Gartner預(yù)測,到2015年,企業(yè)數(shù)據(jù)中心40%的安全控制將是虛擬化的,比2010年的5%有大幅度提高。隨著云計(jì)算的不斷普及,虛擬化技術(shù)的應(yīng)用越來越廣,虛擬化環(huán)境下的安全防護(hù)問題也日益突顯。怎樣才能既保證系統(tǒng)安全,又降低安全防護(hù)對虛擬機(jī)性能的影響?安全廠商給出的答案是采用無代理安全部署模式。
將虛擬機(jī)密度提升兩倍
對于虛擬化環(huán)境下的安全防護(hù),傳統(tǒng)安全的防護(hù)策略是在每臺虛擬機(jī)上安裝安全防護(hù)產(chǎn)品,即有代理模式。“有代理模式在每個VMware虛擬機(jī)上安裝殺毒軟件客戶端程序。”國家計(jì)算機(jī)病毒應(yīng)急處理中心主任張健在接受記者采訪時表示,采用有代理模式時,“每個VMware虛擬機(jī)與原來的客戶端管理模式基本一致,需要升級殺毒軟件、檢測掃描殺毒等操作,這些操作對系統(tǒng)資源消耗比較大,可能影響整個系統(tǒng)的效率”。
傳統(tǒng)安全軟件并不是專門為虛擬化環(huán)境設(shè)計(jì)的,沒有針對虛擬化環(huán)境下的資源共享進(jìn)行優(yōu)化。當(dāng)上百臺虛擬機(jī)在同一時間開啟病毒庫自動升級或者自動云查殺,所有虛擬機(jī)同時需要網(wǎng)絡(luò)資源,那么企業(yè)網(wǎng)絡(luò)資源將面臨極大的壓力,這就是所謂的“防病毒風(fēng)暴”。這與企業(yè)使用虛擬化技術(shù)節(jié)約IT資源的初衷顯然是相違背的。
怎樣達(dá)到安全防護(hù)的目的,又能夠節(jié)約IT資源,降低企業(yè)的IT支出?安全廠商給出的解決方案是部署無代理安全模式的安全解決方案。采用無代理部署模式,用戶無需在每個虛擬機(jī)中安裝客戶端程序,而是將其中一臺虛擬機(jī)變成安全虛擬機(jī),讓這臺安全虛擬機(jī)去管理虛擬化環(huán)境下的其他所有虛擬機(jī)的安全防護(hù)。用戶只需安裝一次安全防護(hù)設(shè)備,對這臺安全虛擬機(jī)進(jìn)行升級和維護(hù),就能夠讓其他所有虛擬機(jī)得到最新的安全防護(hù)。
無代理安全模式可以降低內(nèi)存和中央處理器的負(fù)載,避免“防病毒風(fēng)暴”。“無代理模式下,病毒庫的升級和簽名管理更加靈活,對VMware虛擬機(jī)的性能并沒有影響。”邁克菲資深信息安全專家程智力非常看好無代理安全模式。
采用無代理安全模式,用戶在擴(kuò)展虛擬機(jī)時,無需再次部署安全解決方案,因此總體上降低了企業(yè)的IT成本。趨勢科技中國區(qū)業(yè)務(wù)發(fā)展及產(chǎn)品管理高級總監(jiān)鄭弘卿用數(shù)字說明了這一點(diǎn):“第三方研究數(shù)據(jù)表明,使用無代理防模式的防病毒解決方案,支持的VDI虛擬機(jī)密度與傳統(tǒng)防病毒解決方案相比,提升了兩倍。此外,如果客戶計(jì)劃運(yùn)行1000個虛擬桌面,趨勢科技無代理安全解決方案可以幫助用戶節(jié)約IT支出350萬元。”
基于VMware虛擬化平臺
不同廠商在虛擬化實(shí)現(xiàn)技術(shù)、存儲架構(gòu)、備份機(jī)制、虛擬交換機(jī)之間的隔離等方面仍然存在很大差異。因此,安全廠商在跟不同虛擬化廠商合作時,針對不同虛擬化廠商和平臺架構(gòu)的不同,開放接口不同,安全解決方案進(jìn)行差異化的開發(fā),這可能會導(dǎo)致更多的開發(fā)成本和周期。正如程智力在接受本報(bào)記者采訪時所言:“安全廠商要針對不同的虛擬化平臺進(jìn)行有針對性的開發(fā)和功能支持,對于一些特殊接口,還要進(jìn)行有針對性的開發(fā)才能夠予以支持和集成。”
由此可見,無代理安全模式需要與虛擬化系統(tǒng)密切結(jié)合在一起。這就要求安全廠商必須得到虛擬化廠家的支持。
盡管安全廠商對無代理安全模式很推崇,但目前已經(jīng)推出相關(guān)產(chǎn)品的卻屈指可數(shù),并且這些無代理安全都基于VMware的虛擬化平臺vShield Endpoint,而對Hyper-V、Ctrix卻鮮有涉獵。例如,趨勢科技全球十分之一的員工在從事VMware虛擬化安全解決方案的研發(fā)、銷售工作。
對于為什么選擇VMware,鄭弘卿給出的理由是:“VMware的用戶最多,管理最完善,客戶對無代理安全的需求相對較多。”相比之下,其他虛擬化平臺用戶比較少,并且大多對安全防護(hù)水平的要求并不高。
另一個重要的原因是,其他虛擬化平臺并沒有開放接口給這些安全廠商。“我們也在做準(zhǔn)備,只等對方同意跟我們合作。”趨勢科技中國區(qū)產(chǎn)品經(jīng)理鐘宇軒說。
對無代理模式的爭議
對于無代理安全,業(yè)界也存在質(zhì)疑的聲音:由于目前只支持VMware平臺下的Windows操作系統(tǒng),并不適用于Linux操作系統(tǒng),因此無代理安全模式在某些情況下可能存在漏殺的情況。對此,卡巴斯基實(shí)驗(yàn)室亞太區(qū)董事總經(jīng)理張立申坦言:“在病毒查殺方面,有代理模式的分層掃描更細(xì)致,病毒查殺能力更強(qiáng)。因此,在無代理模式下,殺毒引擎的性能是否強(qiáng)大、檢測速度是否夠快就顯得尤為重要。”
對于漏殺之說,鐘宇軒并不認(rèn)同,他認(rèn)為無代理模式比之前的安全防護(hù)策略更加安全,因?yàn)?ldquo;以前的系統(tǒng)是分散的,病毒庫有沒有更新到系統(tǒng)中用戶可能并不知道,對虛擬化進(jìn)行集中管控之后,經(jīng)過虛擬化平臺的數(shù)據(jù)都會被掃描到”。他告訴記者,趨勢科技Deep Security 8.0,在防病毒的基礎(chǔ)上,增加了無代理完整性監(jiān)控、無代理事件通知等功能。通過VMware的API接口,用戶還可以選擇添加入侵檢測、Web應(yīng)用防護(hù)、漏洞修補(bǔ)和防火墻等更多功能。這使無代理模式正在突破功能單一的弊端,實(shí)現(xiàn)更全面的安全防護(hù)。在鐘宇軒眼里,無代理是一對多的防護(hù),因重要的是保證這個“一”不會成為單點(diǎn)故障點(diǎn),所以對無代理安全而言,系統(tǒng)的穩(wěn)定性相當(dāng)重要。
“無代理模式僅支持VMware平臺,并且不能針對同一個Hypervisor中的不同虛擬機(jī)設(shè)定不同的掃描防護(hù)策略,缺少應(yīng)用程序管理、HIPS等其他高級防護(hù)功能。”因此,用戶如果需要更高等級的防護(hù)水準(zhǔn),程智力推薦用戶使用有代理的方式。
統(tǒng)一管理兩種模式
當(dāng)前,用戶的IT環(huán)境復(fù)雜,既包括虛擬化環(huán)境,又包括物理機(jī)環(huán)境,還包括混合使用環(huán)境。此外,跨平臺的操作系統(tǒng)同時應(yīng)用在企業(yè)網(wǎng)絡(luò)內(nèi)部,隨著IT消費(fèi)化趨勢,個人設(shè)備、移動終端的應(yīng)用越來越廣泛。
在這種情況下,張立申強(qiáng)調(diào),無代理模式和有代理模式需要相互配合。“如果用戶的虛擬化環(huán)境是100臺虛擬機(jī),其中5臺是Linux虛擬機(jī),95臺是Windows虛擬機(jī),用戶可選擇在95臺Windows虛擬機(jī)上安裝無代理模式的安全解決方案,在其余5臺Linux虛擬機(jī)上安裝有代理防護(hù)解決方案。這樣也可以大大節(jié)約虛擬機(jī)的資源。”
在混合的系統(tǒng)環(huán)境下,關(guān)鍵是如何對有代理模式和無代理模式進(jìn)行統(tǒng)一管理,并簡化管理。對此,卡巴斯基在其Kaspersky Security for Virtualization中,不僅第一次使用了無代理安全模式,其Kaspersky Security Center還實(shí)現(xiàn)統(tǒng)一虛擬環(huán)境、物理環(huán)境和移動辦公環(huán)境進(jìn)行部署,實(shí)現(xiàn)對虛擬機(jī)、物理機(jī)的安全進(jìn)行統(tǒng)一管理。
同樣,趨勢科技Deep Security 8.0的亮點(diǎn)之一也是簡化管理。據(jù)趨勢科技鐘宇軒介紹,升級版產(chǎn)品能對系統(tǒng)內(nèi)的無代理和有代理安全進(jìn)行統(tǒng)一管理,通過一個虛擬機(jī)安全管理平臺,用戶就可以實(shí)現(xiàn)跨越虛擬機(jī)、物理機(jī)和云計(jì)算平臺的統(tǒng)一管理,“可以把關(guān)有代理安全的命令和程序,決定掃描每個虛擬機(jī)的時間”。
盡管無代理模式還存在平臺單一、無法差異化部署防護(hù)策略等缺陷,但是在采訪中,專家和業(yè)界人士一致認(rèn)為,未來無代理模式將成為大勢所趨。
鄭弘卿非常看好中國的無代理安全模式發(fā)展,他認(rèn)為中國在應(yīng)用落地方面的探索已經(jīng)初見成效,未來一兩年內(nèi),通過政府部門通過“十二五”推動云計(jì)算發(fā)展,推動交通云、政務(wù)云,IT廠商推動醫(yī)療公有云的發(fā)展,云計(jì)算在中國的發(fā)展速度會更快,而無代理安全模式也將隨著云計(jì)算的發(fā)展快速得到推廣。
京公網(wǎng)安備 11010502049343號