Очень сложный выбор: 3 способа защитить виртуальную машину
Защищать или не защищать виртуальные среды от зловредов — вопрос давно и без особой дискуссии закрытый в пользу первого варианта. Другое дело — как защищать? Концепцию безагентового антивируса для платформы VMware мы разработали уже достаточно давно: подробнее о ней можно прочитать в этом посте Евгения Касперского. Но технологии на месте не стоят. Виртуализация привлекает новые прикладные IT-направления, а с ростом её применимости расширяются и специфические требования к защите. Очевидно, что для виртуального десктопа нужно одно, для базы данных — второе, веб-сайтам — третье и так далее. При этом безагентовый антивирус — далеко не единственный вариант защиты, а VMware — хотя и самая популярная, но не единственная платформа виртуализации.Какие есть альтернативы и какая чему больше подходит? Agentless (безагентовая) концепция.
Здесь будет «краткое содержание предыдущей серии», поскольку по этому вопросу уже есть исчерпывающий материал (см. ссылку выше).
В виртуальной инфраструктуре выделяется специальная машина, на которую устанавливается антивирусный движок. Его связь с остальными виртуалками и проверяемыми объектами обеспечивает нативная технология VMware vShield. Кроме того, vShield общается с системой управления антивируса для настройки, применения политик, включения/отключения защиты, оптимизации нагрузки и т.д.
Звучит как панацея, но у этой концепции есть недостаток фича. Это ограниченный антивирусный функционал — по сути, интерфейс vShield допускает только файловый сканер. Никаких продвинутых технологий вроде контроля над приложениями, защиты от эксплойтов, System Watcher, «белых списков», эвристики, device и web control. Да и сканирование тоже в ограниченном виде — без карантина подозрительных объектов, без работы с памятью и процессами.
Это именно фичи, т.к., по всей видимости, в VMware и не собирались давать полноценный интерфейс для всех защитных функций. В принципе, у такого подхода тоже есть применение, но об этом ниже.
А сейчас посмотрим на следующую концепцию — Light Agent («Лёгкий агент»).
В этом варианте вместо vShield с антивирусным движком взаимодействует лёгкий агент, который устанавливается на каждую защищаемую виртуалку. Так мы снимаем ограничения интерфейса VMware для использования всего оборонного потенциала. И при этом сохраняем преимущества безагентного подхода — умеренный аппетит к ресурсам, управляемость, стойкость к «штормам» (деградация производительности кластера из-за одновременного обновления или проверки сразу многих машин).
Да, несмотря на название, лёгкий агент будет «потяжелее» безагентного решения — ему требуется и память в каждой виртуалке, и ресурсы процессора, и новые образы машин с предустановленным агентом. С другой стороны, при сегодняшних мощностях это весьма скромные аппетиты, особенно при условии, что в некоторых стандартных операциях он работает даже быстрее. А с учётом роста качества защиты и вовсе становится ясно, что овчинка выделки стоит.
Ну, ОК, а что делать если антивирус работает только с Windows как гостевой ОС на виртуалке, плюс — очень хочется иметь самый полный набор защитных технологий, включая криптографию? Тогда потребуется традиционный продукт для эндпоинтов. Да, его будет проблематично целиком заточить под развесистую виртуальную инфраструктуру, и внимания такое решение потребует больше, но есть случаи, когда такой подход уместен.
А теперь — к практике. Недавно мы выпустили третью версию нашего продукта для виртуальных сред, реализовав в нем обе концепции защиты (Agentless и Light Agent). Помимо VMware мы теперь поддерживаем Citrix XenServer и Microsoft Hyper-V. К уже имеющемуся безагентовому решению для VMware добавился вариант защиты с использованием лёгкого агента для всех трёх платформ. При этом все продукты управляются из единой консоли, что особо важно для мульти-гипервизорных сред, чтобы не создавать консольный зоопарк.
Так каким задачам, какой вариант больше всего подходит?
В общем случае логика выбора защиты такая: для максимальной защиты гостевой Windows нужен лёгкий агент, на других ОС (Linux, OS X) — продукт для эндпоинтов. Увы, во втором варианте применение ограничено из-за соображений производительности и взаимодействия антивируса с фичами самой виртуальной среды. Над поддержкой других ОС лёгким агентом мы работаем. А если критична производительность, при этом ценность и разнообразие данных невысока и к ним ограничен доступ извне — тогда подходит безагентовое решение.
Мы проанализировали типовые прикладные задачи с использованием виртуализации и составили вот такую любопытную табличку.
Это не исчерпывающая и не однозначная картина — в разных организациях условия могут меняться, а список задач расширяться. Её цель — показать модель угроз и методологию оценки задач и приоритетов.
Возвращаемся к заголовку. Ну, что, выбор-то, получается, совсем даже и не сложный!
