XXXXX虛擬化平臺防病毒技術(shù)方案

第 XXXXX安全防護(hù)現(xiàn)狀和需求分析 42 虛擬化環(huán)境下的防病毒解決方案 52.1 MOVEAV4.6 52.2 McAfeeMOVE虛擬化環(huán)境防病毒的獨(dú)特優(yōu)勢 73 MOVEAV4.6部署步驟 93.1 安裝MOVEAVServer 113.2 導(dǎo)入MOVEAV擴(kuò)展 113.3 添加MOVEAV部署包到ePO服務(wù)器資料庫 123.4 通過ePO部署MOVEAVagent 123.5 配置策略 12XXXXX安全防護(hù)現(xiàn)狀和需求分析XXXXX已經(jīng)借助虛擬化，在單一物理系統(tǒng)中運(yùn)行多個(gè)虛擬機(jī)，從而使資源得到更高效的利用。這樣，就可以大幅削減設(shè)備的資本支出、降低與電力和冷卻相關(guān)的能源成本以及節(jié)省物理空間。但是虛擬環(huán)境下的服務(wù)器和虛擬桌面會(huì)和傳統(tǒng)物理計(jì)算機(jī)碰到相同的安全性問題，例如病毒、蠕蟲、木馬程序和惡意軟件的入侵。所以在虛擬環(huán)境下的服務(wù)器和虛擬桌面同樣需要考慮如何有效地進(jìn)行防范。一般情況下，對于物理計(jì)算機(jī)會(huì)安裝防病毒軟件來實(shí)現(xiàn)病毒實(shí)時(shí)防御，并且配置計(jì)算機(jī)以便在非工作時(shí)間進(jìn)行按需防病毒掃描，從而最大限度減少干擾。當(dāng)這些系統(tǒng)被遷移到虛擬環(huán)境，眾多虛擬機(jī)同時(shí)更新病毒特征庫或者進(jìn)行按需全盤掃描可能導(dǎo)致內(nèi)存、存儲和CPU使用會(huì)出現(xiàn)尖峰，導(dǎo)致這些虛擬機(jī)在這段時(shí)間內(nèi)都無法正常提供服務(wù)。這種情況通常稱為“防病毒風(fēng)暴”（AV‐Storming）。如今，最常見的做法是使按需掃描調(diào)度隨機(jī)化，不過，這種做法也不理想，我們希望建立一套更加有效的虛擬環(huán)境實(shí)時(shí)防病毒和感知Hypervisor按需全盤掃描的自動(dòng)調(diào)度系統(tǒng)。面向虛擬桌面和服務(wù)器的McAfeeManagementforOptimizedVirtualEnvironments(MOVE)Anti-virus是專門針對上述挑戰(zhàn)而設(shè)計(jì)的解決方案，能夠有效降低傳統(tǒng)病毒掃描的運(yùn)營費(fèi)用，同時(shí)提供確保業(yè)務(wù)成功的安全保護(hù)和卓越性能。虛擬化環(huán)境下的防病毒解決方案McAfee的解決方案能夠讓用戶繼續(xù)使用現(xiàn)有的McAfeeVisurScanEnterprise保護(hù)功能，并針對虛擬化環(huán)境來對其進(jìn)一步優(yōu)化。McAfeeMOVEAnti-Virus旨在在虛擬化環(huán)境中支持按訪問掃描和更新功能，以及按需全盤掃描功能，顯著降低傳統(tǒng)防病毒部署中常見的對基礎(chǔ)設(shè)施的影響。借助此輕便的終端組件能夠與虛擬化設(shè)備溝通，實(shí)現(xiàn)各個(gè)虛擬機(jī)上的防病毒處理。同時(shí)使用McAfeeePO管理控制臺集中制定安全策略分配給每個(gè)虛擬機(jī)。從MOVE4.6以后McAfee虛擬化環(huán)境下的防病毒分為以下兩個(gè)產(chǎn)品：MOVEAVagentless-實(shí)現(xiàn)虛擬化環(huán)境下的虛擬機(jī)的實(shí)時(shí)病毒防護(hù)，不需要安裝完全的VSE或ENS軟件，僅僅通過輕量的MOVEAVAgent即可。MOVEAV多平臺版本-實(shí)現(xiàn)Hypervisor虛擬化環(huán)境下的虛擬機(jī)的實(shí)時(shí)病毒防護(hù)，不需要安裝完全的VSE或ENS軟件，僅僅通過輕量的MOVEAVAgent即可。針對服務(wù)器架構(gòu)的虛擬化解決方案許多人問：“為什么要安全服務(wù)器？”“我有一個(gè)通過我的網(wǎng)絡(luò)安全產(chǎn)品的周界防御——為什么我需要保護(hù)服務(wù)器？然而，我們已經(jīng)看到在Verizon的數(shù)據(jù)泄露報(bào)告服務(wù)器仍然存在安全隱患目標(biāo)。同時(shí)，APT攻擊通常都會(huì)針對服務(wù)器進(jìn)行跳板攻擊，它提供了令人最為簡單和方便的信息獲取方式和跳板攻擊。而且當(dāng)我們在尋找虛擬服務(wù)器時(shí)，管理者并未很好的對虛擬機(jī)進(jìn)行隔離，導(dǎo)致服務(wù)器被攻擊后可訪問多個(gè)服務(wù)器實(shí)例。此外，增加部署多個(gè)虛擬機(jī)管理程序在數(shù)據(jù)中心，需要?jiǎng)?chuàng)造了一個(gè)需要有強(qiáng)大的保護(hù)，在這些不同的環(huán)境，大約有65%的組織正在使用多個(gè)虛擬機(jī)管理程序。另外，組織正在部署更多需要保護(hù)的虛擬機(jī)。所以服務(wù)器的架構(gòu)安全需要關(guān)注今天，許多企業(yè)面臨的挑戰(zhàn)是確保虛擬化環(huán)境的日趨復(fù)雜，作為虛擬機(jī)管理程序和虛擬機(jī)數(shù)量的增長。阻礙通常是缺乏對虛擬化服務(wù)器環(huán)境的理解和/或認(rèn)為通過增加安全性將影響性能和VM密度比。無論服務(wù)器是否虛擬化，數(shù)據(jù)必須受到保護(hù)，并且像這樣的服務(wù)器可以訪問公司的皇冠上的珠寶。通過MOVE的架構(gòu)可解決在服務(wù)器架構(gòu)中的安全問題，如下：掃描風(fēng)暴最小化安裝和更新獲得即時(shí)保護(hù)，對內(nèi)存和處理的影響小，提高VM整合率。Offload的惡意軟件掃描，offload的掃描服務(wù)器自動(dòng)化部署、自動(dòng)實(shí)現(xiàn)防護(hù)集中管理（傳統(tǒng)架構(gòu)與虛擬化架構(gòu)管理）支持主流Hypervisor的虛擬化平臺針對VDI架構(gòu)的虛擬化解決方案為什么虛擬桌面構(gòu)成為企業(yè)主要安全挑戰(zhàn)。我們?nèi)绾螢樘摂M桌面保護(hù)提供安全優(yōu)化。我們?nèi)绾翁峁┨摂M桌面可見性、虛擬桌面安全套件中的全面安全保護(hù)以及我們?nèi)绾蝺?yōu)化虛擬桌面的惡意軟件保護(hù)。即使數(shù)據(jù)沒有保存在用戶的虛擬桌面上，它仍然容易受到與物理設(shè)備等其他的許多問題的攻擊。虛擬桌面仍然可以被惡意軟件感染并被入侵者訪問。用戶仍然可以運(yùn)行不安全的應(yīng)用程序和訪問不安全的網(wǎng)站。另外，用戶存儲文件的數(shù)據(jù)共享、可移動(dòng)介質(zhì)如USB和云存儲，所以VDI是需要保護(hù)的。所以MCAFEEMOVE是基于策略統(tǒng)一的集中保護(hù)，全局檢測和糾正能力，實(shí)時(shí)防御，通過集中管理成一個(gè)自適應(yīng)的反饋回路。那么對于VDI的企業(yè)安全性可在迭代循環(huán)中演化和學(xué)習(xí)，隨著時(shí)間的推移而改進(jìn)。我們將過程和學(xué)習(xí)貫穿于保護(hù)、檢測和糾正作為威脅防御生命周期。威脅防御生命周期服務(wù)，幫助組織有效地阻止威脅，確定妥協(xié)，并實(shí)施快速補(bǔ)救和對策改進(jìn)。這也就是我們McAfee所推薦的TDL架構(gòu)；保護(hù)-綜合預(yù)防最普遍的攻擊載體和病毒檢測-高級監(jiān)視識別異常、可疑行為，以感知低閾值攻擊和不被注意的行為。正確的攻擊分類和反應(yīng)，利用情報(bào)體系優(yōu)化企業(yè)管理適應(yīng)-立即在協(xié)作基礎(chǔ)設(shè)施中應(yīng)用，通過TIE體系實(shí)現(xiàn)ENSforSever解決方案優(yōu)化在虛擬化的技術(shù)架構(gòu)上，產(chǎn)品具備一定的局限性和功能限制，所以會(huì)有用戶通過ENS這樣的全能防護(hù)軟件來對于虛擬化提供防護(hù)，但又不想影響虛擬化的性能。所以在這個(gè)架構(gòu)里，ENSForServer的版本正是能夠解決用戶的需求；支持ENS部署在虛擬化服務(wù)器和VDI環(huán)境支持按需計(jì)劃的掃描功能和計(jì)劃更新的功能，避免掃描風(fēng)暴和更新風(fēng)暴支持Windows和Linux(ENS)可與MOVE一樣限制掃描時(shí)間和計(jì)劃可基于物理機(jī)資源分配掃描頻率MOVEAV產(chǎn)品介紹通過虛擬技術(shù)可以在一個(gè)Hypervisor上同時(shí)運(yùn)行幾十個(gè)虛擬機(jī)，大大提高了部署效率。雖然虛擬機(jī)能夠在單個(gè)虛擬機(jī)上運(yùn)行傳統(tǒng)的防病毒保護(hù)，但對基礎(chǔ)設(shè)施性能造成的累積影響非常大，將直接影響到運(yùn)營回報(bào)和支持的虛擬桌面數(shù)量。通過將防病毒掃描進(jìn)程集中到一個(gè)或多個(gè)專用虛擬機(jī)上，MOVEAV可完全應(yīng)對這些挑戰(zhàn)。確保防病毒進(jìn)程不會(huì)在多個(gè)虛擬機(jī)中重復(fù)，使企業(yè)能夠從虛擬化基礎(chǔ)設(shè)施中獲得更高的投資回報(bào)。要實(shí)現(xiàn)MOVEAV對虛擬機(jī)的病毒保護(hù)，只需要在Hypervisor中安裝一臺專門的病毒掃描服務(wù)器（安裝MOVEAV），然后在所有虛擬機(jī)上通過ePO部署MOVEAVagent和策略即可當(dāng)一臺虛擬機(jī)訪問可執(zhí)行程序時(shí)，會(huì)將文件散列值發(fā)送到病毒掃描服務(wù)器進(jìn)行檢查，病毒掃描服務(wù)器根據(jù)病毒特征和GTI信息判斷此文件是否可信，然后將結(jié)果告知虛擬機(jī)上MOVEAVagent來決定是否允許此文件執(zhí)行。當(dāng)另外一臺虛擬機(jī)訪問相同的可執(zhí)行程序時(shí)，病毒掃描服務(wù)器通過查詢本地的散列值緩存直接將結(jié)果告知虛擬機(jī)上MOVEAVagent，迅速判定此執(zhí)行文件是否可信。加快了病毒掃描速度。通過MOVEAV4.6替代原來的VSE的解決方案，可以占用更少的虛擬機(jī)資源達(dá)到相同的防病毒效果。以上是安裝MOVEAV4.5占用的內(nèi)存資源。McAfeeMOVE虛擬化環(huán)境防病毒的獨(dú)特優(yōu)勢支持主流的虛擬化環(huán)境，包括VMWare、Citrix和MicrosoftHyper-V。且對客戶沒有額外的虛擬機(jī)軟件成本，例如VMWarevShieldAgent軟件license。可以不在虛擬機(jī)上安裝任何防病毒軟件的情況下，通過專用虛擬機(jī)實(shí)現(xiàn)防病毒功能，在虛擬環(huán)境中支持按需、按訪問病毒掃描和功能更新，能夠顯著降低傳統(tǒng)防病毒部署中常見的對基礎(chǔ)設(shè)施的影響。McAfeeMOVE可借助全球威脅智能感知系統(tǒng)（GTI）提供虛擬桌面的零日防護(hù)。所有虛擬機(jī)中的MOVE軟件均通過ePO管理控制臺下發(fā)來進(jìn)行軟件安裝，同時(shí)通過ePO配置相關(guān)策略。所有的病毒爆發(fā)事件均會(huì)上傳至ePO，實(shí)現(xiàn)統(tǒng)一報(bào)表和審計(jì)。通過集中管理降低了維護(hù)成本，節(jié)省了投資。感知Hypervisor負(fù)載，實(shí)現(xiàn)虛擬服務(wù)器環(huán)境下的按需掃描自動(dòng)調(diào)度，為必須持續(xù)運(yùn)轉(zhuǎn)的服務(wù)器提供有效保護(hù)。TIE架構(gòu)整合（DXL）McAfeeThreatIntelligenceExchange集成了多種威脅數(shù)據(jù)源，包括邁克菲全球威脅智能感知系統(tǒng)(McAfeeGTI)、來自VirusTotal的第三方廠商結(jié)果以及針對您的環(huán)境的本地特定信息。共同使用這些信息來準(zhǔn)確確定文件的信譽(yù)風(fēng)險(xiǎn)分?jǐn)?shù)。MOVE通過整合DXL將來自單一威脅遭遇點(diǎn)的洞察信息傳播至所有終端以即時(shí)應(yīng)對威脅，無需提交樣本或等待防病毒簽名更新。以一個(gè)閉環(huán)流程實(shí)現(xiàn)完全自動(dòng)化的自適應(yīng)響應(yīng)，或者以交互方式使用它來防范惡意軟件、高風(fēng)險(xiǎn)文件或有害應(yīng)用。最終結(jié)果是顯著減少了遏制新出現(xiàn)的威脅和采取補(bǔ)救措施所需的時(shí)間。當(dāng)用戶在部署了多平臺的架構(gòu)后，即可將MOVE納入DXL的體系當(dāng)中，即當(dāng)MOVE產(chǎn)生文件的訪問的同事，可通McAfeeThreatIntelligenceExchange根據(jù)全球智能感知數(shù)據(jù)源（如McAfeeGlobalThreatIntelligence(GTI)和第三方數(shù)據(jù)源），以及源自實(shí)時(shí)和歷史事件數(shù)據(jù)（來自終端、網(wǎng)關(guān)和其他安全組件，如IPS\郵件網(wǎng)關(guān)\MWG）的本地威脅智能感知，輕松定制全面的威脅智能感知，并采取相應(yīng)措施。可以組合、改寫、增加和調(diào)整這些智能源信息，在您自己的環(huán)境中展開操作。同時(shí)TIE可實(shí)施公司自己的文件和證書，以及分配給企業(yè)和由企業(yè)使用的證書等的黑名單和白名單。您還能夠向McAfeeGlobalThreatIntelligence中提供的證書信譽(yù)功能添加自定義首選項(xiàng)。通過整合和維護(hù)本地威脅智能感知，McAfeeThreatIntelligenceExchange可反映活動(dòng)上下文和每個(gè)企業(yè)運(yùn)營環(huán)境中的所有威脅。MOVEAV4.6部署步驟建議在每個(gè)Hypervisor上安裝一臺專用防病毒掃描虛擬機(jī)，運(yùn)行VSE8.8軟件，對其它虛擬機(jī)中的文件進(jìn)行病毒掃描。同時(shí)在其余虛擬機(jī)中安裝MOVEAVAgent即可實(shí)現(xiàn)虛擬機(jī)環(huán)境下的病毒防御。目前XXXXX每臺宿主機(jī)上運(yùn)行6個(gè)以上，10個(gè)以下虛擬機(jī)。專用防病毒掃描虛擬機(jī)必須滿足以下條件：Windows2008R2SP1或者Windows2008SP2(64-bit)操作系統(tǒng)兩個(gè)vCPU2GHz以上8GB內(nèi)存300GB硬盤空間1個(gè)固定IP地址，沒有特別網(wǎng)段要求此專用防病毒掃描虛擬機(jī)需要進(jìn)行加固，啟用桌面防火墻，僅開放9053端口。MOVEAV支持的虛擬機(jī)包括：?WindowsXPSP3?Windows7(32-bitor64-bit)?Windows2003R2SP2(32-bit)?Windows2008R2SP1(64-bit)?Windows2008SP2(32-bitor64-bit)Windows2012(32-bitor64-bit)andlate注意事項(xiàng)：刪除虛擬機(jī)上的所有防病毒軟件，包括VSE和WindowsDefender。如果安裝了舊版本的VSE，請通過ePO的客戶端產(chǎn)品部署任務(wù)刪除舊版本VSE。將ePO服務(wù)器升級到5.x，將MOVE策略導(dǎo)出然后倒入到新的ePO服務(wù)器。在臨時(shí)ePO服務(wù)器上注冊ePO服務(wù)器選擇“菜單”|“配置”|“已注冊的服務(wù)器”，然后單擊“新建服務(wù)器”。從“描述”頁上的“服務(wù)器類型”菜單中選擇“ePO”，指定一個(gè)唯一的名稱及任何注釋，然后單擊“下一步”。指定下列用來配置服務(wù)器的選項(xiàng)：數(shù)據(jù)庫身份驗(yàn)證方式、數(shù)據(jù)庫名稱、數(shù)據(jù)庫端口、數(shù)據(jù)庫服務(wù)器地址、ePO版本、密碼等信息。將系統(tǒng)傳輸?shù)絜PO服務(wù)器單擊“菜單”|“系統(tǒng)”|“系統(tǒng)樹”，然后選擇要傳輸?shù)南到y(tǒng)。單擊“操作”|“代理”|“傳輸系統(tǒng)”。此時(shí)會(huì)出現(xiàn)“傳輸系統(tǒng)”對話框。從下拉菜單中選擇所需的服務(wù)器，然后單擊“確定”。在將托管系統(tǒng)標(biāo)記為要進(jìn)行傳輸之后，必須在代理與服務(wù)器之間發(fā)生兩個(gè)通信，才能使該系統(tǒng)顯示在目標(biāo)服務(wù)器的系統(tǒng)樹中。完成代理與服務(wù)器間的這兩個(gè)通信所需的時(shí)間長度取決于您的配置。代理與服務(wù)器的默認(rèn)通信時(shí)間間隔為一小時(shí)。安裝MOVEAVServer首先安裝VSE8.8。在Hypervisor中安裝一臺專用病毒掃描服務(wù)器，運(yùn)行MOVEAVServer安裝程序。選擇“Acceptlicenseagreement”接受許可。輸入合適用戶信息。指定病毒掃描服務(wù)端口，默認(rèn)為9053。啟用GTI功能，選擇GTI保護(hù)級別。完成MOVEAVServer安裝，確保服務(wù)正常啟動(dòng)。導(dǎo)入MOVEAV擴(kuò)展在ePO服務(wù)器上，選擇“Menu|Software|Extensions”，點(diǎn)擊“InstallExtension”。瀏覽MOVEAV擴(kuò)展文件目錄，選擇擴(kuò)展文件，點(diǎn)擊