Citrix虚拟化数据中心反病毒最佳实践

Zjzk 2019-12-17

虚拟化巨头Citrix最近在Citrix技术专区的“技术论文”部分发表了一篇深思熟虑的文章,标题为“端点安全和防病毒最佳实践”,概述了与安全厂商合作以购买正确的反恶意软件工具来保护虚拟机,应用程序和桌面的逐点入门知识。Citrix专注于四个具有挑战性的领域。

一、代理注册
二、签名更新
三、性能优化
四、防病毒排除

该博客介绍了Bitdefender完全遵循Citrix最佳实践准则的情况,涵盖了GravityZone虚拟化安全,该功能可为下一代基础架构提供安全性,包括软件定义的数据中心,超融合基础架构和混合云。

1.保护非持久性工作负载
“虚拟数据中心和VDI桌面上的反病毒是否与固定和持久VM端点上的反病毒 不同?”
保护非持久性工作负载(例如快速出现的VDI桌面)带来了许多挑。在这些短暂的工作负载中,通常会通过在安全工具安装过程中生成的GUID来唯一标识计算机,并且占用license,而机器销毁 后仍然会在控制台中留下记录。
企业软件需要集中管理,以进行实时粒度部署操作,安全策略配置和事件报告。GravityZone 专为虚拟化而生。它作为虚拟设备交付,与基础架构管理工具集成,并利用虚拟化基础架构进行无缝操作,因为虚拟化基础架构是实时监控的。GravityZone 虚拟化安全 与基础架构即服务(IaaS)管理工具(包括vCenter Server,Citrix Hypervisor,Nutanix Prism,AWS和Azure)集成在一起,从而可以实时复制库存,并全面了解环境变化。每当从清单中创建,移动或删除虚拟机时,Bitdefender GravityZone 虚拟化安全 都会立即更新,自动清理销毁的虚拟机,自动回收授权。

2.旧版防病毒软件的性能
“当我们的旧版反病毒软件开始扫描时,基础架构将非常卡”
虚拟化数据中心中的旧版防病毒解决方案面临着长期的挑战,AV签名更新会大大降低性能,从而降低数据中心的效率并使用户沮丧。未优化的安全解决方案使用分散式更新,通常使用大型签名文件,这些签名文件必须定期下载和更新(有时每小时一次)并进行连续扫描。在非持久性环境中,这可能导致安全挑战(机会窗口)和大量网络流量(启动时重置签名)。
GravityZone 虚拟化安全扫描卸载解决了这些问题。安全虚拟设备(SVA)处理所有更新,以便每个VDI客户端需要较少的更新。将大量的CPU,内存和磁盘活动占用空间转移到SVA,以便虚拟数据中心环境实现更高的VM到主机密度和出色的VDI性能。
如何正确构建Windows虚拟桌面(VDI)体验备忘单

3.转向“ 无代理防护”
“无代理防护能否解决我所有的虚拟数据中心性能和密度问题?”
不久之前,安全管理员(和安全供应商)对“无代理”安全性寄予了希望,以解决其虚拟数据中心的性能问题,其中性能和密度是主要问题。但是实际上,所有无代理的VM都依赖于一个安全设备,并且未知的文件会在每个VM和安全服务器之间完全传输,从而导致更高的延迟和更慢的性能。如下表所示,无代理防护和轻代理防护各有特色。
无代理防护 轻代理防护
每个主机需要1个 SVA 可跨主机,每200个VM需要1个SVA
通过平台驱动程序导向到安全服务器扫描 由Bitdefender驱动程序处理导向到安全服务器扫描
完整文件传输到SVA进行分析 仅将文件特殊部分传输到SVA
无法实现高可用性 内置高可用和负载均衡

Bitdefender支持VMware,Citrix, KVM无代理防护,Bitdefender轻代理防护支持市场上所有的虚拟化平台。

4.大规模部署的安全性优化
“我将扩大现有的AV解决方案,以适应虚拟数据中心部署的快速增长。”
在大型部署中,安全性优化仍然是一项持续的挑战。传统的安全代理不适用于单一镜像管理,并且缺乏集中式扫描和智能共享功能会降低效率。
Bitdefender通过两层缓存技术克服了这些规模问题。GravityZone 虚拟化安全缓存同时在VM和SVA上进行。缓存还具有两个组成部分:预训练的缓存和自学习缓存。通过这种高效的设计,即使文件出现在多个VM上,SVA也仅检查一次,从而避免了冗余扫描,从而大大减少了数据中心或任何定义的VM群集中的CPU,RAM,IO和网络负载。

5.解决性能问题
“如果没有其他改变,并且用户在抱怨性能,请先检查防病毒软件。”
在尝试对性能问题进行故障排除并确定其根本原因时,虚拟数据中心的管理员面临一个核心挑战。由于活动部件如此之多,并且涉及多个供应商,因此很难定位。
GravityZone SVE为所有服务器,台式机和云虚拟机提供单点集中配置。它实时推送安全策略到端点,并提供远程故障排除界面。

6.缺少智能扫描排除
“我们的旧防病毒软件会导致过多的延迟,因为它一直会扫描克隆 系统之间相同的文件。”
虚拟数据中心管理员面临的最后一个挑战是缺乏智能扫描排除,尤其是在VDI桌面和服务器“克隆”中,智能扫描排除在其中,数千个预安装的操作系统和应用程序文件在VM实例之间是相同的。由于Windows 10的库存安装通常包含超过一百万个不同的文件(甚至在尚未加载任何应用程序之前),为什么还要扫描“已知良好”的文件?
常规的AV工具使用两种常见的方法来扫描虚拟数据中心中的排除项:根本没有针对虚拟化环境的默认排除项,或者针对所有VM工作负载使用了一个排除策略。两种解决方案都不理想。GravityZone SVE包括灵活的扫描排除模型和默认扫描排除,可在您的VM资产范围内快速,可靠地提高性能,或者管理员可以根据其特定的虚拟化基础架构提供商的建议实施自定义排除,Bitdefender内置的排除包括:
Citrix推荐的Citrix Virtual Apps 和Desktops排除项
VMware推荐的VMware Horizon排除项
Microsoft推荐的Windows服务器和台式机排除项
Nutanix推荐的Acropolis 和 Prism排除项目

结论
分层的下一代安全性是必要的,尤其是在虚拟数据中心中,在虚拟数据中心中,安全保护不能以牺牲VM效率,密度或性能为代价。组织应选择专门为虚拟化和云设计的安全解决方案,因为传统的反恶意软件安全性会引入过多的延迟,从而阻碍用户使用占用主机资源,降低整合率并增加成本的“大量”代理的用户体验。实时安全性与基础架构管理工具的集成对于便捷部署,维护实时VM清单,促进安全自动化以及确保在非持久环境中的合规性至关重要。

相关推荐