兩年前,人們對于云計算還不是很熟悉,而今隨著云計算的落地,人們的工作都已經與云計算開始關聯起來。幾年的發展,云計算的作用已經得以驗證。此時與云計算相關的安全問題也就開始得到人們的重視。
云計算的核心技術是虛擬化,虛擬化可以實現在較少的服務器上運行更多應用程序和服務,幫助企業降低硬件采購成本,降低維護、使用空間和能耗相關的運營成本。但人們在考慮是否虛擬化其數據中心時首要考慮的是穩定問題與安全問題,如果這些問題不能得以解決,那么虛擬化將不僅給用戶帶來便利、高效,也會給惡意攻擊者帶來“便利、高效”。
與物理世界里的應用程序一樣,虛擬環境下的應用程序同樣在面臨著各類惡意威脅。有些用戶所采取的防御措施,是將已經應用于物理服務器和桌面環境的安全策略和操作策略復制到新的虛擬化環境里,從防御角度來說這類做法很正確。但在虛擬化環境里,對資源的消耗要控制在最低。這意味著虛擬環境下安全防御所能支配的資源將大大減少,有時甚至會捉襟見肘。那么物理環境下的安全防護措施就有可能是的虛擬系統產生安全間隙,甚至大幅增加企業的 IT 成本,并造成系統效率下降。
數據中心正在開始軟件化,而虛擬技術是軟件化的基礎。軟件定義的特點在于靈活,這意味著安全解決方案也要更加靈活。惡意攻擊者已經意識到:對很多企業和組織而言,企業 IT 基礎設施中的虛擬化組件是企業防御體系中最薄弱的一環。通過攻擊虛擬化組件,他們很容易獲取企業系統的訪問權,從而獲得更有價值的企業機密信息。而復雜和缺乏資源則是IT管理人員所面臨的關鍵問題。虛擬化后的數據中心,虛擬環境里的安全問題需要新的安全產品。
目前針對企業虛擬化設施的安全防護主要有三類解決方案,分別是傳統的反惡意軟件代理程序(即基于代理的手段)、專用的無代理解決方案(即無代理手段)、專用的基于輕代理的解決方案(即輕代理手段)。卡巴斯基實驗室安全專家認為:“上述所有保護手段均采用特定的解決方案架構。他們不僅會直接影響部署與控制反惡意軟件解決方案,也決定了每種保護方式的優勢和不足。”
傳統安全解決方案可以通過有代理的模式對虛擬環境進行全面防護,但執行效率低。傳統基于代理的安全防護,是在每個虛擬機中加載一個完整版本的安全軟件,其中冗余的完整代理程序和反病毒數據庫會降低對資源的利用,進而可能導致過度的資源消耗,是的安全防護出現間隙,降低虛擬機的密度。
無代理模式易于部署,但僅適用于VMware。無代理解決方案僅需為每臺物理主機服務器部署一個名為SVA(安全虛擬工具)的專用虛擬機來執行對惡意程序的掃描,而無需在每臺虛擬機中都安裝獨立的反惡意軟件解決方案。無代理方案與VMware底層緊密結合,無防病毒風暴問題、無防護間隙問題、易于部署維護、實現來了無縫整合、提高了對資源的利用率。
但無代理方案只支持VMware平臺,受制于VMware API使得安全功能單一,產品更新慢,不利于復雜安全環境下的安全防御。無代理模式完全依靠虛擬化平臺提供的程序界面,難以滿足企業虛擬化的安全需求。而且目前市面上還沒有哪款純粹的無代理反惡意軟件解決方案能夠提供高級反惡意軟件功能,如內存檢查或有效的應用程序控制,或提供其他功能同虛擬機內部進程進行互動。
卡巴斯基最新推出的KSV3.0采用了輕代理防護方案,對基于代理的傳統解決方案和無代理解決方案進行了折衷,支持VMware、Microsoft Hyper-V和Citrix Xen三大虛擬化平臺,采用先進架構降低了對資源的浪費,并充分利用虛擬化平臺的特點提升性能。
輕代理安全解決方案能夠實現高級安全保護和性能之間的平衡,達到“兩全其美”。由于存在代理程序,它能夠在虛擬端點部署高級安全和控制功能,同時獨立的安全虛擬工具還能夠負責所有集中任務,避免重復操作,最大程度地減少對系統性能的影響。
基于輕代理的解決方案專門針對虛擬化環境而開發,包含全面的保護功能和控制功能,能夠應對不同類型的威脅,甚至復雜威脅。此外,它由專門的SVA進行基于特征的掃描功能,從而優化了整體性能。正是這一點,讓基于輕代理的解決方案同傳統的基于代理解決方案和無代理解決方案區分開來。
未來企業虛擬化平臺的發展趨勢在于平臺異構,比如VMWARE+CITRIX+Hyper-V。這需要調整應用環境的安全防護方式。比如,服務器虛擬化可以采用無代理防護方式,桌面虛擬化和對安全要求高的服務器虛擬化可以采用輕代理防護,用戶可以根據自身需求選擇適合的防護方案。
卡巴斯基虛擬化安全解決方案,有無代理、輕代理兩類,支持VMware、CITRIX、Hyper-V,安全功能豐富,能夠實現對傳統環境、移動環境、虛擬化環境的統一管理。卡巴斯基中國區技術總監陳羽興表示“統一管理是卡巴斯基的優勢之一,三分技術七分管理,針對云計算、移動、APT的安全解決方案需要實現統一的管理,才能形成整體的安全防御體系。”
卡巴斯基副總經理鄭啟良先生強調“卡巴斯基會進一步提升自身技術能力、服務能力以及售后能力,未來,卡巴斯基將繼續擴展虛擬化平臺安全解決方案的支持范圍。”
京公網安備 11010502049343號