Gartner預測,到2015年,企業(yè)數(shù)據(jù)中心40%的安全控制將是虛擬化的,比2010年的5%有大幅度提高。隨著云計算的不斷普及,虛擬化技術的應用越來越廣,虛擬化環(huán)境下的安全防護問題也日益突顯。怎樣才能既保證系統(tǒng)安全,又降低安全防護對虛擬機性能的影響?安全廠商給出的答案是采用無代理安全部署模式。
將虛擬機密度提升兩倍
對于虛擬化環(huán)境下的安全防護,傳統(tǒng)安全的防護策略是在每臺虛擬機上安裝安全防護產(chǎn)品,即有代理模式。“有代理模式在每個VMware虛擬機上安裝殺毒軟件客戶端程序。”國家計算機病毒應急處理中心主任張健在接受記者采訪時表示,采用有代理模式時,“每個VMware虛擬機與原來的客戶端管理模式基本一致,需要升級殺毒軟件、檢測掃描殺毒等操作,這些操作對系統(tǒng)資源消耗比較大,可能影響整個系統(tǒng)的效率”。
傳統(tǒng)安全軟件并不是專門為虛擬化環(huán)境設計的,沒有針對虛擬化環(huán)境下的資源共享進行優(yōu)化。當上百臺虛擬機在同一時間開啟病毒庫自動升級或者自動云查殺,所有虛擬機同時需要網(wǎng)絡資源,那么企業(yè)網(wǎng)絡資源將面臨極大的壓力,這就是所謂的“防病毒風暴”。這與企業(yè)使用虛擬化技術節(jié)約IT資源的初衷顯然是相違背的。
怎樣達到安全防護的目的,又能夠節(jié)約IT資源,降低企業(yè)的IT支出?安全廠商給出的解決方案是部署無代理安全模式的安全解決方案。采用無代理部署模式,用戶無需在每個虛擬機中安裝客戶端程序,而是將其中一臺虛擬機變成安全虛擬機,讓這臺安全虛擬機去管理虛擬化環(huán)境下的其他所有虛擬機的安全防護。用戶只需安裝一次安全防護設備,對這臺安全虛擬機進行升級和維護,就能夠讓其他所有虛擬機得到最新的安全防護。
無代理安全模式可以降低內存和中央處理器的負載,避免“防病毒風暴”。“無代理模式下,病毒庫的升級和簽名管理更加靈活,對VMware虛擬機的性能并沒有影響。”邁克菲資深信息安全專家程智力非常看好無代理安全模式。
采用無代理安全模式,用戶在擴展虛擬機時,無需再次部署安全解決方案,因此總體上降低了企業(yè)的IT成本。趨勢科技中國區(qū)業(yè)務發(fā)展及產(chǎn)品管理高級總監(jiān)鄭弘卿用數(shù)字說明了這一點:“第三方研究數(shù)據(jù)表明,使用無代理防模式的防病毒解決方案,支持的VDI虛擬機密度與傳統(tǒng)防病毒解決方案相比,提升了兩倍。此外,如果客戶計劃運行1000個虛擬桌面,趨勢科技無代理安全解決方案可以幫助用戶節(jié)約IT支出350萬元。”
基于VMware虛擬化平臺
不同廠商在虛擬化實現(xiàn)技術、存儲架構、備份機制、虛擬交換機之間的隔離等方面仍然存在很大差異。因此,安全廠商在跟不同虛擬化廠商合作時,針對不同虛擬化廠商和平臺架構的不同,開放接口不同,安全解決方案進行差異化的開發(fā),這可能會導致更多的開發(fā)成本和周期。正如程智力在接受本報記者采訪時所言:“安全廠商要針對不同的虛擬化平臺進行有針對性的開發(fā)和功能支持,對于一些特殊接口,還要進行有針對性的開發(fā)才能夠予以支持和集成。”
由此可見,無代理安全模式需要與虛擬化系統(tǒng)密切結合在一起。這就要求安全廠商必須得到虛擬化廠家的支持。
盡管安全廠商對無代理安全模式很推崇,但目前已經(jīng)推出相關產(chǎn)品的卻屈指可數(shù),并且這些無代理安全都基于VMware的虛擬化平臺vShield Endpoint,而對Hyper-V、Ctrix卻鮮有涉獵。例如,趨勢科技全球十分之一的員工在從事VMware虛擬化安全解決方案的研發(fā)、銷售工作。
對于為什么選擇VMware,鄭弘卿給出的理由是:“VMware的用戶最多,管理最完善,客戶對無代理安全的需求相對較多。”相比之下,其他虛擬化平臺用戶比較少,并且大多對安全防護水平的要求并不高。
另一個重要的原因是,其他虛擬化平臺并沒有開放接口給這些安全廠商。“我們也在做準備,只等對方同意跟我們合作。”趨勢科技中國區(qū)產(chǎn)品經(jīng)理鐘宇軒說。
對無代理模式的爭議
對于無代理安全,業(yè)界也存在質疑的聲音:由于目前只支持VMware平臺下的Windows操作系統(tǒng),并不適用于Linux操作系統(tǒng),因此無代理安全模式在某些情況下可能存在漏殺的情況。對此,卡巴斯基實驗室亞太區(qū)董事總經(jīng)理張立申坦言:“在病毒查殺方面,有代理模式的分層掃描更細致,病毒查殺能力更強。因此,在無代理模式下,殺毒引擎的性能是否強大、檢測速度是否夠快就顯得尤為重要。”
對于漏殺之說,鐘宇軒并不認同,他認為無代理模式比之前的安全防護策略更加安全,因為“以前的系統(tǒng)是分散的,病毒庫有沒有更新到系統(tǒng)中用戶可能并不知道,對虛擬化進行集中管控之后,經(jīng)過虛擬化平臺的數(shù)據(jù)都會被掃描到”。他告訴記者,趨勢科技Deep Security 8.0,在防病毒的基礎上,增加了無代理完整性監(jiān)控、無代理事件通知等功能。通過VMware的API接口,用戶還可以選擇添加入侵檢測、Web應用防護、漏洞修補和防火墻等更多功能。這使無代理模式正在突破功能單一的弊端,實現(xiàn)更全面的安全防護。在鐘宇軒眼里,無代理是一對多的防護,因重要的是保證這個“一”不會成為單點故障點,所以對無代理安全而言,系統(tǒng)的穩(wěn)定性相當重要。
“無代理模式僅支持VMware平臺,并且不能針對同一個Hypervisor中的不同虛擬機設定不同的掃描防護策略,缺少應用程序管理、HIPS等其他高級防護功能。”因此,用戶如果需要更高等級的防護水準,程智力推薦用戶使用有代理的方式。
統(tǒng)一管理兩種模式
當前,用戶的IT環(huán)境復雜,既包括虛擬化環(huán)境,又包括物理機環(huán)境,還包括混合使用環(huán)境。此外,跨平臺的操作系統(tǒng)同時應用在企業(yè)網(wǎng)絡內部,隨著IT消費化趨勢,個人設備、移動終端的應用越來越廣泛。
在這種情況下,張立申強調,無代理模式和有代理模式需要相互配合。“如果用戶的虛擬化環(huán)境是100臺虛擬機,其中5臺是Linux虛擬機,95臺是Windows虛擬機,用戶可選擇在95臺Windows虛擬機上安裝無代理模式的安全解決方案,在其余5臺Linux虛擬機上安裝有代理防護解決方案。這樣也可以大大節(jié)約虛擬機的資源。”
在混合的系統(tǒng)環(huán)境下,關鍵是如何對有代理模式和無代理模式進行統(tǒng)一管理,并簡化管理。對此,卡巴斯基在其Kaspersky Security for Virtualization中,不僅第一次使用了無代理安全模式,其Kaspersky Security Center還實現(xiàn)統(tǒng)一虛擬環(huán)境、物理環(huán)境和移動辦公環(huán)境進行部署,實現(xiàn)對虛擬機、物理機的安全進行統(tǒng)一管理。
同樣,趨勢科技Deep Security 8.0的亮點之一也是簡化管理。據(jù)趨勢科技鐘宇軒介紹,升級版產(chǎn)品能對系統(tǒng)內的無代理和有代理安全進行統(tǒng)一管理,通過一個虛擬機安全管理平臺,用戶就可以實現(xiàn)跨越虛擬機、物理機和云計算平臺的統(tǒng)一管理,“可以把關有代理安全的命令和程序,決定掃描每個虛擬機的時間”。
盡管無代理模式還存在平臺單一、無法差異化部署防護策略等缺陷,但是在采訪中,專家和業(yè)界人士一致認為,未來無代理模式將成為大勢所趨。
鄭弘卿非??春弥袊臒o代理安全模式發(fā)展,他認為中國在應用落地方面的探索已經(jīng)初見成效,未來一兩年內,通過政府部門通過“十二五”推動云計算發(fā)展,推動交通云、政務云,IT廠商推動醫(yī)療公有云的發(fā)展,云計算在中國的發(fā)展速度會更快,而無代理安全模式也將隨著云計算的發(fā)展快速得到推廣。