Citrix虛擬化數(shù)據(jù)中心反病毒最佳實踐

虛擬化巨頭Citrix最近在Citrix技術(shù)專區(qū)的“技術(shù)論文”部分發(fā)表了一篇深思熟慮的文章，標(biāo)題為“端點安全和防病毒最佳實踐”，概述了與安全廠商合作以購買正確的反惡意軟件工具來保護(hù)虛擬機(jī)，應(yīng)用程序和桌面的逐點入門知識。Citrix專注于四個具有挑戰(zhàn)性的領(lǐng)域。

一、代理注冊
二、簽名更新
三、性能優(yōu)化
四、防病毒排除

該博客介紹了Bitdefender完全遵循Citrix最佳實踐準(zhǔn)則的情況，涵蓋了GravityZone虛擬化安全，該功能可為下一代基礎(chǔ)架構(gòu)提供安全性，包括軟件定義的數(shù)據(jù)中心，超融合基礎(chǔ)架構(gòu)和混合云。

1.保護(hù)非持久性工作負(fù)載
“虛擬數(shù)據(jù)中心和VDI桌面上的反病毒是否與固定和持久VM端點上的反病毒 不同？”
保護(hù)非持久性工作負(fù)載（例如快速出現(xiàn)的VDI桌面）帶來了許多挑。在這些短暫的工作負(fù)載中，通常會通過在安全工具安裝過程中生成的GUID來唯一標(biāo)識計算機(jī)，并且占用license，而機(jī)器銷毀 后仍然會在控制臺中留下記錄。
企業(yè)軟件需要集中管理，以進(jìn)行實時粒度部署操作，安全策略配置和事件報告。GravityZone 專為虛擬化而生。它作為虛擬設(shè)備交付，與基礎(chǔ)架構(gòu)管理工具集成，并利用虛擬化基礎(chǔ)架構(gòu)進(jìn)行無縫操作，因為虛擬化基礎(chǔ)架構(gòu)是實時監(jiān)控的。GravityZone 虛擬化安全 與基礎(chǔ)架構(gòu)即服務(wù)（IaaS）管理工具（包括vCenter Server，Citrix Hypervisor，Nutanix Prism，AWS和Azure）集成在一起，從而可以實時復(fù)制庫存，并全面了解環(huán)境變化。每當(dāng)從清單中創(chuàng)建，移動或刪除虛擬機(jī)時，Bitdefender GravityZone 虛擬化安全 都會立即更新，自動清理銷毀的虛擬機(jī)，自動回收授權(quán)。

2.舊版防病毒軟件的性能
“當(dāng)我們的舊版反病毒軟件開始掃描時，基礎(chǔ)架構(gòu)將非?？ā?br/>虛擬化數(shù)據(jù)中心中的舊版防病毒解決方案面臨著長期的挑戰(zhàn)，AV簽名更新會大大降低性能，從而降低數(shù)據(jù)中心的效率并使用戶沮喪。未優(yōu)化的安全解決方案使用分散式更新，通常使用大型簽名文件，這些簽名文件必須定期下載和更新（有時每小時一次）并進(jìn)行連續(xù)掃描。在非持久性環(huán)境中，這可能導(dǎo)致安全挑戰(zhàn)（機(jī)會窗口）和大量網(wǎng)絡(luò)流量（啟動時重置簽名）。
GravityZone 虛擬化安全掃描卸載解決了這些問題。安全虛擬設(shè)備（SVA）處理所有更新，以便每個VDI客戶端需要較少的更新。將大量的CPU，內(nèi)存和磁盤活動占用空間轉(zhuǎn)移到SVA，以便虛擬數(shù)據(jù)中心環(huán)境實現(xiàn)更高的VM到主機(jī)密度和出色的VDI性能。
如何正確構(gòu)建Windows虛擬桌面（VDI）體驗備忘單

3.轉(zhuǎn)向“ 無代理防護(hù)”
“無代理防護(hù)能否解決我所有的虛擬數(shù)據(jù)中心性能和密度問題？”
不久之前，安全管理員（和安全供應(yīng)商）對“無代理”安全性寄予了希望，以解決其虛擬數(shù)據(jù)中心的性能問題，其中性能和密度是主要問題。但是實際上，所有無代理的VM都依賴于一個安全設(shè)備，并且未知的文件會在每個VM和安全服務(wù)器之間完全傳輸，從而導(dǎo)致更高的延遲和更慢的性能。如下表所示，無代理防護(hù)和輕代理防護(hù)各有特色。
無代理防護(hù) 輕代理防護(hù)
每個主機(jī)需要1個 SVA 可跨主機(jī)，每200個VM需要1個SVA
通過平臺驅(qū)動程序?qū)虻桨踩?wù)器掃描 由Bitdefender驅(qū)動程序處理導(dǎo)向到安全服務(wù)器掃描
完整文件傳輸?shù)絊VA進(jìn)行分析 僅將文件特殊部分傳輸?shù)絊VA
無法實現(xiàn)高可用性 內(nèi)置高可用和負(fù)載均衡

Bitdefender支持VMware，Citrix， KVM無代理防護(hù)，Bitdefender輕代理防護(hù)支持市場上所有的虛擬化平臺。

4.大規(guī)模部署的安全性優(yōu)化
“我將擴(kuò)大現(xiàn)有的AV解決方案，以適應(yīng)虛擬數(shù)據(jù)中心部署的快速增長。”
在大型部署中，安全性優(yōu)化仍然是一項持續(xù)的挑戰(zhàn)。傳統(tǒng)的安全代理不適用于單一鏡像管理，并且缺乏集中式掃描和智能共享功能會降低效率。
Bitdefender通過兩層緩存技術(shù)克服了這些規(guī)模問題。GravityZone 虛擬化安全緩存同時在VM和SVA上進(jìn)行。緩存還具有兩個組成部分：預(yù)訓(xùn)練的緩存和自學(xué)習(xí)緩存。通過這種高效的設(shè)計，即使文件出現(xiàn)在多個VM上，SVA也僅檢查一次，從而避免了冗余掃描，從而大大減少了數(shù)據(jù)中心或任何定義的VM群集中的CPU，RAM，IO和網(wǎng)絡(luò)負(fù)載。

5.解決性能問題
“如果沒有其他改變，并且用戶在抱怨性能，請先檢查防病毒軟件?！?br/>在嘗試對性能問題進(jìn)行故障排除并確定其根本原因時，虛擬數(shù)據(jù)中心的管理員面臨一個核心挑戰(zhàn)。由于活動部件如此之多，并且涉及多個供應(yīng)商，因此很難定位。
GravityZone SVE為所有服務(wù)器，臺式機(jī)和云虛擬機(jī)提供單點集中配置。它實時推送安全策略到端點，并提供遠(yuǎn)程故障排除界面。

6.缺少智能掃描排除
“我們的舊防病毒軟件會導(dǎo)致過多的延遲，因為它一直會掃描克隆 系統(tǒng)之間相同的文件。”
虛擬數(shù)據(jù)中心管理員面臨的最后一個挑戰(zhàn)是缺乏智能掃描排除，尤其是在VDI桌面和服務(wù)器“克隆”中，智能掃描排除在其中，數(shù)千個預(yù)安裝的操作系統(tǒng)和應(yīng)用程序文件在VM實例之間是相同的。由于Windows 10的庫存安裝通常包含超過一百萬個不同的文件（甚至在尚未加載任何應(yīng)用程序之前），為什么還要掃描“已知良好”的文件？
常規(guī)的AV工具使用兩種常見的方法來掃描虛擬數(shù)據(jù)中心中的排除項：根本沒有針對虛擬化環(huán)境的默認(rèn)排除項，或者針對所有VM工作負(fù)載使用了一個排除策略。兩種解決方案都不理想。GravityZone SVE包括靈活的掃描排除模型和默認(rèn)掃描排除，可在您的VM資產(chǎn)范圍內(nèi)快速，可靠地提高性能，或者管理員可以根據(jù)其特定的虛擬化基礎(chǔ)架構(gòu)提供商的建議實施自定義排除，Bitdefender內(nèi)置的排除包括：
Citrix推薦的Citrix Virtual Apps 和Desktops排除項
VMware推薦的VMware Horizon排除項
Microsoft推薦的Windows服務(wù)器和臺式機(jī)排除項
Nutanix推薦的Acropolis 和 Prism排除項目

結(jié)論
分層的下一代安全性是必要的，尤其是在虛擬數(shù)據(jù)中心中，在虛擬數(shù)據(jù)中心中，安全保護(hù)不能以犧牲VM效率，密度或性能為代價。組織應(yīng)選擇專門為虛擬化和云設(shè)計的安全解決方案，因為傳統(tǒng)的反惡意軟件安全性會引入過多的延遲，從而阻礙用戶使用占用主機(jī)資源，降低整合率并增加成本的“大量”代理的用戶體驗。實時安全性與基礎(chǔ)架構(gòu)管理工具的集成對于便捷部署，維護(hù)實時VM清單，促進(jìn)安全自動化以及確保在非持久環(huán)境中的合規(guī)性至關(guān)重要。