Post on 15-Feb-2018
IntroducereVirtualizarea oferă numeroase beneficii, dar ridică și alte probleme de performanță în domeniul securității.
De aici, întrebarea: virtualizarea este contraproductivă din punctul de vedere al securității? Mai mult,
soluțiile de securitate disponibile în prezent afectează o parte dintre beneficiile oferite de virtualizare,
ducând la blocaje și alte probleme în mediile de virtualizare, comparativ cu serverele fizice?
Scopul acestei documentații este de a explora avantajele specifice securității mediilor de virtualizare, de
a prezenta rezultatele mai multor teste de performanță efectuate de Bitdefender și de a oferi informații
despre soluția Security for Virtualized Environments (SVE) de la Bitdefender care suportă toate tipurile
de aplicații hypervisor.
Capcanele securității pentru mediile virtualizateSoluțiile antimalware pe bază de agenți instalate pe mașini virtuale vor deveni, la un moment dat,
perimate ca urmare a inactivității unei mașini virtuale în stare offline. Acesta este un lucru bine
cunoscut. La repornirea mașinii virtuale, soluția de securitate trebuie să descarce ultimele semnături
antivirus și ale motorului, precum și cele mai recente actualizări software. Acest proces de
actualizare poate avea o durată de 5 până la 12 secunde, ceea ce crează o fereastră de oportunități
pentru programele periculoase.
O alternativă la soluțiile antimalware tradiționale este de a profita de soluțiile de securitate integrate
cu VMware Endpoint Security pentru a oferi o soluție fără agenți. Această abordare fără agenți
compensează cel mai probabil problema întârzierii la pornirea sistemului și a protecției antivirus
neactualizate. Cu toate acestea, există și anumite dezavantaje:
• VMware este în prezent singurul furnizor care oferă funcționalitatea fără agenți prin integrarea cu
vShield Endpoint. Pentru organizațiile care lucrează cu furnizori cu hipervizori Xen sau Hyper-V,
pur și simplu nu este disponibilă nicio soluție fără agenți. Mai mult, soluția fără agenți este
limitată exclusiv la mediile Windows. Mediile bazate pe Linux și non-VMware încă trebuie să
folosească soluții tradiționale bazate pe agenți.
• Deși a fost introdusă sintagma fără agenți, aceasta nu este complet adevărată. De fapt, este
necesară instalarea driverului vShield Endpoint pe fiecare mașină virtuală care urmează a fi
protejată.
• Există și limitări în cazul soluției fără agenți, și anume faptul că aceasta suportă numai scanarea
pe bază de fișier. Scanarea memoriei și a regiștrilor, aplicarea și monitorizarea comportamentală,
precum și comanda dispozitivului impun, în continuare, utilizarea soluțiilor tradiționale bazate pe
agenți.
În cele de mai jos, este ilustrată soluția de securitate Bitdefender fără agenți prin integrarea cu soluția
de securitate VMware vShield Endpoint. Cu toate acestea, pentru organizațiile care utilizează alte
soluții de virtualizare, Bitdefender propune o soluție compatibilă cu orice infrastructuri virtualizate.
Scenariu cu rate de consolidareUnul din factorii determinanți ai virtualizării este reprezentat de economiile care derivă din ratele de
consolidare a mașinilor virtuale – atingerea numărului maxim de mașini virtuale care rulează pe o 2
Documentație
singură gazdă. Securitatea trebuie proiectată special pentru virtualizare, cu impact minim asupra
mediului virtual, permițând, astfel, rate maxime de consolidare a mașinilor virtuale.
Dimensionarea cerințelor de hardware pentru un mediu virtual poate varia considerabil de la un
mediu la altul; aceasta depinde în foarte mare măsură de tipul de aplicații care vor rula în mediul
virtual. Trebuie avută în vedere performanța CPU-ului, a memoriei, a rețelei și de stocare în funcție
de tipul de mașini virtuale care vor rula în cadrul mediului. De exemplu, se va obține o rată mai mare
de consolidare a mașinilor virtuale în cazul mașinilor virtuale cu aplicații web comparativ cu mașinile
virtuale care rulează aplicații de baze de date. În funcție de aplicație, se recomandă întotdeauna
alocarea a cel puțin 20% din resursele de sistem utilizate în comun pentru niveluri maxime de
utilizare.
Se recomandă, de asemenea, să se acorde atenție impactului pe care securitatea îl va avea asupra
mediului, conform următoarelor rezultate ale testului de performanță. Vă rugăm să consultați anexa
pentru informații privind mediul de testare.
Cu soluțiile antimalware tradiționale, rata de consolidare obținută pe parcursul testelor a fost de 45
mașini virtuale per server gazdă. Utilizând calculatorul VMware Cost-Per-Application 1, costul mediu
per VM în baza configurației date ar fi $1358,19. Utilizarea CPU-ului și a memoriei este indicată
pentru următoarele configurații:
• SVE într-o configurație fără agenți, integrat cu VMware vShield Endpoint Security (EPSEC)
• SVE într-o configurație fără agenți, integrat cu VMware vShield Endpoint Security (EPSEC) +
1 VMware Cost-Per-Application Calculator
Figura 1: integrare Security for Virtualized Environments – VMware EPSEC
3
Agent silențios SVE
• Numai cu Agent silențios SVE
Rezultatele de performanță sunt clare: soluțiile tradiționale antimalware pe bază de agenți folosesc
cu aproximativ 36% mai mult CPU (83-47) și cu 11% (7/64) mai multă memorie decât soluția SVE
integrată cu vShield. Impactul soluției antimalware tradiționale asupra performanței ar conduce la
necesitatea de a achiziționa hardware suplimentar, ceea ce înseamnă eventuale costuri suplimentare
per VM chiar înainte de a lua în calcul costurile de licențiere aferente soluției antimalware.
În baza rezultatelor testelor de performanță, se poate prespune că SVE permite clienților să utilizeze
cu cel puțin 20% mai multe mașini virtuale per gazdă comparativ cu soluțiile antimalware tradiționale,
în orice mediu virtualizat.
Securitate optimizată a mediilor de virtualizare Soluția Security for Virtualized environments (SVE) oferită de Bitdefender este proiectată pentru a
funcționa în orice mediu virtualizat, permițând clienților să obțină rate de consolidare mai ridicate
pe fiecare server gazdă, comparativ cu soluțiile tradiționale de securitate. Aceasta conduce la
reduceri mai mari de costuri în legătură cu cerințele de hardware, stocare și răcire, permițând,
astfel, clienților să sporească rentabilitatea investiției pentru proiectul de virtualizare al acestora.
Pentru a asigura o rentabilitate mai ridicată, soluția oferită de Bitdefender valorifică tehnologii și
mecanisme de optimizare în curs de brevetare, unele dintre acestea urmând a fi descrise în detaliu
în cele ce urmează.
Scanare centralizată pentru orice mediu virtualizat SVE este o soluție hibridă de securitate, adaptabilă la centrele de date combinate și dinamice
din prezent. Spre deosebire de soluțiile tradiționale de securitate, Bitdefender implementează o
scanare centralizată, alocând o mare parte din funcționalitatea antimalware unui echipament virtual
consolidat dedicat, denumit Security Virtual Appliance (SVA). Această abordare optimizează atât
procesele de scanare la accesare, cât și la cerere, în același timp, deduplicând resursele critice
de calcul pe serverele gazdă. Funcționalitatea scanării proceselor și a memoriei este permisă prin
intermediul Agentului silențios, o componentă software de dimensiuni foarte reduse instalată pe
mașinile virtuale guest.
Agentul silențios asigură integrarea cu Windows Security Center și informează utilizatorul cu privire
la statusul de protecție și jurnalul de evenimente aferente VM. În medii VMware, Agentul silențios
este utilizat numai pentru scanarea memoriei, în timp ce scanarea fișierelor de sistem la cerere sau
la accesare este realizată de driverul vShield Endpoint. Pe alte platforme și sisteme de operare,
Agentul silențios aplică politicile de securitate și alocă procesarea antimalware echipamentului
Security Virtual Appliance prin protocolul TCP/IP.
Scanarea la cerere a mediului se desfășoară secvențial(VM-by-VM). Cu numai un driver și un serviciu
instalate per mașină virtuală, nivelul de utilizare a resurselor sistemului este scăzut, iar impactul
asupra fiecărui server gazdă este minim. Amprenta medie în mediile integrate vShield este 15 MB
de spațiu pe disc și 20MB de memorie.
4
Documentație
Performanță sporită cu mecanisme de stocare în memoria cacheSoluția Security for Virtualized Environments oferită de Bitdefender utilizează un mecanism unic
de stocare în memoria cache, în curs de brevetare, incluzând fișierele și aplicațiile comune ale
sistemului de operare pe o listă albă. Acest proces îmbunătățește semnificativ performanța de
scanare a mașinilor virtuale și este actualizat permanent. Acest lucru este realizat prin intermediul
a două straturi de memorie cache pe care le utilizează soluția, unul dintre acestea fiind memoria
cache self-learning, încorporată în SVA. Agentul silențios utilizează o memorie locală cache pre-
populată în baza variabilelor mediului său, și, astfel, acesta poate aloca scanarea numai a ceea ce
este necesar, excluzând obiectele care sunt sigure.
Soluția Security for Virtualized Environments oferită de Bitdefender utilizează un mecanism unic
de stocare în memoria cache, în curs de brevetare, incluzând fișierele și aplicațiile comune ale
sistemului de operare pe o listă albă. Acest proces îmbunătățește semnificativ performanța de
scanare a mașinilor virtuale și este actualizat permanent. Acest lucru este realizat prin intermediul
a două straturi de memorie cache pe care le utilizează soluția, unul dintre acestea fiind memoria
cache self-learning, încorporată în SVA. Agentul silențios utilizează o memorie locală cache pre-
populată în baza variabilelor mediului său, și, astfel, acesta poate aloca scanarea numai a ceea ce
este necesar, excluzând obiectele care sunt sigure.
Concluzie
Securitatea virtualizării nu ar trebui să afecteze
performanța unui mediu virtualizat de tip centru
de date, astfel renunțându-se la multe dintre
beneficiile avute în vedere prin virtualizare. Soluția
Security for Virtualized Environments (SVE) oferită
de Bitdefender rezolvă această problemă prin
abordarea unică a securității mașinilor virtuale în
cadrul oricărei tehnologii de virtualizare. Arhitectura
soluției Security for Virtualized Environments
oferite de Bitdefender izolează funcționalitatea de
scanare de sistemele protejate, rezolvând multe
din problemele aferente securității virtualizării
menționate anterior. În plus, soluția oferită de
Bitdefender contribuie la sporirea performanței
de securitate prin utilizarea unor mecanisme de stocare în memoria cache avansate, în curs de
brevetare. Aceasta conduce la rate de consolidare mai ridicate în centrele de date virtualizate,
ceea ce, în cele din urmă, înseamnă o reducere a costurilor operaționale, fără a reduce și nivelul de
securitate.
Figura 2: Prezentarea arhitecturii de scanare
5
Despre BitdefenderBitdefender este o companie globală, care oferă soluții de securitate în mai mult de 100 de țări prin intermediul unei rețele extinse de parteneri, distribuitori și revânzători. Din 2001, Bitdefender a produs în mod constant tehnologii de securitate premiate, atât pentru organizații, cât și pentru utilizatori individuali, fiind unul dintre producătorii de top în materie de soluții de securitate care folosesc tehnologii de virtualizare și pe bază de cloud. Cu ajutorul echipelor de cercetare și dezvoltare, alianțelor și parteneriatelor sale, Bitdefender a creat cele mai ridicate standarde de excelență în securitate, atât în ceea ce privește tehnologia sa nr. 1, cât și alianțele sale strategice cu furnizori de renume mondial în domeniul tehnologiilor de virtualizare și pe bază de cloud.
Toate drepturile rezervate. © 2014 Bitdefender.Toate mărcile, denumirile comerciale și produsele la care se face referire în prezentul document sunt proprietatea companiilor respective.
PENTRU INFORMAȚII SUPLIMENTARE ACCESAȚI: ENTERPRISE.BITDEFENDER.COM
AnexăPerformanța a fost testată pe următoarele echipamente hardware și platforme de virtualizare:
Specificații hardware 1x HP ProLiant BL460c G7
2 * Xeon 6 CORE + HT @ 2.53 GHZ (Intel Xeon E5649)
144GB RAM
1.2 TB PCI-E SSD iSCSI memorie (10 GBit)
Infrastructură VDI 20x Windows XP SP3 (32 biți), 1xCPU, 1GB RAM
20x Windows 7 (64 biți), 1xCPU, 2GB RAM
5x Windows 2k8 R2, 1xCPU, 6GB RAM
Platforme virtualizate Citrix XenServer 6.0 + XenCenter 6.0
Citrix XenDesktop 5.5
VMware ESXi 5.0 + vSphere 5.0
Ghid rapid de soluții