉菜單中選擇所需的服務(wù)器，然后單擊“確定”。4.在將托管系統(tǒng)標(biāo)記為要進(jìn)行傳輸之后，必須在與服務(wù)器之間發(fā)生兩個通信，才能使該系統(tǒng)顯示在目標(biāo)服務(wù)器的系統(tǒng)樹中。完成與服務(wù)器間的這兩個通信所需的時間長度取決于您的配置。與服務(wù)器的默認(rèn)通信時間間隔為一小時。3.1 安裝 MOVE AV Server1.首先安裝VSE 8.8。2.在 Hypervisor 中安裝一臺掃描服務(wù)器，運(yùn)行 MOVE AV

16、Server 安裝程序。3.選擇“Accept license agreement”接受。4.輸入合適用戶信息。5.指定掃描服務(wù)端口，默認(rèn)為 9053。6.啟用 GTI 功能，選擇GTI 保護(hù)級別。7.完成 MOVE AV Server 安裝，確保服務(wù)正常啟動。3.2 導(dǎo)入 MOVE AV 擴(kuò)展1.在 ePO 服務(wù)器上，選擇“| Software | Extens”，點(diǎn)擊“Install Exten”。2.瀏覽 MOVE AV 擴(kuò)展文件目錄，選擇擴(kuò)展文件，點(diǎn)擊OK。3.確認(rèn)在擴(kuò)展列表中有 MOVE AV 產(chǎn)品名稱。3.3 添加 MOVE AV 部署包到 ePO 服務(wù)器資料庫1.選擇“| Sof

17、tware | Master Reitory”，選擇“Actions | Check in Package”。2.瀏覽客戶端安裝包目錄，選擇安裝包程序。3.將安裝包加入到“當(dāng)前”產(chǎn)品中。3.4 通過 ePO 部署 MOVE AV agent1.選擇“| Policy | Cnt Task Catalog”，點(diǎn)擊“Actions | New Task”，選擇“ProductDeployment”。2.輸入任務(wù)名稱，例如“Install MOVE AV Agent on VM cnt”，選擇 Windows，然后選擇 MOVE AV Agent 3.6。3.將此任務(wù)分配給計(jì)算機(jī)組安裝。3.5 配置策略1.選擇“| Policy | Policy Catal