虚拟桌面的防病技术同样适用服务器虚拟化.docxVIP

主题4:点点滴滴： 虚拟桌面的防病毒技术//同样适用服务器虚拟化 最近经常遇到VMware捆绑防火墙、防病毒的功能来屏蔽我们，因大面儿的功能XS已和VM差不多，VM开始用这些来屏蔽我们了。下面SE的文章作为回应非常有说服力，请尽量传播给客户 1、从宏观上来说，虚拟化架构改变了目前服务器和终端的管理和运维架构，所以基于全新的虚拟化平台的全新安全解决方案其实是一个趋势。?但，传统安全领域已经十多年摸爬滚打累计现阶段完善的安全体系，这并不是一家虚拟化厂商，且完全没有任何安全背景的VMware在目前阶段能够实现并做好的一件事情。 ? 2、VMware定制vShield技术和API，本质上是由于既然所有用户都在上虚拟化，既然所有虚拟服务器或者虚拟桌面的I/O，包括磁盘（文件系统）I/O和网络I/0都要从Hypervisor走，那么事实上VMware控制了所有虚拟化平台数据和通信的传输途径，那么vmware就可以在安全领域内分一块份额。?于是vmware收购了几家公司技术，做了一套技术体系规范，就是vShield。所有安全厂商如果需要做虚拟化安全，那么就都得按照VMware的规则来走，VMware提供给安全厂商需要扫描的通信和数据，安全厂商提供积累多年的安全代码库。等于说把安全厂商变成安全代码库。所以传统的大的安全厂商如Mcafee和Symantec本质上是抵制的。 ? 看看vShield技术包含的组件就会比较清楚：? vShield Manager ?管理组件 vShield Edge ?网络边缘防护—防火墙，VPN, DHCP?，负载均衡 vShield App ? ?应用程序控制，应用程序防火墙 vShield Endpoint ? VM文件系统防护 vShield Data Security ??数据防泄漏 ? 3、价格问题。vShield是收费的，VMware不但在卖平台，还在卖接口。用户如果要使用vShield就要出2份钱，一份（vShield技术已经在今年已经End of Availability，全部被集成到vCloud中） ? ? 4、?Agent-less？？是否真如宣传的一样？? ? 详解一下和防病毒关系比较密切的vShield Endpoint技术。?vShield有三个组件： ? 经安全强化的安全虚拟机(由?VMware?合作伙伴提供)?（Trend Deep Security） 供虚拟机卸载文件活动的驱动程序?（vShield Endpoint?Driver) 用于在虚拟化管理程序层将前两个组件关联起来的?VMware Endpoint Security (EPSEC)?可加载内核模块?(LKM) 扫描的时候：?vShield Endpoint?会监视虚拟机文件活动并通过VMware?EPSEC?通知防病毒引擎（Trend Deep Security）,然后再由引擎进行扫描并返回处置信息 中病毒修复的时候：?vShield Endpoint?驱动程序负责管理虚拟机内的文件修复活动 事实上我们会发现vShield Endpoint驱动程序其实做了防病毒客户端要做的所有事情，vShield Endpoint驱动程序其实就是反病毒客户端，只是这个客户端可以称为thin client。如果有人注意会在VM中发现file system filter driver called “Antivirus”。 5、?这样的情况下我们会发现，这种病毒防护方式其实和Mcafee的MOVE非常相似 Mcafee在虚拟化环境下同时支持2种部署方式 使用vShield技术，跟上面Trend的使用方式相同，用户需要购买2份license，一份Mcafee的，一份VMware的 使用Mcafee自己的MOVE技术，就像丁总说这那样，在每个VM上装一个Thin Mcafee Client，这个thin client就像vShield Endpoint?Driver一样，完成扫描和修复的动作。?用户只要买Mcafee的license 6、如果用户使用了vShield，vShield Endpoint只防护VM的文件系统，安全领域内涉及的packet inspection，, real-time behavioral analysis, HIPS, device control, application control, sandboxing。 包括丁总提到的内存中的病毒，都必须依赖vShield的其他组件来实现。 这等于说把原来安全厂商完整的解决方案敲的七零八碎。 而且完全起不到立体化防御的特点。 7、单点故障问题。?非常同意丁总的观点。使用vShield技术目前还无法支持扫描服务器冗余。今天早上跟一个Mcafee的兄弟讨论中还说到这一点，每台