XXXXX虚拟化平台防病毒技术方案

第 XXXXX安全防护现状和需求分析 42 虚拟化环境下的防病毒解决方案 52.1 MOVEAV4.6 52.2 McAfeeMOVE虚拟化环境防病毒的独特优势 73 MOVEAV4.6部署步骤 93.1 安装MOVEAVServer 113.2 导入MOVEAV扩展 113.3 添加MOVEAV部署包到ePO服务器资料库 123.4 通过ePO部署MOVEAVagent 123.5 配置策略 12XXXXX安全防护现状和需求分析XXXXX已经借助虚拟化，在单一物理系统中运行多个虚拟机，从而使资源得到更高效的利用。这样，就可以大幅削减设备的资本支出、降低与电力和冷却相关的能源成本以及节省物理空间。但是虚拟环境下的服务器和虚拟桌面会和传统物理计算机碰到相同的安全性问题，例如病毒、蠕虫、木马程序和恶意软件的入侵。所以在虚拟环境下的服务器和虚拟桌面同样需要考虑如何有效地进行防范。一般情况下，对于物理计算机会安装防病毒软件来实现病毒实时防御，并且配置计算机以便在非工作时间进行按需防病毒扫描，从而最大限度减少干扰。当这些系统被迁移到虚拟环境，众多虚拟机同时更新病毒特征库或者进行按需全盘扫描可能导致内存、存储和CPU使用会出现尖峰，导致这些虚拟机在这段时间内都无法正常提供服务。这种情况通常称为“防病毒风暴”（AV‐Storming）。如今，最常见的做法是使按需扫描调度随机化，不过，这种做法也不理想，我们希望建立一套更加有效的虚拟环境实时防病毒和感知Hypervisor按需全盘扫描的自动调度系统。面向虚拟桌面和服务器的McAfeeManagementforOptimizedVirtualEnvironments(MOVE)Anti-virus是专门针对上述挑战而设计的解决方案，能够有效降低传统病毒扫描的运营费用，同时提供确保业务成功的安全保护和卓越性能。虚拟化环境下的防病毒解决方案McAfee的解决方案能够让用户继续使用现有的McAfeeVisurScanEnterprise保护功能，并针对虚拟化环境来对其进一步优化。McAfeeMOVEAnti-Virus旨在在虚拟化环境中支持按访问扫描和更新功能，以及按需全盘扫描功能，显著降低传统防病毒部署中常见的对基础设施的影响。借助此轻便的终端组件能够与虚拟化设备沟通，实现各个虚拟机上的防病毒处理。同时使用McAfeeePO管理控制台集中制定安全策略分配给每个虚拟机。从MOVE4.6以后McAfee虚拟化环境下的防病毒分为以下两个产品：MOVEAVagentless-实现虚拟化环境下的虚拟机的实时病毒防护，不需要安装完全的VSE或ENS软件，仅仅通过轻量的MOVEAVAgent即可。MOVEAV多平台版本-实现Hypervisor虚拟化环境下的虚拟机的实时病毒防护，不需要安装完全的VSE或ENS软件，仅仅通过轻量的MOVEAVAgent即可。针对服务器架构的虚拟化解决方案许多人问：“为什么要安全服务器？”“我有一个通过我的网络安全产品的周界防御——为什么我需要保护服务器？然而，我们已经看到在Verizon的数据泄露报告服务器仍然存在安全隐患目标。同时，APT攻击通常都会针对服务器进行跳板攻击，它提供了令人最为简单和方便的信息获取方式和跳板攻击。而且当我们在寻找虚拟服务器时，管理者并未很好的对虚拟机进行隔离，导致服务器被攻击后可访问多个服务器实例。此外，增加部署多个虚拟机管理程序在数据中心，需要创造了一个需要有强大的保护，在这些不同的环境，大约有65%的组织正在使用多个虚拟机管理程序。另外，组织正在部署更多需要保护的虚拟机。所以服务器的架构安全需要关注今天，许多企业面临的挑战是确保虚拟化环境的日趋复杂，作为虚拟机管理程序和虚拟机数量的增长。阻碍通常是缺乏对虚拟化服务器环境的理解和/或认为通过增加安全性将影响性能和VM密度比。无论服务器是否虚拟化，数据必须受到保护，并且像这样的服务器可以访问公司的皇冠上的珠宝。通过MOVE的架构可解决在服务器架构中的安全问题，如下：扫描风暴最小化安装和更新获得即时保护，对内存和处理的影响小，提高VM整合率。Offload的恶意软件扫描，offload的扫描服务器自动化部署、自动实现防护集中管理（传统架构与虚拟化架构管理）支持主流Hypervisor的虚拟化平台针对VDI架构的虚拟化解决方案为什么虚拟桌面构成为企业主要安全挑战。我们如何为虚拟桌面保护提供安全优化。我们如何提供虚拟桌面可见性、虚拟桌面安全套件中的全面安全保护以及我们如何优化虚拟桌面的恶意软件保护。即使数据没有保存在用户的虚拟桌面上，它仍然容易受到与物理设备等其他的许多问题的攻击。虚拟桌面仍然可以被恶意软件感染并被入侵者访问。用户仍然可以运行不安全的应用程序和访问不安全的网站。另外，用户存储文件的数据共享、可移动介质如USB和云存储，所以VDI是需要保护的。所以MCAFEEMOVE是基于策略统一的集中保护，全局检测和纠正能力，实时防御，通过集中管理成一个自适应的反馈回路。那么对于VDI的企业安全性可在迭代循环中演化和学习，随着时间的推移而改进。我们将过程和学习贯穿于保护、检测和纠正作为威胁防御生命周期。威胁防御生命周期服务，帮助组织有效地阻止威胁，确定妥协，并实施快速补救和对策改进。这也就是我们McAfee所推荐的TDL架构；保护-综合预防最普遍的攻击载体和病毒检测-高级监视识别异常、可疑行为，以感知低阈值攻击和不被注意的行为。正确的攻击分类和反应，利用情报体系优化企业管理适应-立即在协作基础设施中应用，通过TIE体系实现ENSforSever解决方案优化在虚拟化的技术架构上，产品具备一定的局限性和功能限制，所以会有用户通过ENS这样的全能防护软件来对于虚拟化提供防护，但又不想影响虚拟化的性能。所以在这个架构里，ENSForServer的版本正是能够解决用户的需求；支持ENS部署在虚拟化服务器和VDI环境支持按需计划的扫描功能和计划更新的功能，避免扫描风暴和更新风暴支持Windows和Linux(ENS)可与MOVE一样限制扫描时间和计划可基于物理机资源分配扫描频率MOVEAV产品介绍通过虚拟技术可以在一个Hypervisor上同时运行几十个虚拟机，大大提高了部署效率。虽然虚拟机能够在单个虚拟机上运行传统的防病毒保护，但对基础设施性能造成的累积影响非常大，将直接影响到运营回报和支持的虚拟桌面数量。通过将防病毒扫描进程集中到一个或多个专用虚拟机上，MOVEAV可完全应对这些挑战。确保防病毒进程不会在多个虚拟机中重复，使企业能够从虚拟化基础设施中获得更高的投资回报。要实现MOVEAV对虚拟机的病毒保护，只需要在Hypervisor中安装一台专门的病毒扫描服务器（安装MOVEAV），然后在所有虚拟机上通过ePO部署MOVEAVagent和策略即可当一台虚拟机访问可执行程序时，会将文件散列值发送到病毒扫描服务器进行检查，病毒扫描服务器根据病毒特征和GTI信息判断此文件是否可信，然后将结果告知虚拟机上MOVEAVagent来决定是否允许此文件执行。当另外一台虚拟机访问相同的可执行程序时，病毒扫描服务器通过查询本地的散列值缓存直接将结果告知虚拟机上MOVEAVagent，迅速判定此执行文件是否可信。加快了病毒扫描速度。通过MOVEAV4.6替代原来的VSE的解决方案，可以占用更少的虚拟机资源达到相同的防病毒效果。以上是安装MOVEAV4.5占用的内存资源。McAfeeMOVE虚拟化环境防病毒的独特优势支持主流的虚拟化环境，包括VMWare、Citrix和MicrosoftHyper-V。且对客户没有额外的虚拟机软件成本，例如VMWarevShieldAgent软件license。可以不在虚拟机上安装任何防病毒软件的情况下，通过专用虚拟机实现防病毒功能，在虚拟环境中支持按需、按访问病毒扫描和功能更新，能够显著降低传统防病毒部署中常见的对基础设施的影响。McAfeeMOVE可借助全球威胁智能感知系统（GTI）提供虚拟桌面的零日防护。所有虚拟机中的MOVE软件均通过ePO管理控制台下发来进行软件安装，同时通过ePO配置相关策略。所有的病毒爆发事件均会上传至ePO，实现统一报表和审计。通过集中管理降低了维护成本，节省了投资。感知Hypervisor负载，实现虚拟服务器环境下的按需扫描自动调度，为必须持续运转的服务器提供有效保护。TIE架构整合（DXL）McAfeeThreatIntelligenceExchange集成了多种威胁数据源，包括迈克菲全球威胁智能感知系统(McAfeeGTI)、来自VirusTotal的第三方厂商结果以及针对您的环境的本地特定信息。共同使用这些信息来准确确定文件的信誉风险分数。MOVE通过整合DXL将来自单一威胁遭遇点的洞察信息传播至所有终端以即时应对威胁，无需提交样本或等待防病毒签名更新。以一个闭环流程实现完全自动化的自适应响应，或者以交互方式使用它来防范恶意软件、高风险文件或有害应用。最终结果是显著减少了遏制新出现的威胁和采取补救措施所需的时间。当用户在部署了多平台的架构后，即可将MOVE纳入DXL的体系当中，即当MOVE产生文件的访问的同事，可通McAfeeThreatIntelligenceExchange根据全球智能感知数据源（如McAfeeGlobalThreatIntelligence(GTI)和第三方数据源），以及源自实时和历史事件数据（来自终端、网关和其他安全组件，如IPS\邮件网关\MWG）的本地威胁智能感知，轻松定制全面的威胁智能感知，并采取相应措施。可以组合、改写、增加和调整这些智能源信息，在您自己的环境中展开操作。同时TIE可实施公司自己的文件和证书，以及分配给企业和由企业使用的证书等的黑名单和白名单。您还能够向McAfeeGlobalThreatIntelligence中提供的证书信誉功能添加自定义首选项。通过整合和维护本地威胁智能感知，McAfeeThreatIntelligenceExchange可反映活动上下文和每个企业运营环境中的所有威胁。MOVEAV4.6部署步骤建议在每个Hypervisor上安装一台专用防病毒扫描虚拟机，运行VSE8.8软件，对其它虚拟机中的文件进行病毒扫描。同时在其余虚拟机中安装MOVEAVAgent即可实现虚拟机环境下的病毒防御。目前XXXXX每台宿主机上运行6个以上，10个以下虚拟机。专用防病毒扫描虚拟机必须满足以下条件：Windows2008R2SP1或者Windows2008SP2(64-bit)操作系统两个vCPU2GHz以上8GB内存300GB硬盘空间1个固定IP地址，没有特别网段要求此专用防病毒扫描虚拟机需要进行加固，启用桌面防火墙，仅开放9053端口。MOVEAV支持的虚拟机包括：•WindowsXPSP3•Windows7(32-bitor64-bit)•Windows2003R2SP2(32-bit)•Windows2008R2SP1(64-bit)•Windows2008SP2(32-bitor64-bit)Windows2012(32-bitor64-bit)andlate注意事项：删除虚拟机上的所有防病毒软件，包括VSE和WindowsDefender。如果安装了旧版本的VSE，请通过ePO的客户端产品部署任务删除旧版本VSE。将ePO服务器升级到5.x，将MOVE策略导出然后倒入到新的ePO服务器。在临时ePO服务器上注册ePO服务器选择“菜单”|“配置”|“已注册的服务器”，然后单击“新建服务器”。从“描述”页上的“服务器类型”菜单中选择“ePO”，指定一个唯一的名称及任何注释，然后单击“下一步”。指定下列用来配置服务器的选项：数据库身份验证方式、数据库名称、数据库端口、数据库服务器地址、ePO版本、密码等信息。将系统传输到ePO服务器单击“菜单”|“系统”|“系统树”，然后选择要传输的系统。单击“操作”|“代理”|“传输系统”。此时会出现“传输系统”对话框。从下拉菜单中选择所需的服务器，然后单击“确定”。在将托管系统标记为要进行传输之后，必须在代理与服务器之间发生两个通信，才能使该系统显示在目标服务器的系统树中。完成代理与服务器间的这两个通信所需的时间长度取决于您的配置。代理与服务器的默认通信时间间隔为一小时。安装MOVEAVServer首先安装VSE8.8。在Hypervisor中安装一台专用病毒扫描服务器，运行MOVEAVServer安装程序。选择“Acceptlicenseagreement”接受许可。输入合适用户信息。指定病毒扫描服务端口，默认为9053。启用GTI功能，选择GTI保护级别。完成MOVEAVServer安装，确保服务正常启动。导入MOVEAV扩展在ePO服务器上，选择“Menu|Software|Extensions”，点击“InstallExtension”。浏览MOVEAV扩展文件目录，选择扩展文件，点击