整合Hypervisor架構 排除虛擬化防毒效能瓶頸

為順應企業紛紛導入伺服器虛擬化技術來提高利用率、降低建置成本,傳統以防毒軟體為核心的資安防禦廠商,例如趨勢科技、Sophos等,開始陸續整合加入虛擬化平台的支援,讓用戶不再需要在VM中安裝代理程式,可直接從虛擬層(Hypervisor)來保護虛擬主機。

防毒軟體可說是端點防護中最基礎的工具,即使已進入到虛擬伺服器架構,仍舊是在每個虛擬主機中安裝代理程式。趨勢科技亞太區資深產品行銷經理吳韶卿觀察,其實許多IT人員不喜歡Host-based的資安防禦,因為會讓原本就忙碌的伺服器更增負擔,但有時為了法規遵循,至少必須要有防毒機制,才會在各個虛擬主機中皆安裝防毒軟體。

傳統防毒運作模式 易爭奪虛擬主機資源

「隨著VMware虛擬技術逐漸為多數企業所接受,企業端往往發現,一個Host主機上有10個Guest OS,都安裝防毒程式之後,感覺伺服器效能變慢,卻不知道到底哪個環節所導致。」Sophos技術經理詹鴻基指出。其實防毒軟體的掃描有分兩種:即時與排程,在Guest OS上安裝防毒程式會感到效能變慢,是因為排程掃描才會有影響,因為即時掃描並非時刻都在執行,平時不致會佔用CPU與I/O,反而是排程掃描,若掃描程式循傳統模式,設定固定時間、套用統一政策,同時執行之下自然會明顯消耗掉多數硬體效能。

病毒掃描所產生的資源爭奪問題,同時也會發生在病毒碼的更新。吳韶卿指出,為了避開此問題,主流的防毒軟體會利用排程機制,將虛擬主機更新病毒碼的時間交錯設定。

「其實系統與軟體更新對IT人員而言負擔日漸增大。首先要能夠確認該系統更新程式執行後,不致影響既有正常服務,因此必須先在應用系統模擬環境中測試,確認後才會更新到線上應用系統。然而現在需要不定期更新程式的環節越來越多,作業系統、應用軟體、資料庫、Java漏洞等方面,平時工作就很忙的IT人員,難免會有遺漏或疏忽。」吳韶卿說。

因此,趨勢科技不僅在Deep Security產品線中整合了防毒、防火牆、入侵防禦偵測(IPS)三大機制,同時具備Visual Patch,在更新程式測試期間,或原廠尚未提供更新程式之前,Visual Patch就能及時加以防禦。更重要的是,日前發布的Deep Security 9新版,已加入VMware vSphere 5.1與vCloud Networking and Security 5.1的支援,讓安全機制得以經由Hypervisor來運行,目的性雖相同,但實作上已不須再逐台虛擬主機安裝代理程式,可減緩資源爭奪方面的問題。


▲趨勢科技Deep Security 9整合VMware技術平台,從Hypervisor為虛擬主機安全把關。 (資料來源:趨勢科技)

搭配虛擬平台技術 實現無代理程式防護

針對VMware虛擬技術平台,新版Deep Security 9是以Virtual Appliance方式提供。防火牆與IPS是藉由VMsafe API來跟Hypervisor互動;防毒引擎、網頁信譽評等(Web reputation)、一致性監控(Integrity monitoring),則是透過vShield Endpoint跟虛擬主機上的作業系統掛鉤(Hook),來偵測與攔阻惡意程式。

「這種無代理程式架構的好處是,當新增一個虛擬主機時,不需要再重新建置資安防護程式,因為所有的防護機制都是在底層運行,且安全機制是直接套用到被定義的資源,不論是搬移、新增、修改,都不影響安全控管機制。」吳韶卿強調。當然,虛擬主機中不安裝代理程式,又要達到監看系統核心檔案執行行為,勢必要透過技術平台商所提供的API才有能力達成。

近期發布的Sophos Server Protection,同樣屬無代理程式模式,讓虛擬主機的防毒機制透過Hypervisor呼叫vShield Endpoint執行。詹鴻基說明,Sophos在VMware平台的架構方式是透過Virtual Appliance,跟VMware vCenter介接,之後就可以跟虛擬主機上VMware的管理程式互動,最後執行結果會由Virtual Appliance主動回報給Sophos統一管理介面。

「至於防火牆機制Sophos並沒有提供,主要是因為實用性並不高。」詹鴻基指出。IT人員大多不會啟用端點防火牆功能,除了設定較複雜外,還可能引發爭議,因為用戶端環境所使用的應用程式特性皆不同,不時會發生被防火牆阻擋而無法正常運行。但是他認為,IPS則有其必要性,Sophos也有提供Host-IPS機制,主要是因為必須防禦零時差攻擊,可能檔案本身還未被判定為病毒,但執行行為卻出現異常,即可藉由Host-IPS技術及早發現。

虛擬掃描控制器 確認排程依序進行

儘管VMware本身亦具備基本資安防護能力,只是程度上跟專業資安廠商的解決方案仍舊有差異。詹鴻基表示,「就像掃描引擎最具價值之處並不是掃描技術,而是後端的資料庫,SophosLab的防毒資料庫可說是全球OEM市場的大宗,畢竟要做到像是零時差等級的進階防禦,仍舊需仰賴防毒專門廠商才足以提供。」

目前的防毒軟體得以整合Hypervisor層,架構無代理程式的防護機制,主要只能應用在VMware環境,在其他像是Hyper-V、Xen等虛擬平台上,仍舊是以傳統防毒架構來防護,又該如何避免發生資源爭奪問題?詹鴻基說明,Sophos的防毒代理程式架構,具有虛擬掃描控制器(Virtualization Scan Controller),可用以確保不同虛擬主機的排程掃描依序進行,避免耗費太多實體資源。

企業的IT環境大多是實體與虛擬共存,包含Windows、Linux等系統亦是如此。不論是有無代理程式的建置架構,Sophos授權數量計算方式皆相同,是以保護標的為單位計價。「若是一台實體Windows伺服器、一台實體Linux伺服器,以及虛擬平台上的10個虛擬主機皆需要防護,就是12個Sophos Server Protection授權數即可,不需依照不同架構環境添購不同產品,以免再增添採購與建置的複雜度。相較於以實體主機的處理器核心數計價,Sophos的總花費成本較低。」

相信仍有很多公司可能還只是在逐漸轉移到虛擬化環境階段,原本在線上服務的主機系統並不會無端異動,多數是等到汰換年限屆滿時,才會評估是直接升級主機系統,還是轉移到虛擬化平台上運作更具成本效益。而傳統防毒軟體與虛擬化技術的整合後,正可提供IT人員較以往便利的方式配置虛擬環境安全。


追蹤我們Featrue us

本站使用cookie及相關技術分析來改善使用者體驗。瞭解更多

我知道了!