Gartner预测,到2015年,企业数据中心40%的安全控制将是虚拟化的,比2010年的5%有大幅度提高。随着云计算的不断普及,虚拟化技术的应用越来越广,虚拟化环境下的安全防护问题也日益突显。怎样才能既保证系统安全,又降低安全防护对虚拟机性能的影响?安全厂商给出的答案是采用无代理安全部署模式。
将虚拟机密度提升两倍
对于虚拟化环境下的安全防护,传统安全的防护策略是在每台虚拟机上安装安全防护产品,即有代理模式。“有代理模式在每个VMware虚拟机上安装杀毒软件客户端程序。”国家计算机病毒应急处理中心主任张健在接受记者采访时表示,采用有代理模式时,“每个VMware虚拟机与原来的客户端管理模式基本一致,需要升级杀毒软件、检测扫描杀毒等操作,这些操作对系统资源消耗比较大,可能影响整个系统的效率”。
传统安全软件并不是专门为虚拟化环境设计的,没有针对虚拟化环境下的资源共享进行优化。当上百台虚拟机在同一时间开启病毒库自动升级或者自动云查杀,所有虚拟机同时需要网络资源,那么企业网络资源将面临极大的压力,这就是所谓的“防病毒风暴”。这与企业使用虚拟化技术节约IT资源的初衷显然是相违背的。
怎样达到安全防护的目的,又能够节约IT资源,降低企业的IT支出?安全厂商给出的解决方案是部署无代理安全模式的安全解决方案。采用无代理部署模式,用户无需在每个虚拟机中安装客户端程序,而是将其中一台虚拟机变成安全虚拟机,让这台安全虚拟机去管理虚拟化环境下的其他所有虚拟机的安全防护。用户只需安装一次安全防护设备,对这台安全虚拟机进行升级和维护,就能够让其他所有虚拟机得到最新的安全防护。
无代理安全模式可以降低内存和中央处理器的负载,避免“防病毒风暴”。“无代理模式下,病毒库的升级和签名管理更加灵活,对VMware虚拟机的性能并没有影响。”迈克菲资深信息安全专家程智力非常看好无代理安全模式。
采用无代理安全模式,用户在扩展虚拟机时,无需再次部署安全解决方案,因此总体上降低了企业的IT成本。趋势科技中国区业务发展及产品管理高级总监郑弘卿用数字说明了这一点:“第三方研究数据表明,使用无代理防模式的防病毒解决方案,支持的VDI虚拟机密度与传统防病毒解决方案相比,提升了两倍。此外,如果客户计划运行1000个虚拟桌面,趋势科技无代理安全解决方案可以帮助用户节约IT支出350万元。”
基于VMware虚拟化平台
不同厂商在虚拟化实现技术、存储架构、备份机制、虚拟交换机之间的隔离等方面仍然存在很大差异。因此,安全厂商在跟不同虚拟化厂商合作时,针对不同虚拟化厂商和平台架构的不同,开放接口不同,安全解决方案进行差异化的开发,这可能会导致更多的开发成本和周期。正如程智力在接受本报记者采访时所言:“安全厂商要针对不同的虚拟化平台进行有针对性的开发和功能支持,对于一些特殊接口,还要进行有针对性的开发才能够予以支持和集成。”
由此可见,无代理安全模式需要与虚拟化系统密切结合在一起。这就要求安全厂商必须得到虚拟化厂家的支持。
尽管安全厂商对无代理安全模式很推崇,但目前已经推出相关产品的却屈指可数,并且这些无代理安全都基于VMware的虚拟化平台vShield Endpoint,而对Hyper-V、Ctrix却鲜有涉猎。例如,趋势科技全球十分之一的员工在从事VMware虚拟化安全解决方案的研发、销售工作。
对于为什么选择VMware,郑弘卿给出的理由是:“VMware的用户最多,管理最完善,客户对无代理安全的需求相对较多。”相比之下,其他虚拟化平台用户比较少,并且大多对安全防护水平的要求并不高。
另一个重要的原因是,其他虚拟化平台并没有开放接口给这些安全厂商。“我们也在做准备,只等对方同意跟我们合作。”趋势科技中国区产品经理钟宇轩说。
对无代理模式的争议
对于无代理安全,业界也存在质疑的声音:由于目前只支持VMware平台下的Windows操作系统,并不适用于Linux操作系统,因此无代理安全模式在某些情况下可能存在漏杀的情况。对此,卡巴斯基实验室亚太区董事总经理张立申坦言:“在病毒查杀方面,有代理模式的分层扫描更细致,病毒查杀能力更强。因此,在无代理模式下,杀毒引擎的性能是否强大、检测速度是否够快就显得尤为重要。”
对于漏杀之说,钟宇轩并不认同,他认为无代理模式比之前的安全防护策略更加安全,因为“以前的系统是分散的,病毒库有没有更新到系统中用户可能并不知道,对虚拟化进行集中管控之后,经过虚拟化平台的数据都会被扫描到”。他告诉记者,趋势科技Deep Security 8.0,在防病毒的基础上,增加了无代理完整性监控、无代理事件通知等功能。通过VMware的API接口,用户还可以选择添加入侵检测、Web应用防护、漏洞修补和防火墙等更多功能。这使无代理模式正在突破功能单一的弊端,实现更全面的安全防护。在钟宇轩眼里,无代理是一对多的防护,因重要的是保证这个“一”不会成为单点故障点,所以对无代理安全而言,系统的稳定性相当重要。
“无代理模式仅支持VMware平台,并且不能针对同一个Hypervisor中的不同虚拟机设定不同的扫描防护策略,缺少应用程序管理、HIPS等其他高级防护功能。”因此,用户如果需要更高等级的防护水准,程智力推荐用户使用有代理的方式。
统一管理两种模式
当前,用户的IT环境复杂,既包括虚拟化环境,又包括物理机环境,还包括混合使用环境。此外,跨平台的操作系统同时应用在企业网络内部,随着IT消费化趋势,个人设备、移动终端的应用越来越广泛。
在这种情况下,张立申强调,无代理模式和有代理模式需要相互配合。“如果用户的虚拟化环境是100台虚拟机,其中5台是Linux虚拟机,95台是Windows虚拟机,用户可选择在95台Windows虚拟机上安装无代理模式的安全解决方案,在其余5台Linux虚拟机上安装有代理防护解决方案。这样也可以大大节约虚拟机的资源。”
在混合的系统环境下,关键是如何对有代理模式和无代理模式进行统一管理,并简化管理。对此,卡巴斯基在其Kaspersky Security for Virtualization中,不仅第一次使用了无代理安全模式,其Kaspersky Security Center还实现统一虚拟环境、物理环境和移动办公环境进行部署,实现对虚拟机、物理机的安全进行统一管理。
同样,趋势科技Deep Security 8.0的亮点之一也是简化管理。据趋势科技钟宇轩介绍,升级版产品能对系统内的无代理和有代理安全进行统一管理,通过一个虚拟机安全管理平台,用户就可以实现跨越虚拟机、物理机和云计算平台的统一管理,“可以把关有代理安全的命令和程序,决定扫描每个虚拟机的时间”。
尽管无代理模式还存在平台单一、无法差异化部署防护策略等缺陷,但是在采访中,专家和业界人士一致认为,未来无代理模式将成为大势所趋。
郑弘卿非常看好中国的无代理安全模式发展,他认为中国在应用落地方面的探索已经初见成效,未来一两年内,通过政府部门通过“十二五”推动云计算发展,推动交通云、政务云,IT厂商推动医疗公有云的发展,云计算在中国的发展速度会更快,而无代理安全模式也将随着云计算的发展快速得到推广。