xxxxx虚拟化平台防病毒技术方案

1、McAfee虚拟化解决方案防为公司设计2021 年 7 月 13 日文档说明非常感谢给予el Security 机会参与此次安全防护项目，并希望本文档所提供的解决方案能在整个项目规划和建设中发挥应有的作用。需要的是，本文档所涉及到的文字、图表等，仅限于el Security 和内部使el Security用，扩散到第。目录1XX 安全防护现状和需求分析42虚拟化环境下的防解决方案52.1MOVE AV 3.652.2MOVE Scheduler 3.672.2.1离线虚拟机防护82.2.2针对虚拟机的按需扫描调度82.3McAfee MOVE 虚拟化环境防的独特优势93MOVE AV 3.6

2、部署步骤103.1安装 MOVE AV Server123.2导入 MOVE AV 扩展123.3添加 MOVE AV 部署包到 ePO 服务器资料库133.4通过 ePO 部署 MOVE AV agent133.5配置策略131XX 安全防护现状和需求分析XX 已经借助虚拟化，在单一物理系统中运行多个虚拟机，从而使资源得到更高效的利用。这样，就可以大幅削减设备的资本支出、降低与电力和冷却相关的能源成本以及节省物理空间。但是虚拟环境下的服务器和虚拟桌面会和传统物理计算机碰到相同的安全性问题，例如、蠕虫、木马程序和的。所以在虚拟环境下的服务器和虚拟桌面同样需要考虑如何有效地进行防范。一般情况下，

3、对于物理计算机会安装防来实现实时防御，并且配置计算机以便在非工作时间进行按需防扫描，从而最大限度减少干扰 。当这些系统被迁移到虚和 CPU拟环境，众多虚拟机同时更新特征库或者进行按需全盘扫描可能导致内存使用会出现尖峰，导致这些虚拟机在这段时间内都无法正常提供服务。这种情况通常称为“防风暴”（AVStorming）。如今，最常见的做法是使按需扫描调度随机化，不过，这种做法也不理想希望建立一套更加有效的虚拟环境实时防和感知Hypervisor 按需全盘扫描的自动调度系统。面向虚拟桌面和服务器的 McAfee Management for Optimized Virtual Environments

4、(MOVE) Anti-是专门针对上述而设计的解决方案，能够有效降低传统扫描的运营费用，同时提供确保业务成功的安全保护和卓越性能。2 虚拟化环境下的防解决方案McAfee 的解决方案能够让用户继续使用现有的 McAfee VisurScan Entrise 保护功能，并针对虚拟化环境来对其进一步优化。McAfee MOVE Anti-旨在在虚拟化环境中支持按扫描和更新功能，以及按需全盘扫描功能，显著降低传统防部署中常见的对基础设施的影响。借助此轻便的终端组件能够与虚拟化设备沟通，实现各个虚拟机上的防处理。同时使用 McAfee ePO 管理控制台集中制定安全策略分配给每个虚拟机。从 MOVE

5、3.6 以后 McAfee 虚拟化环境下的防分为以下两个产品：MOVEAV - 实现虚拟化环境下的虚拟机的实时防护，不需要安装完全的VSE，仅仅通过轻量的 MOVE AV Agent 即可。MOVEScheduler - 实现虚拟化环境下的虚拟机的按需全盘扫描，通过感知Hypervisor 的负载自动调度按需全盘扫描进程。2.1 MOVE AV 3.6通过虚拟技术可以在一个 Hypervisor 上同时运行几十个虚拟机，大大提高了部署效率。虽然虚拟机能够在单个虚拟机上运行传统的防保护，但对基础设施性能造成的累积影响非常大，将直接影响到运营回报和支持的虚拟桌面数量。通过将防扫描进程集中到一个或多

6、个虚拟机上，MOVE AV 可完全应对这些挑战。确保防进程不会在多个虚拟机中重复，使企业能够从虚拟化基础设施中获得更高的投资回报。要实现 MOVE AV 对虚拟机的保护，只需要在 Hypervisor 中安装一台专门的扫描服务器（安装 MOVE AV 3.6），然后在所有虚拟机上通过 ePO 部署 MOVE AV 3.6 agent 和策略即可。当一台虚拟机可执行程序时，会将文件散列值发送到扫描服务器进行检查，病特征和 GTI 信息判断此文件是否毒扫描服务器根据，然后将结果告知虚拟机上 MOVE AV agent 来决定是否允许此文件执行。当另外一台虚拟机相同的可执行程序时扫描服务器通过查询本

7、地的散列值缓存直接将结果告知虚拟机上 MOVE AV agent，迅速判定此执行文件是否。加快了扫描速度。通过 MOVE AV 3.6 替代原来的VSE 的解决方案，可以占用更少的虚拟机资源达到相同的防效果。以上是安装 MOVE AV 3.6 占用的内存资源。2.2 MOVE Scheduler 3.6正常情况下，会对服务器进行配置以便在非工作时间进行按需防扫描，从而最大限度减少干扰。当这些系统被迁移到虚拟环境，对众多虚拟服务器进行调度可能导致出现 CPU峰值，进而干扰其他需要进行的运营活动，例如，也安排在这段时间进行的补丁安装和数据备份。如今，最常见的做法是使按需扫描调度随机化，不过，这种做

8、法也不理想，而且不是Hypervisor 感知的。Hypervisor 感知能够更灵活地了解 Hypervisor 的整体状况和负载情况，从而最大限度降低运营调度对高效安全处理的影响。McAfee MOVE Scheduler 能够代表Hypervisor 协调服务，以提供专门针对虚拟环境细化安全管理调度的支持，McAfee MOVE Scheduler 可提供现在所缺乏的运营灵活性。菲是服务器脱机扫描原始提供商之一，现在，又对调度功能进行了扩展，已不仅局限于虚拟机状态，调度功能是 Hypervisor 感知的，因此能够根据 Hypervisor 的整体负载对扫描进行调度。当一个 Hyperv

9、isor 中部署了多个服务器时，这可确保关键运营活动不会由于意想不到的资源问题扰或放弃。2.2.1 离线虚拟机防护McAfee MOVE Offline Scan 可为非活动虚拟机提供离线安全保护，从而确保这些服务器能够得到有效保护，不会遭遇因扫描而导致的延迟。2.2.2 针对虚拟机的按需扫描调度McAfee MOVE Scheduler 通过 Hypervisor 感知能够更灵活地了解 Hypervisor 的整体状况和负载情况，对虚拟服务器进行按需扫描调度，将防按需扫描分散在一个较长时间的不同时段进行，以便各个虚拟机在该时段内仍然可用，从而最大限度降低对业务服务的影响。如下图所示，MOVE

10、 Scheduler agent 必须安装在所有虚拟机上。虚拟服务器按需扫描调度的实施：1.在 ePO 上导入 MOVE Scheduler Agent。2.将 MOVE Scheduler Agent推送到所有虚拟机上。3.在 MOVE Scheduler 策略配置中，可以启动按需扫描任务只有在Hypervisor 的 CPU负载最近 5 分钟之内小于 50%的情况下才会开始。2.3 McAfee MOVE虚拟化环境防的独特优势1.支持主流的虚拟化环境，包括 VMWare、Citrix 和Hyper-V。且对客户没有额外的虚拟机成本，例如 VMWare vShield Agentlicens

11、e。2.可以不在虚拟机上安装任何防的情况下，通过虚拟机实现防功能，在虚拟环境中支持按需、按扫描和功能更新，能够显著降低传统防部署中常见的对基础设施的影响。3.McAfee MOVE 可借助全球威胁智能感知系统（GTI）提供虚拟桌面的零日防护。4.所有虚拟机中的 MOVE均通过 ePO 管理控制台下发来进行安装，同时通过ePO 配置相关策略。所有的爆发事件均会上传至ePO，实现报表和审计。通过集中管理降低了成本，节省了投资。5.感知 Hypervisor 负载，实现虚拟服务器环境下的按需扫描自动调度，为必须持续运转的服务器提供有效保护。3MOVEAV3.6部署步骤建议在每个Hypervisor

12、上安装一台防扫描虚拟机，运行 VSE 8.8，对其它虚拟机中的文件进行扫描。同时在其余虚拟机中安装 MOVE AV Agent 即可实现虚拟机环境下的防御。XX 每台宿主机上运行 6 个以上，10 个以下虚拟机。目前防扫描虚拟机必须满足以下条件：Windows 2008 R2 SP1 或者 Windows 2008 SP2 (64-bit) 操作系统两个 vCPU 2GHz 以上8 GB 内存300 GB 硬盘空间1 个固定 IP 地址，没有特别网段要求此防扫描虚拟机需要进行加固，启用桌面，仅开放 9053 端口。MOVE AV 支持的虚拟机包括：Windows XP SP3Windows 7

13、 (32-bit or 64-bit)Windows 2003 R2 SP2 (32-bit)Windows 2008 R2 SP1 (64-bit)Windows 2008 SP2 (32-bit or 64-bit)注意事项：删除虚拟机上的所有防，包括 VSE 和 Windows Defender。如果安装了就版本的 VSE，请通过ePO 的客户端产品部署任务删除旧版本 VSE。X 使用的ePO 版本是 4.0，部署 MOVE 3.6 产品需要ePO 4.5 或 4.6。在生产目前系统的 ePO 无法在今年马上升级的情况下，建议首先选取一台 MOVE AV Server，在上面加装 ePO

14、 4.5，所有 MOVE 客户端均通过此 ePO 进行管理。在明年全行 ePO 升级到 4.5以后，可以将这些 MOVE 客户端无缝切换到全行的 ePO 上，实现无缝迁移。以下是具体的迁移过程：1.将全行ePO 服务器升级到4.5，将MOVE 策略导出然后倒入到新的ePO 服务器。2.在临时 ePO 服务器上全行 ePO 服务器a.选择“菜单” | “配置” | “已的服务器”，然后单击“新建服务器”。b.从“描述”页上的“服务器类型”菜单中选择“ePO”，指定一个唯一的名称及任何注释，然后单击“下一步”。c.指定下列用来配置服务器的选项：数据库验证方式、数据库名称、数据库端口、数据库服务器地

15、址、ePO 版本、等信息。3.将系统传输到全行ePO 服务器a.单击“菜单” |“系统” | “系统树”，然后选择要传输的系统。b.单击“操作” |” | “传输系统”。此时会出现“传输系统”对“话框。c.从下拉菜单中选择所需的服务器，然后单击“确定”。4.在将托管系统标记为要进行传输之后，必须在与服务器之间发生两个通信，才能使该系统显示在目标服务器的系统树中。完成与服务器间的这两个通信所需的时间长度取决于您的配置。与服务器的默认通信时间间隔为一小时。3.1 安装 MOVE AV Server1.首先安装VSE 8.8。2.在 Hypervisor 中安装一台扫描服务器，运行 MOVE AV

16、Server 安装程序。3.选择“Accept license agreement”接受。4.输入合适用户信息。5.指定扫描服务端口，默认为 9053。6.启用 GTI 功能，选择GTI 保护级别。7.完成 MOVE AV Server 安装，确保服务正常启动。3.2 导入 MOVE AV 扩展1.在 ePO 服务器上，选择“| Software | Extens”，点击“Install Exten”。2.浏览 MOVE AV 扩展文件目录，选择扩展文件，点击OK。3.确认在扩展列表中有 MOVE AV 产品名称。3.3 添加 MOVE AV 部署包到 ePO 服务器资料库1.选择“| Sof

17、tware | Master Reitory”，选择“Actions | Check in Package”。2.浏览客户端安装包目录，选择安装包程序。3.将安装包加入到“当前”产品中。3.4 通过 ePO 部署 MOVE AV agent1.选择“| Policy | Cnt Task Catalog”，点击“Actions | New Task”，选择“ProductDeployment”。2.输入任务名称，例如“Install MOVE AV Agent on VM cnt”，选择 Windows，然后选择 MOVE AV Agent 3.6。3.将此任务分配给计算机组安装。3.5 配置策略1.选择“| Policy | Policy Catal