◎李泉 蘇暢 羅立

虛擬機(jī)防病毒方案在媒體融合中的運(yùn)用
——以湖北日?qǐng)?bào)傳媒集團(tuán)為例

◎李泉 蘇暢 羅立

借助虛擬化，在單一物理系統(tǒng)中運(yùn)行多個(gè)虛擬機(jī)，從而使資源得到更高效的利用。這樣，就可以大幅削減設(shè)備的成本支出、降低與電力和冷卻相關(guān)的能源成本以及節(jié)省物理空間。

但是虛擬環(huán)境下的服務(wù)器和虛擬桌面會(huì)和傳統(tǒng)物理計(jì)算機(jī)碰到相同的安全性問題，例如病毒、蠕蟲、木馬程序和惡意軟件的入侵。所以在虛擬環(huán)境下的服務(wù)器和虛擬桌面同樣需要考慮如何有效地進(jìn)行防范。

一般情況下，對(duì)于物理計(jì)算機(jī)會(huì)安裝防病毒軟件來實(shí)現(xiàn)病毒實(shí)時(shí)防御，并且配置通過軟件配置以便在非工作時(shí)間進(jìn)行個(gè)性化定制的防病毒掃描，從而最大限度減少工作時(shí)間的資源占用。當(dāng)這些系統(tǒng)被遷移到虛擬環(huán)境，眾多虛擬機(jī)同時(shí)更新病毒特征庫或者進(jìn)行按需全盤掃描可能導(dǎo)致內(nèi)存、存儲(chǔ)和CPU使用會(huì)出現(xiàn)尖峰，導(dǎo)致這些虛擬機(jī)在這段時(shí)間內(nèi)都無法正常提供服務(wù)。這種情況通常稱為“防病毒風(fēng)暴”（AV-Storming）。 如今，最常見的做法是使按需掃描調(diào)度隨機(jī)化，不過，這種做法也不理想，我們希望建立一套更加有效的虛擬環(huán)境實(shí)時(shí)防病毒和感知Hypervisor按需全盤掃描的自動(dòng)調(diào)度系統(tǒng)。

湖北日?qǐng)?bào)傳媒集團(tuán)的數(shù)據(jù)中心目前由若干臺(tái)物理服務(wù)器、若干臺(tái)服務(wù)器組建的VMWARE5.0虛擬化平臺(tái)和若干臺(tái)服務(wù)器組建的Windows2012·HYPER-V虛擬化平臺(tái)混合構(gòu)成。針對(duì)自身比較復(fù)雜的情況和需求，技術(shù)部經(jīng)過內(nèi)部多次討論，在保證各系統(tǒng)均能正常運(yùn)行的基礎(chǔ)前提條件下，對(duì)數(shù)據(jù)中心的整體病毒防護(hù)提出了如下兩個(gè)方案：

1 ’物理服務(wù)器’客戶端以及虛擬化平臺(tái)防病毒的統(tǒng)一集中管理和安全架構(gòu)方案。

虛擬化平臺(tái)安全管理產(chǎn)品與物理服務(wù)器、終端客戶端安全管理產(chǎn)品必須使用統(tǒng)一的管理控制中心，在統(tǒng)一管理平臺(tái)上能夠?qū)Σ煌瑢?duì)象（服務(wù)器組或單臺(tái)系統(tǒng)）定制不同的升級(jí)、防護(hù)、檢測(cè)、管理策略,簡(jiǎn)化操作、方便管理。

2 ’各虛擬化平臺(tái)的統(tǒng)一集中管理和安全架構(gòu)方案。

VMWARE虛擬化平臺(tái)、HYPERV虛擬化平臺(tái)、CITRIX應(yīng)用虛擬化及桌面虛擬化必須實(shí)現(xiàn)統(tǒng)一的跨虛擬化平臺(tái)的管理控制中心。通過統(tǒng)一的管理控制平臺(tái)，能夠?qū)Σ煌摂M化平臺(tái)下的不同對(duì)象（虛擬機(jī)組、群集或單臺(tái)虛擬機(jī)）定制相同或不同的病毒庫升級(jí)、病毒檢測(cè)、管理策略等，簡(jiǎn)化操作，方便管理。

本文僅針對(duì)虛擬化方案做說明。

通過詳細(xì)對(duì)比、評(píng)估幾家防病毒廠家的技術(shù)參數(shù)，并結(jié)合湖北日?qǐng)?bào)傳媒集團(tuán)的實(shí)際情況，最終選擇了McAfee公司版本為ePO 4.5的防病毒軟件。通過定制配置，面向虛擬桌面和服務(wù)器的McAfee Management for Optimized Virtual Environments(MOVE)Anti-virus能夠有效降低集團(tuán)數(shù)據(jù)中心比較復(fù)雜的混合平臺(tái)的傳統(tǒng)病毒掃描的運(yùn)營費(fèi)用，同時(shí)提供確保業(yè)務(wù)成功的安全保護(hù)和卓越性能。

McAfee通過MOVE服務(wù)器（Virtual Appliance）取代虛擬桌面來執(zhí)行病毒掃描。Virtual Appliance是一種虛擬設(shè)備，提供所有虛擬機(jī)上的防病毒掃描和病毒更新工作。它不需要在每個(gè)虛機(jī)上安裝防病毒模塊，提高了安全性和性能。在虛擬機(jī)鏡像中只需要安裝McAfee ePO代理和McAfee MOVE通信連接器，這使得虛機(jī)無論被移動(dòng)到哪里，它們都處于可管理的狀態(tài)。McAfee的MOVE服務(wù)器與虛機(jī)采用標(biāo)準(zhǔn)的TCP/IP協(xié)議進(jìn)行通信，而無需使用任何專有的應(yīng)用程序編程接口（API）。

這種方案在安全管理上提高了效率，Virtual Appliance提供了中央緩存來管理虛擬機(jī)上的所有掃描的文件信息。如果檢測(cè)掃描到某虛機(jī)上的惡意代碼，此信息會(huì)自動(dòng)更新到所有虛機(jī)上的本地高速緩存。利用McAfee ePolicy Orchestrator（ePO）管理平臺(tái)提供物理端點(diǎn)安全和虛機(jī)安全的統(tǒng)一管理。Virtual Appliance集中式的病毒掃描管理，最大限度地減少了防病毒風(fēng)暴和多余病毒掃描所導(dǎo)致的性能下降。該虛擬設(shè)備的優(yōu)勢(shì)在于在無代理部署中，VMware v Shield Endpoint將 hypervisor用作高速連接，從而使MOVE Security Virtual Appliance(SVA)能夠從來賓鏡像外部掃描虛擬機(jī)。掃描過程中，SVA會(huì)指示vShield緩存安全的文件或刪除或拒絕訪問惡意文件。

在ESX服務(wù)器上安裝SVA及組件后，每個(gè)鏡像自創(chuàng)建時(shí)就自動(dòng)受到保護(hù)。無需在虛擬客戶端VM上安裝任何防病毒軟件病毒庫。一方面，vMotion感知型實(shí)施意味著虛擬機(jī)可以從一臺(tái)主機(jī)移至另一臺(tái)，目標(biāo)主機(jī)上的SVA將為其提供無縫保護(hù)，并且不會(huì)對(duì)安全掃描或用戶體驗(yàn)造成任何影響。另一方面，vSphere中的hypervisor自檢可以防止惡意軟件防護(hù)功能受到影響。

與此同時(shí)，與McAfee ePO的集成能夠在vCenter中監(jiān)控SVA狀態(tài)，并在SVA失去連接時(shí)向您發(fā)出警報(bào)。McAfee ePO將收到詳細(xì)描述受影響VM的事件數(shù)據(jù)。

通過McAfee防病毒軟件的整體部署，我單位的數(shù)據(jù)安全和讀取效率有了明顯的提高，為技術(shù)部日常維護(hù)和全集團(tuán)的日常工作提供了極大的便利，減少了維護(hù)成本和提高了工作效率。

(湖北日?qǐng)?bào)傳媒集團(tuán)技術(shù)部)