Ранее мы опубликовали обзор функциональных возможностей Symantec Endpoint Protection 12 (часть 1 и часть 2). В настоящей статье мы заострим внимание на методах оптимизации, применяемых компанией Symantec для защиты виртуальных сред, реализованных в данном продукте. Специалисты компании Symantec используют собственный подход оптимизации, подразумевающий снижение нагрузки на гипервизор без отказа от агентной антивирусной технологии.
Данный подход может подойти в тех случаях, когда безопасность защищаемых машин является более важным моментом по сравнению с необходимостью тотальной минимизации использования ресурсов гипервизора или настройка и использование интерфейса VMware vShield, а также установка дополнительной виртуальной машины защиты на каждый из защищаемых хост-серверов нецелесообразны. Дело в том, многие производители по виртуализации не предоставляют достаточно интерфейсов производителям средств защиты, необходимых для реализации полноценной защиты.
Даже VMware, идущая опережающими темапами с vShield, не позволяет в полной мере реализовать все необходимые технологии защиты в рамках выделенной виртуальной машины. Поэтому, встает выбор: либо пользоваться ограниченными технологиями защиты и не использовать агентов на виртуальных машинах, либо пользоваться всем разнообразием технологий и устанавливать агент. В компании Symantec решили не ограничивать своих заказчиков средствами защиты, но, при этом, предоставить им использовать технологии оптимизации, позволяющие разгрузить гипервизоры. Отдельно стоит отметить, что версия безагентной защиты от Symantec тоже на подходе, более подробно об этом будет рассказано в конце статьи.
В настоящее время использование виртуализации при построении ИТ-инфраструктуры привлекает всё большее число предприятий. Но, до недавнего времени, администраторы уделяли незначительное значение тому факту, что внедрение виртуализации накладывает риски, связанные с дополнительными уязвимостями виртуальных инфраструктур воздействию злоумышленников и вредоносных программ.
Производители лицензируют свои продукты для защиты объектов виртуальных инфраструктур предприятий на сегодняшний момент практически все производители корпоративных антивирусных продуктов, требуя оплату за защиту каждой виртуальной машины. Но, при этом, не все из них реализовали схемы, позволяющие снизить дополнительную нагрузку, производимую на гипервизоры защитными продуктами.
При использовании классических корпоративных антивирусных решений для защиты виртуальных машин дополнительная нагрузка складывается как из постоянной нагрузки, возникающей вследствие постоянной работы модулей антивирусной защиты, так и периодической, возникающей во время получения и применения обновлений вирусных баз и компонентов антивирусной системы.
Также дополнительная нагрузка проявляется при сканировании по требованию файлов, расположенных в виртуальных машинах – если антивирус никак не оптимизирован для виртуализации, антивирус многократно сканирует одинаковые файлы, расположенные в разных защищаемых виртуальных системах, расположенных в виртуальной инфраструктуре предприятия. И это приводит не только к напрасной дополнительной нагрузке на гипервизор, но и значительно увеличивает время сканирования.
Большинство популярных в России производителей антивирусных продуктов для предприятий, на сегодняшний день пошли по пути создания специализированных продуктов для защиты виртуализации, подразумевающие работу через интерфейс продуктов семейства VMware vShield. В числе таких продуктов Trend Micro DeepSecurity, Kaspersky Security для виртуальных сред и BitDefender Security for Virtualized Environments.
При этом остальные популярные производители защитных программ уделяют данной тематике незначительное внимание, предлагая для защиты виртуальных машин те же средства, что и для защиты остальных компьютеров, расположенных в локальной сети. Среди таких производителей – ESET, AVG, «Доктор Веб» и Sophos. Стоит отметить, что у Sophos в линейке продуктов присутствует такой компонент, как Sophos Virtualization Scan Controller, позволяющий отслеживать количество сканеров по требованию, запущенных одновременно по расписанию, и позволяющий не допустить излишнюю нагрузку на гипервизор. При этом, для защиты виртуальных машин Sophos предлагает тот же корпоративный продукт, что и для настольных компьютеров.
На сегодняшний день компания Symantec также отдала предпочтение агентной технологии вместо того, чтобы выпускать отдельный продукт для защиты виртуальных сред. Эта компания пошла особым путём, решив продолжить использование классической агентной технологии, но, при этом, разработав собственную оптимизацию защиты для виртуализации.
Рассмотрим подробнее, как реализована эта оптимизация на сегодняшний день.
В продуктах Symantec заявлена поддержка следующих продуктов виртуализации:
- VMware WS 5.0 (рабочая станция) или более поздняя версия;
- VMware GSX 3.2 (промышленного класса) или более поздняя версия;
- VMware ESX 2.0 (рабочая станция) или более поздняя версия;
- VMware VMotion;
- Microsoft Virtual Server 2005;
- Windows Server 2008 Hyper-V;
- Novell Xen.
Это означает, что, как серверную, так и клиентскую часть Symantec Endpoint Protection 12 можно устанавливать на виртуальные машины, работающие под управлением перечисленных гипервизоров.
Для снижения нагрузки на хост-сервера предлагается использовать следующие возможности:
- использование технологии Shared Insight Cache в виртуальной среде;
- рандомизация обновления клиентов.
- рандомизация плановых сканирований;
- использование технологии Virtual Image Exception
Рандомизация сканирования решает проблемы с нагрузкой на гипервизоры при одновременном запуске сканирования в виртуальных средах, в которых находится большое количество виртуальных машин. На каждом из хост-серверов могут выполняться сотни и более виртуальных машин. Если рандомизировать сканирование, т.е. разнести сканирование различных виртуальных машин случайным образом во времени в рамках указанного диапазона, то это положительным образом скажется на нагрузке гипервизоров.
Т.е. администратор может запланировать сканирование на определённое время, скажем, на 20.00. И если при этом выберет 4-часовой интервал сканирования на виртуальных машинах, где установлен клиент Symantec Endpoint Protection, то сканирования на различных экземплярах виртуальных систем будет запускаться случайным образом в период времени с 20 до 24 часов, тем самым снижая в это время среднюю нагрузку от сканирования на гипервизор.
Сервер Shared Insight Cache является отдельным приложением, которое устанавливается на сервере или в виртуальной среде. Он позволяет не сканировать повторно файлы, которые были определены Symantec Endpoint Protection как чистые. Этот компонент можно использовать как при плановых сканированиях, так и при запускаемых вручную.
Напомним, что Insight – это репутационная технология Symantec для определения уровня угрозы каждого файла. При работе этой технологии определяется рейтинг безопасности с помощью проверки следующих характеристик файла и его контекста:
- Источник файла;
- Новизна файла;
- Распространённость файла в сообществе Symantec;
- Другие показатели, например, связь файла с вредоносными программами.
При развёртывании Symantec Endpoint Protection в локальной сети предприятия, где используется виртуализация, можно использовать специальную утилиту Virtual Image Exception. Эта утилита позволяет исключить из сканирования файлы, входящие в состав базового, т.е. эталонного, образа системы на наличие угроз. Это позволяет существенно сократить время, затрачиваемое на сканирование системных файлов и файлов стандартных для организации прикладных программ, изначально внеся их в исключения из сканирования и не дожидаясь, пока отработает технология Insight.
Утилита Virtual Image Exception поддерживается как для управляемых клиентов Symantec Endpoint Protection, так и для неуправляемых. Утилита Virtual Image Exception поддерживает локальные диски и работает с файлами, расположенными на разделах с файловой системой NTFS.
Рандомизация обновления клиентов включена в Symantec Endpoint Protection по умолчанию и позволяет разносить по времени обновление каждого клиента, снижая нагрузку как на гипервизор, так и на нагрузку на локальную сеть предприятия. Поддерживается рандомизация обновления как при использовании локально установленного сервера обновлений, так и при загрузке обновлений с сервера LiveUpdate.
По умолчанию установлены оптимальные параметры, рекомендуемые производителем, но в некоторых случаях может потребоваться увеличение периода рандомизации обновлений. При этом необходимо найти оптимальный баланс между нагрузкой на хост-сервера, на которых расположены виртуальные машины, и периодом между обновлениями. Последний не должен быть слишком большим, иначе это может привести к снижению уровня безопасности, который обеспечивает антивирус.
Выводы
Как видим, перечисленные инструменты могут позволить существенно снизить нагрузку на хост-сервера, работающие в виртуальной инфраструктуре предприятия, не отходя от классической агентной технологии, присущей корпоративным антивирусным продуктам. Также данный подход может помочь сэкономить денежные средства, которые необходимы на покупку дополнительного дорогостоящего ПО, такого как VMware vSphere Endpoint, необходимого для работы антивирусных решений по безагентной технологии.
Ещё одним плюсом данной технологии является тот факт, что она не привязана к программному обеспечению одного из производителей программного обеспечения для виртуализации – оптимизацию для защиты виртуальных сред от Symantec можно использовать совместно с программным обеспечением VMware, Microsoft и Novell. Всё это может сделать Symantec Endpoint Protection одной из реальных альтернатив при поиске подходящего решения для защиты локальной сети предприятия, содержащей объекты виртуальной инфраструктуры.
В настоящее время есть бета-версия SEP 12.1.2, в которой реализована защита виртуальных машин через vShield. Релиз данной версии продукта ожидается до конца 2012 года, при этом, это будет тот же продукт с возможностью выбора: либо использовать безагентное сканирование, либо с использованием агента. Если это случится, то пользователям защитных продуктов этой компании будет предоставлен больший выбор. В частности, будет решена проблема сканирования отключенных виртуальных машин, которые невозможно просканировать при использовании стандартной агентной технологии.