神刀安全网

“Linux无代理”破解虚拟化安全难题

随着云计算的不断普及,虚拟化技术的应用越来越广,虚拟化环境下的安全防护问题也日益突显。怎样才能既保证系统安全,又降低安全防护对虚拟机性能的影响?安全厂商给出的答案是采用无代理安全部署模式。

将虚拟机密度提升两倍

对于虚拟化环境下的安全防护,传统安全的防护策略是在每台虚拟机上安装安全防护产品,即有代理模式。采用有代理模式时,每台虚拟机与原来的客户端管理模式基本一致,需要升级杀毒软件、检测扫描杀毒等操作,这些操作对系统资源消耗比较大,也可能影响整个系统的效率。

采用无代理部署模式,用户无需在每个虚拟机中安装客户端程序,而是将所有安全策略集中于宿主机底层,进而接管虚拟化环境下的其他所有虚拟机的安全防护。用户只需安装一次底层驱动,可对这台物理界实现其上所有虚拟机得到全面安全防护。

“采用无代理安全模式,用户在扩展虚拟机时,无需再次部署任何系统,因此总体上降低了企业的IT成本”。360安全专家用数字说明了这一点:“第三方研究数据表明,使用无代理防模式的防病毒解决方案,支持的VDI虚拟机密度与传统防病毒解决方案相比提升了两倍。此外,如果客户计划运行1000个虚拟桌面,360无代理安全解决方案可以帮助用户节约IT支出350万元。”

基于Xen和KVM的虚拟化平台

不同厂商在虚拟化实现技术、存储架构、备份机制、虚拟交换机之间的隔离等方面仍然存在很大差异。因此,安全厂商在跟不同虚拟化厂商合作时,针对不同虚拟化厂商和平台架构的不同,开放接口不同,安全解决方案进行差异化的开发,这可能会导致更多的开发成本和周期。安全厂商要针对不同的虚拟化平台进行有针对性的开发和功能支持,对于一些特殊接口,还要进行有针对性的开发才能够予以支持和集成。由此可见,无代理安全模式需要与虚拟化系统密切结合在一起。这就要求安全厂商必须得到虚拟化厂家的支持。

尽管安全厂商对无代理安全模式很推崇,但目前已经推出相关产品的却屈指可数,并且这些无代理安全都基于VMware的虚拟化平台vShield Endpoint,而对Xen、KVM却鲜有涉猎,而日前,360正式发布了基于Xen、KVM虚拟化平台的无代理安全解决方案。

对于为何选择支持Xen、KVM虚拟化平台,360虚拟化安全专家谈到,“目前,大部分国产虚拟化平台都是基于Xen和KVM而进行开发,满足国产虚拟化平台用户对无代理安全的需求也是我们的业务目标。”

对Linux无代理模式的争议

对于无代理安全,业界也存在质疑的声音:由于大多产品只支持VMware平台下的Windows操作系统,并不适用于Linux操作系统,因此无代理安全模式在某些情况下可能存在漏杀的情况。

360在全球范围内率先宣布支持Linux系统的无代理防护,其系统杀毒引擎的性能更为强大,检测速度更为迅速,分层扫描更细致。对于漏杀之说,360虚拟化安全专家表示,无代理模式比之前的安全防护策略更加安全,因为以前的系统是分散的,病毒库有没有更新到系统中,用户可能并不知道,对虚拟化进行集中管控之后,经过虚拟化平台的数据都会被扫描到。在整套无代理解决方案中,可以在防病毒的基础上,用户还可以选择添加入侵检测、漏洞修补和防火墙等更多功能,这使无代理模式正在突破功能单一的弊端,实现更全面的安全防护。

统一管理两种模式

当前,用户的IT环境复杂,既包括虚拟化环境,又包括物理机环境,还包括混合使用环境。此外,跨平台的操作系统同时应用在企业网络内部,随着IT消费化趋势,个人设备、移动终端的应用越来越广泛。

在这种情况下,无代理模式和轻代理模式需要相互配合。360安全专家强调,“如果用户的数据中心环境是100台服务器,其中5台是物理服务器,95台是虚拟机,用户可选择在95台虚拟机上安装无代理模式的安全解决方案,在其余5台物理机上安装有代理防护解决方案,并且通过控制中心实现对虚拟机、物理机的统一管理和策略下发。同样,360整套虚拟化安全管理系统中的设计原则之一也是简化管理。通过一个安全控制中心,用户就可以实现跨越虚拟机、物理机和云计算平台的统一管理,任何管理行为遵循三键可达为目标。

尽管360在企业数据中心的安全产品起步较晚,但是云计算已为大势所趋,国产虚拟化平台在中国的发展速度会更快,而无代理安全模式也将随着云计算的发展快速得到推广,360将利用其庞大的数据资源和专利技术为依托,奏响虚拟化安全全新乐章。

转载本站任何文章请注明:转载至神刀安全网,谢谢神刀安全网 » “Linux无代理”破解虚拟化安全难题

分享到:更多 ()

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址
分享按钮