虚拟化平台防病毒技术模板方案-move-2.5

2017年12月6日MCAFEE虚拟化平台防病毒技术方案为XXX公司设计署名AUTHORNAME,TITLE,GROUPORDEPARTMENT,COMPANY文档说明非常感谢XXX给予MCAFEE公司机会参与此次安全防护项目，并希望本文档所提供的解决方案能在整个项目规划和建设中发挥应有的作用。需要指出的是，本文档所涉及到的文字、图表等，仅限于MCAFEE公司和XXX内部使用，未经MCAFEE公司书面许可，请勿扩散到第三方。目录1安全防护现状和需求分析42虚拟化环境下的防病毒解决方案521MOVEFORSERVER622MOVEFORVDI723MOVE相关产品模块8231MOVEAVAGENTLESS（无代理方式）8232MOVEAVMULTIPLEPLATFORM（多平台方式）10233MOVESCHEDULER12234离线虚拟机病毒防护13235针对虚拟机的按需扫描调度133MCAFEE虚拟化环境防病毒的独特优势141安全防护现状和需求分析XXX已经借助虚拟化，在单一物理系统中运行多个虚拟机，从而使资源得到更高效的利用。这样，就可以大幅削减设备的资本支出、降低与电力和冷却相关的能源成本以及节省物理空间。但是虚拟环境下的服务器和虚拟桌面会和传统物理计算机碰到相同的安全性问题，例如病毒、蠕虫、木马程序和恶意软件的入侵。所以在虚拟环境下的服务器和虚拟桌面同样需要考虑如何有效地进行防范。一般情况下，对于物理计算机会安装防病毒软件来实现病毒实时防御，并且配置计算机以便在非工作时间进行按需防病毒扫描，从而最大限度减少干扰。当这些系统被迁移到虚拟环境，众多虚拟机同时更新病毒特征库或者进行按需全盘扫描可能导致内存、存储和CPU使用会出现尖峰，导致这些虚拟机在这段时间内都无法正常提供服务。这种情况通常称为“防病毒风暴”（AVSTORMING）。如今，最常见的做法是使按需扫描调度随机化，不过，这种做法也不理想，我们希望建立一套更加有效的虚拟环境实时防病毒和感知HYPERVISOR按需全盘扫描的自动调度系统。面向虚拟桌面和服务器的MCAFEEMANAGEMENTFOROPTIMIZEDVIRTUALENVIRONMENTSMOVEANTIVIRUS是专门针对上述挑战而设计的解决方案，能够有效降低传统病毒扫描的运营费用，同时提供确保业务成功的安全保护和卓越性能。2虚拟化环境下的防病毒解决方案MCAFEE的解决方案能够让用户继续使用现有的MCAFEEVISURSCANENTERPRISE保护功能，并针对虚拟化环境来对其进一步优化。MCAFEEMOVEANTIVIRUS旨在在虚拟化环境中支持按访问扫描和更新功能，以及按需全盘扫描功能，显著降低传统防病毒部署中常见的对基础设施的影响。借助此轻便的终端组件能够与虚拟化设备沟通，实现各个虚拟机上的防病毒处理。同时使用MCAFEEEPO管理控制台集中制定安全策略分配给每个虚拟机。MCAFEE虚拟化环境下的防病毒分为以下两个套件许可MOVEFORSERVER提供服务器虚拟化环境下的病毒防护MOVEFORVDI提供虚拟桌面环境下的病毒防护MOVE25以后MCAFEE虚拟化环境下的防病毒分为以下两个产品MOVEAVMULTIPLEPLATFORM/MOVESCHEDULERMULTIPLEPLATFORM实现虚拟化环境下的虚拟机的实时和按需病毒防护，不需要安装完全的VSE软件，仅仅通过轻量的MOVEAVAGENT即可实现。此解决方案通过感知HYPERVISOR的负载自动调度按需全盘扫描进程，支持多平台包括VMWARE、CITRIX和HYPERV。MOVEAVAGENTLESS通过VMWARE提供VSHIELDENDPOINT基础架构实现虚拟化环境下的虚拟机的按访问和按需全盘扫描，虚拟客户机中不需要安装MCAFEE组件。以下是两种套件许可允许使用的产品模块MOVEFORSERVERMOVEFORVDIMOVEAVAGENTLESS（无代理方式）MOVEAVMULTIPLEPLATFORM（多平台方式）MOVESCHEDULERMCAFEEVIRUSSCANENTERPRISEMCAFEEVSEFOROFFLINEIMAGESMCAFEEHOSTIPSMCAFEESITEADVISORENTERPRISEMCAFEEEPOLICYORCHESTRATOR21MOVEFORSERVER正常情况下，会对服务器进行配置以便在非工作时间进行按需防病毒扫描，从而最大限度减少干扰。当这些系统被迁移到虚拟环境，对众多虚拟服务器进行调度可能导致出现CPU峰值，进而干扰其他需要进行的运营活动，例如，也安排在这段时间进行的补丁安装和数据备份。如今，最常见的做法是使按需扫描调度随机化，不过，这种做法也不理想，而且不是HYPERVISOR感知的。HYPERVISOR感知能够更灵活地了解HYPERVISOR的整体状况和负载情况，从而最大限度降低运营调度对高效安全处理的影响。MCAFEEMOVE虚拟设备可提供与虚拟桌面类似的功能，能够代表虚拟服务器协调服务，以提供专门针对虚拟环境进一步增强的MCAFEEVIRUSSCAN性能。借助对持续防病毒保护和细化安全管理调度的支持，MCAFEEMOVE虚拟设备可提供现在所缺乏的运营灵活性。迈克菲是服务器脱机扫描原始提供商之一，现在，又对调度功能进行了扩展，已不仅局限于虚拟机状态，调度功能是HYPERVISOR感知的，因此能够根据HYPERVISOR的整体负载对扫描进行调度。当一个HYPERVISOR中部署了多个服务器时，这可确保关键运营活动不会由于意想不到的资源问题被干扰或放弃。对于如今需要全天候保持高性能的系统而言，服务器虚拟化可实现灵活的配置和HYPERVISOR内部的迁移，以满足资源要求。面向虚拟服务器的MCAFEEMOVEANTIVIRUS可为非活动服务器提供脱机安全保护。从而确保这些服务器能够得到有效保护，并且随时可以即时初始化，不会遭遇因病毒扫描而导致的延迟。通过HYPERVISOR感知型调度来对MCAFEEVIRUSSCAN进行优化以最大限度减少安全处理的整体影响，MCAFEEMOVEANTIVIRUS能够为因服务水平协议要求而必须持续运转的服务器提供有效保护。22MOVEFORVDI迈克菲的解决方案能够让用户继续使用他们现有的MCAFEEVIRUSSCAN保护功能，并针对虚拟环境来对其进行优化。MCAFEEMOVEANTIVIRUS是一个附加组件，旨在在虚拟桌面环境中支持按需、按访问病毒扫描和功能更新，能够显著降低传统防病毒部署中常见的对基础设施的影响。借助VMWAREVIEW和CITRIXXENDESKTOP，可支持所有VDI类型，轻便的终端组件能够与MCAFEEMOVE虚拟设备通信，代表各个虚拟机桌面协调防病毒处理。这使得各个虚拟机能够按照在MCAFEEEPOLICYORCHESTRATOREPO管理控制台所设置的独特的策略进行配置，或者选择作为一个工作组加以管理。在整个VDI会话中，动态或持续创建的映像都会得到保护。在虚拟环境中，确保DAT及时更新和按访问启用扫描能够在各个会话过程中提供有效的保护，这一点至关重要。即使您能够快速重新映像，防止您进行这一活动才是首要目标。面向虚拟桌面的MCAFEEMOVEANTIVIRUS能够提供这种能力，而且十分高效，不仅不会影响用户体验，也不会显著影响HYPERVISOR的负载。在各个虚拟机之外进行防病毒扫描，从而实现出色的可扩展性，这显著减少了整体环境的资源需求。迈克菲的解决方案能够支持最多100000个桌面（虚拟和物理），并可借助迈克菲的全球威胁智能感知系统GTI进行持续更新。MCAFEEMOVE虚拟设备能够提供最新的签名，可执行按访问和按需扫描卸载处理，用结果更新各个虚拟机。为各虚拟机分配的内存资源减少，并且能够释放回资源池供更高效地利用。无论虚拟机桌面的原状态如何，MCAFEEMOVE虚拟设备都能提供并确保在整个活动会话过程中的持续安全保护。23MOVE相关产品模块231MOVEAVAGENTLESS（无代理方式）在无代理部署中，VMWAREVSHIELDENDPOINT将HYPERVISOR用作高速连接，从而使MOVESECURITYVIRTUALAPPLIANCESVA能够从来宾镜像外部扫描虚拟机。扫描过程中，SVA会指示VSHIELD缓存安全的文件或删除或拒绝访问恶意文件。您在ESX服务器上安装SVA及组件后，每个镜像自创建时就自动受到保护。无需在客户端VM上安装任何迈克菲软件。我们的VMOTION感知型实施意味着您的虚拟机可以从一台主机移至另一台，目标主机上的SVA将为其提供无缝保护，并且不会对安全扫描或用户体验造成任何影响。VSPHERE中的HYPERVISOR自检可以防止恶意软件防护功能受到影响。与MCAFEEEPO的集成使您能够在VCENTER中监控SVA状态，并在SVA失去连接时向您发出警报。MCAFEEEPO将收到详细描述受影响VM的事件数据。EPO管理SVA上的MOVE配置，提供虚拟环境中的病毒报告。GTI当实时病毒防护检测到可疑程序，会发送DNS请求到MCAFEE实验室维护的中央数据库进行查询。HYPERVISOR运行多个操作系统同时在一个宿主机上运行。SVA提供虚拟客户机病毒防护，与HYPERVISOR上可加载内核模块、EPO和GTI服务器通信。SVA是唯一直接由EPO管理的系统。VMWAREVCENTER管理ESXI服务器的控制台。VSHIELDMANAGER管理SVA和VMWAREVSHIELDENDPOINT的VSHIELD组件，同时监控SVA的健康状态。VIRTUALMACHINES安装在宿主机上完全隔离的客户机系统。232MOVEAVMULTIPLEPLATFORM（多平台方式）通过虚拟技术可以在一个HYPERVISOR上同时运行几十个虚拟机，大大提高了部署效率。虽然虚拟机能够在单个虚拟机上运行传统的防病毒保护，但对基础设施性能造成的累积影响非常大，将直接影响到运营回报和支持的虚拟桌面数量。通过将防病毒扫描进程集中到一个或多个专用虚拟机上，MOVEAV可完全应对这些挑战。确保防病毒进程不会在多个虚拟机中重复，使企业能够从虚拟化基础设施中获得更高的投资回报。要实现MOVEAV对虚拟机的病毒保护，只需要在HYPERVISOR中安装一台专门的病毒扫描服务器（安装MOVEAV），然后在所有虚拟机上通过EPO部署MOVEAVAGENT和策略即可。当一台虚拟机访问可执行程序时，会将文件散列值发送到病毒扫描服务器进行检查，病毒扫描服务器根据病毒特征和GTI信息判断此文件是否可信，然后将结果告知虚拟机上MOVEAVAGENT来决定是否允许此文件执行。当另外一台虚拟机访问相同的可执行程序时，病毒扫描服务器通过查询本地的散列值缓存直接将结果告知虚拟机上MOVEAVAGENT，迅速判定此执行文件是否可信。加快了病毒扫描速度。通过MOVEAV替代原来的VSE的解决方案，可以占用更少的虚拟机资源达到相同的防病毒效果。以上是安装MOVEAV占用的内存资源。233MOVESCHEDULER正常情况下，会对服务器进行配置以便在非工作时间进行按需防病毒扫描，从而最大限度减少干扰。当这些系统被迁移到虚拟环境，对众多虚拟服务器进行调度可能导致出现CPU峰值，进而干扰其他需要进行的运营活动，例如，也安排在这段时间进行的补丁安装和数据备份。如今，最常见的做法是使按需扫描调度随机化，不过，这种做法也不理想，而且不是HYPERVISOR感知的。HYPERVISOR感知能够更灵活地了解HYPERVISOR的整体状况和负载情况，从而最大限度降低运营调度对高效安全处理的影响。MCAFEEMOVESCHEDULER能够代表HYPERVISOR协调服务，以提供专门针对虚拟环境细化安全管理调度的支持，MCAFEEMOVESCHEDULER可提供现在所缺乏的运营灵活性。迈克菲是服务器脱机扫描原始提供商之一，现在，又对调度功能进行了扩展，已不仅局限于虚拟机状态，调度功能是HYPERVISOR感知的，因此能够根据HYPERVISOR的整体负载对扫描进行调度。当一个HYPERVISOR中部署了多个服务器时，这可确保关键运营活动不会由于意想不到的资源问题被干扰或放弃。234离线虚拟机病毒防护MCAFEEMOVEOFFLINESCAN可为非活动虚拟机提供离线安全保护，从而确保这些服务器能够得到有效保护，不会遭遇因病毒扫描而导致的延迟。235针对虚拟机的按需扫描调度MCAFEEMOVESCHEDULER通过HYPERVISOR感知能够更灵活地了解HYPERVISOR的整体状况和负载情况，对虚拟服务器进行按需扫描调度，将防病毒按需扫描分散在一个较长时间的不同时段进行，以便各个虚拟机在该时段内仍然可用，从而最大限度降低对业务服务的影响。3MCAFEE虚拟化环境防病毒的独特优势1支持主流的虚拟化环境，包括VMWARE、CITRIX和MICROSOFTHYPERV。且对客户没有额外的虚拟机软件成本，例如VMWAREVSHIELDAGENT软件LI