Виртуализация дает возможность запускать больше приложений и сервисов на меньшем количестве серверов, сократить расходы на приобретение и поддержку компьютерного оборудования, аренду помещений и электроэнергию. Поэтому эта технология часто является важной составляющей стратегии IT-департаментов и компаний, предоставляющих облачные сервисы, соответствовать требованиям бизнеса «делать больше, тратя меньше денег». Однако независимо от того, на каких машинах — физических или виртуальных — компания запускает приложения, ей все равно нужна защита от вредоносного ПО и других киберугроз, которые становятся все сложнее и разнообразнее и которые могут угрожать каждодневным бизнес-операциям.
Являются ли виртуальные среды более или, наоборот, менее безопасными?
Тот факт, что виртуальная машина находится за сетевым экраном в корпоративном датацентре, еще не гарантирует ее полной защиты от многих видов угроз извне. Киберпреступники, уже проникшие в корпоративную сеть, будут рассматривать незащищенные виртуальные машины как легкую цель.
Использование существующих политик безопасности
Если компания признает потребность защищать приложения и данные на физических серверах, то ей следует понимать, что аналогичная потребность существует и по отношению к виртуальным средам.
Первый шаг для обеспечения безопасности виртуальной среды может быть очень простым: взять действующие политики безопасности, которые в компании уже применяются к физическим серверам и рабочим станциям, и распространить их на новую виртуальную среду. Однако хотя воспроизведение политик безопасности вполне может иметь смысл, их расширение на виртуальную среду может создать бреши в системе безопасности, заметно увеличить затраты на IT, снизить эффективность системы. Выбор технологий безопасности для виртуальных машин должен быть тщательно продуман. Традиционные продукты безопасности, требующие установки полноценного агента на каждую виртуальную машину, могут создать крайне нежелательные побочные эффекты.
Защитные решения на основе полноценных агентов
Защитные решения на базе агентов — это, по сути, то же самое ПО, которое традиционно устанавливается на физических машинах. В невиртуальной среде защитное решение и антивирусная база полностью устанавливаются на машине — сервере или настольном ПК. Использование таких продуктов на базе полноценных агентов в виртуальной среде неэффективно. На каждой виртуальной машине потребуется полная установка агента и баз сигнатур. Если у компании сто виртуальных машин, запущенных на одном хост-сервере, то на этом хост-сервере будет находиться сто экземпляров агента безопасности и сто экземпляров баз сигнатур.
Такое многократное дублирование данных занимает большой объем памяти. Кроме того, большое число запущенных копий агента безопасности неэффективно расходует вычислительные мощности, особенно если защитное ПО запускает ресурсоемкие процессы на многих виртуальных машинах, размещенных на хосте.
Если одной из мотиваций запуска проекта виртуализации является желание «выполнять больше задач на меньшем количестве оборудования», то все, что отрицательно повлияет на уровень консолидации виртуальных машин (плотность виртуальных машин на хост-сервере), станет серьезной помехой возврата инвестиций от проекта. Вдобавок к нерациональному дублированию защитного ПО и базы сигнатур, применение защитных продуктов на базе полноценных агентов может также привести к следующим последствиям, ухудшающим производительность системы, или способствующим появлению брешей в защите.
Instant on gaps (бреши в системе защиты отключенных от интернета ВМ или перенос рабочей нагрузки (перенос ВМ с одного хост-сервера на другой))
- Update storms («шквальное» обновление)
- Scanning storms («шквальное» сканирование)
- Panic attacks («панические атаки»).
Защита без агентов
Для виртуальных сред на VMware существуют защитные решения без использования агентов. Они применяют специальную возможность в VMware vSphere — функцию доступа к файловым системам в виртуальных машинах.
В то время как традиционные решения требуют, чтобы на каждой ВМ на хост-сервере была установлен экземпляр агента безопасности и база сигнатур, решения без использования агентов требуют лишь один экземпляр базы сигнатур и одну специальную виртуальную машину (такая ВМ называется «виртуальное устройство безопасности»), выделенную под обеспечение безопасности всех ВМ, работающих на хосте.
Решения без использования агентов могут защищать виртуальные серверы и виртуальные рабочие станции, не оказывая значительного влияния на производительность гипервизора. По сравнению с традиционными защитными продуктами на основе агентов, решения без использования агентов гораздо менее требовательны к ресурсам процессора хоста, памяти и емкости; таким образом, может достигаться более высокая плотность виртуальных машин и более высокая производительность критических приложений и бизнес-процессов, легче разворачиваются и автоматически защищаются только что созданные виртуальные машины; наконец, от таких проектов выше возврат инвестиций.
Кроме того, при выделении под безопасность одной специальной ВМ, устраняются ситуации «шквального» сканирования и обновления, когда блокируется работа других приложений. Наконец, не возникают бреши в системе защиты отключенных от интернета ВМ», оставляющие виртуальные машины не полностью защищенными на период между их выходом из неактивного состояния и обновлением баз данных средства безопасности.
«Легкие» агенты
Для виртуальной инфраструктуры на базе Citrix и Microsoft, решения без использования агентов неприменимы. Однако существуют защитные решения, использующие сочетание виртуального устройства на хост-сервре и «легкого» агента на каждой виртуальной машине. Такие решения на базе «легких» агентов могут обеспечить повышенный уровень безопасности и относительно высокий коэффициент консолидации виртуальных машин.
Решения на базе «легких» агентов зачастую предоставляют технологии защиты и управления, которых нет у решений без использования агентов, в том числе:
- возможность сканирования памяти и обнаружения резидентного вредоносного ПО;
- инструменты контроля, которые особенно полезны для среды виртуальных рабочих станций;
- защита сети, размещаемая на хосте, в том числе сетевой экран и система предотвращения вторжений (HIPS).
Несмотря на то, что на каждой виртуальной машине размещается «легкий» агент, «шквальных» обновлений не происходит, поскольку антивирусная база существует лишь в одном экземпляре и находится внутри виртуального устройства. Также устраняются ситуации «шквального» сканирования, поскольку защитное виртуальное устройство автоматически рандомизирует сканирование файловой системы.
Как выбрать защитное решение
Для обеспечения безопасности виртуальных сред нет универсального решения «на все случаи жизни». Оптимальное решение для конкретной организации (и соответствующая уникальная архитектура IT-инфраструктуры) — зависит от ряда факторов, в числе которых:
- уровень риска, с которым может столкнуться компания;
- ценность данных, которые хранятся и обрабатываются в ее системах;
- коэффициент консолидации виртуальных машин, который компания хотела бы достичь;
- виртуальная среда организации, включая серверы и рабочие станции;
- выбор платформы виртуализации, включая VMware, Citrix или Microsoft.
Хотя могут быть некоторые случаи, требующие применения традиционного защитного продукта на базе полноценных агентов, как правило, желательна архитектура безопасности, оптимизированная для виртуальных сред, поскольку именно она обеспечивает оптимальную производительность, консолидацию и стоимость эксплуатации.
Если говорить о решениях, оптимизированных для виртуализации, выбор стоит между решением без использования агентов и защитным решением на базе «легкого» агента:
- Для виртуальных сред на базе VMware, решение без использования агентов позволит достичь высокого уровня консолидации и значительного увеличения эффективности инвестиций благодаря легкости установки и простоте управления. Решение на базе «легкого» агента также является опцией.
- Защитное решение на базе «легкого» агента может обеспечить повышенный уровень защиты. Поскольку для виртуальных инфраструктур на базе Citrix и Microsoft решение без использования агентов не существует, для таких сред наилучшим выбором будут решения на «легких» агентах.
- Традиционное решение на базе полноценных агентов, учитывающее особенности виртуальных сред, может быть уместным в тех случаях, когда компания использует множество различных гостевых операционных сред, в том числе Linux, или использует менее распространенный гипервизор.
Для некоторых предприятий может оказаться подходящим сочетание защитных продуктов без агентов и продуктов на базе «легких» агентов.
Например, в интенсивно контролируемой среде датацентра, когда серверы выполняют работу, которая не требует постоянного подключения к интернету, решение без использования агентов может обеспечить достаточную защиту.
Однако в среде, состоящей из виртуальных рабочих станций, — где контроль над тем, как виртуальные рабочие станции используются сотрудниками, гораздо меньше, могут быть востребованы более глубокие слои защиты, которые обеспечивает защитное решение на базе «легких» агентов. Особенно это касается случаев, когда компания выбирает защитное решение на «легких» агентах, включающее дополнительные защитные технологии, такие как функции контроля приложений, контроля устройств и веб-контроля, которые могут защищать от некорректных или небезопасных действий пользователей.
Kaspersky Lab предоставляет защитные решения для виртуальных сред на базе Windows, включая VMware, Citrix, Microsoft, а также для сред, созданных на базе двух или более решений для виртуализации, позволяя гибко выбирать защиту в зависимости от потребностей организации. Приобретение Kaspersky Security для виртуальных сред, дает доступ одновременно как к решениям без использования агентов, так и к решениям на базе «легкого» агента, позволяя развернуть различные защитные приложения на разных участках виртуальной инфраструктуры. Также есть выбор между лицензированием по количеству ВМ и по числу ядер.
В состав Kaspersky Security для виртуальных сред включен компонент Kaspersky Security Center — простой элемент управления, с помощью которого можно из единой консоли конфигурировать и контролировать технологии безопасности и системного администрирования Kaspersky Lab на физических, виртуальных и мобильных устройствах, просто и эффективно обеспечивая безопасность всей IT-инфраструктуры организации.
Автор материала
Матвей Войтов,
менеджер по продуктам
Kaspersky Lab
