虚拟化架构安全SEP-SCSP.pptVIP

With vShield Endpoint 1.0 Symantec can leverage the new context aware scanning for performance improvements for in guest scanning but cannot do so for agentless scanning. Every file has to be scanned. vShield Endpoint 1.0 requires scanning of every file vShield Endpoint 2.0 will allow us to exclude files that can be trusted. * * * * * * * * * * * 工具扫描系统 SEP 12.1 Amber Virtualization Features * 命令格式如下： vietool.exe c: --generate 表明对c盘运行，生成排除标识。 会给出运行结果和错误报告 VIE工作原理 SEP 12.1 Amber Virtualization Features * 左图是工具运行前的，右图是运行后的，能看到文件添加了一个属性 BaseImgFile Shared Insight Cache 缓存服务器 该服务器提供一个公共的访问接口给所有的虚拟机，通过向服务器提交对相似文件的查询，能大量的减少虚拟机扫描的IO读写。 当配置了缓存服务器并在SEPM中设置生效后，每次当SEP客户端试图扫描一个文件时，它首先将该文件的hash值和当前的病毒定义版本作为一个数据包发送给缓存服务器，缓存服务器在缓存中查询，如果有该文件的信息并且病毒定义版本相同，表明该文件已经被其他客户端扫描并确认无毒，缓存服务器通知SEP不需要扫描该文件。 如果没有查询到，表明该文件为未知文件，需要扫描。 SEP会扫描该文件，如果无毒，也将该文件的hash值和当前的病毒定义版本发送给服务器，以后该文件将被跳过。如果有毒，执行杀毒操作，并不通知缓存服务器。 如果查询到该文件有记录但是病毒定义较老，需要扫描， SEP扫描该文件，并将更新的数据发送给服务器。 SEP 12.1 Amber Virtualization Features * Shared Insight Cache – 图解 * VM Cluster ESX Server VM VM VM VM VM VM ESX Server VM VM VM VM VM VM File Hash Def Ver Result AE32D… 2011.1... Clean B923E… 2011.1… Clean F9123… 2011.1… Clean C3FDA… 2010.2… Clean Shared Insight Cache Server (SIC) SEP 12.1 Amber Virtualization Features 缓存服务器 企业版有，小企业版没有该功能。 针对虚拟环境，但是也能用于物理环境。 对所有自定义扫描生效，对自动防护无效。 每台服务器可支持上千台客户端。 默认通过HTTP协议与SEP客户端联系，也可以使用HTTPS协议。 对所有文件生效（不只是二进制执行文件）。 数据比较包括文件hash和病毒定义版本，新病毒定义优先。 所有数据保留在内存，只有日志保留在磁盘中。 SEP 12.1 Amber Virtualization Features * 安装缓存服务器 该服务器并无UI，一切配置信息在安装目录的SharedInsightCacheService.exe.config 文件中，该文件为xml格式。 需要设置其中的ip地址，端口和内存使用率也可以在其中变更，其他的主要是日志级别设置。 * SEP 12.1 Amber Virtualization Features 安装缓存服务器 确保系统服务中有Shared Insight Cache 服务并处于运行状态 * SEP 12.1 Amber Virtualization Features 安装缓存服务器 可以通过Perfmon 性能监控器，添加Shared Insight Cache的四个计数器以监控性能。 * SEP 12.1 Amber Virtualization Features 策略配置界面 SEP 12.1 Amber Virtualization Features * 策略配置界面 在病毒和间谍软节防护策略中配置 开启和关闭 缓存服务器主机名或IP，端口，用于通讯的用户名和密码 如果配置SSL通讯，设置需要和缓存服务器设置相同