熟悉終端安全的朋友都知道,終端安全管理是一項費時費力的工作,終端分佈廣泛,種類繁多,難於管控。傳統的終端安全防護手段需要在終端上部署代理程序,保證這些代理始終有效且能得到及時更新,是一項充滿挑戰的工作。
虛擬化和雲計算時代的到來,徹底的改變了這一切。虛擬基礎架構爲企業計算環境帶來了新的管控手段,使無代理安全防護成爲可能,相對於傳統的代理模式,無代理模式具有諸多優點:
一、簡化部署
虛擬化技術能夠幫助管理員快速而又簡單地完成系統部署工作,通過虛擬機模板來部署新系統是一項輕鬆愉快的工作,採用無代理模式,管理員無需在模板機中部署和更新代理程序,可以更好地保障虛擬機的合規性,減少虛擬機的體積和管理工作量。增加的工作是在每臺物理服務器上部署一個安全虛擬設備(SVA),以5:1的常規整合比爲例,部署工作量減少了4/5,如果應用場景是VDI,一臺服務器至少可以部署幾十個虛擬桌面,部署工作量僅爲代理模式的幾十分之一。
二、簡化管理
維護好終端,特別是維護好終端內部的安全代理是管理員的重要工作之一,代理模式下,管理員要隨時監視各終端上代理的狀態,及時發現無代理、代理功能不正常和代理陳舊等問題。防護不到位的終端會對整個網絡的安全狀況造成非常大的影響。採用無代理模式,這一部分的管理工作量就不存在了。增加的工作是對安全虛擬設備(SVA)的管理,據前述,管理工作量僅是代理模式的幾分之一到幾十分之一。
三、避免病毒掃描風暴
安全代理在執行病毒掃描操作時會佔用較多的主機資源,在虛擬基礎架構中,病毒掃描對性能的影響更爲顯著。虛擬機啓動,週期性例行掃描或蠕蟲病毒流行時,如果不能對掃描行爲進行有效控制,就可能導致病毒掃描風暴,嚴重影響業務系統的性能,甚至導致服務中斷。在無代理模式下,運行於同一物理服務器上的多臺虛擬機的掃描工作統一進行調度,資源佔用得到有效控制,消除了病毒掃描風暴的發生。
四、減少資源佔用
運行在主機上的安全代理會佔用主機的CPU,內存和磁盤資源,引擎和病毒定義的更新會佔用網絡資源。近幾年來,惡意程序迅猛增長,防病毒產品和病毒定義文件的體積越來越大,儘管安全廠商不斷引入新技術來降低安全代理對主機的影響,仍然不能有效地解決這一問題。無代理模式下完全不存在這種問題,當終端數量較大時,節省的資源數量將非常可觀。
虛擬化和雲計算時代的到來,徹底的改變了這一切。虛擬基礎架構爲企業計算環境帶來了新的管控手段,使無代理安全防護成爲可能,相對於傳統的代理模式,無代理模式具有諸多優點:
一、簡化部署
虛擬化技術能夠幫助管理員快速而又簡單地完成系統部署工作,通過虛擬機模板來部署新系統是一項輕鬆愉快的工作,採用無代理模式,管理員無需在模板機中部署和更新代理程序,可以更好地保障虛擬機的合規性,減少虛擬機的體積和管理工作量。增加的工作是在每臺物理服務器上部署一個安全虛擬設備(SVA),以5:1的常規整合比爲例,部署工作量減少了4/5,如果應用場景是VDI,一臺服務器至少可以部署幾十個虛擬桌面,部署工作量僅爲代理模式的幾十分之一。
二、簡化管理
維護好終端,特別是維護好終端內部的安全代理是管理員的重要工作之一,代理模式下,管理員要隨時監視各終端上代理的狀態,及時發現無代理、代理功能不正常和代理陳舊等問題。防護不到位的終端會對整個網絡的安全狀況造成非常大的影響。採用無代理模式,這一部分的管理工作量就不存在了。增加的工作是對安全虛擬設備(SVA)的管理,據前述,管理工作量僅是代理模式的幾分之一到幾十分之一。
三、避免病毒掃描風暴
安全代理在執行病毒掃描操作時會佔用較多的主機資源,在虛擬基礎架構中,病毒掃描對性能的影響更爲顯著。虛擬機啓動,週期性例行掃描或蠕蟲病毒流行時,如果不能對掃描行爲進行有效控制,就可能導致病毒掃描風暴,嚴重影響業務系統的性能,甚至導致服務中斷。在無代理模式下,運行於同一物理服務器上的多臺虛擬機的掃描工作統一進行調度,資源佔用得到有效控制,消除了病毒掃描風暴的發生。
四、減少資源佔用
運行在主機上的安全代理會佔用主機的CPU,內存和磁盤資源,引擎和病毒定義的更新會佔用網絡資源。近幾年來,惡意程序迅猛增長,防病毒產品和病毒定義文件的體積越來越大,儘管安全廠商不斷引入新技術來降低安全代理對主機的影響,仍然不能有效地解決這一問題。無代理模式下完全不存在這種問題,當終端數量較大時,節省的資源數量將非常可觀。
圖1爲兩種模式下內存資源佔用對比,圖2爲兩種模式下病毒定義更新帶寬佔用對比。
![鏃犱唬鐞嗘ā寮忓彲鏄捐憲鍑忓皯璧勬簮鍗犵敤]()
五、隨時保持最新
傳統模式下,如果主機經常關機或離線,則安全產品無法得到及時更新,當主機再次開機或聯線時,系統非常容易受到感染和破壞。0Day***越來越多,如果不能保證防病毒產品和病毒定義的實時更新,防護效果就會大打折扣。採用無代理模式,只要保證安全虛擬設備(SVA)隨時在線,及時更新就可以了。
六、更高的密度,更低的成本
前面介紹過,無代理模式可以在很大程度上節省資源佔用,完全消除病毒掃描風暴,因此可以提高部署密度,節省硬件採購成本。此外,針對虛擬化平臺的無代理安全防護產品,通常會提供基於物理CPU的授權模式,按這種授權方式購買產品,要比按部署節點數量來購買要經濟得多。部署密度越高,性價比越高。
七、更好的安全性
很多惡意程序把安全產品作爲***目標,安全產品必須具備良好的自我保護功能,但是這種自我保護功能並不是百分百有效,安全產品一旦感染了惡意代碼,不僅起不到防護作用,還會加快惡意代碼的傳遞。無代理模式下消除了這種隱患。安全虛擬設備(SVA)採用經過整固的專用系統,安全級別較高,從而顯著提升了無代理模式下的整體安全性。
八、效率更高
在無代理模式下,物理主機是安全防護的基本單位,運行於一臺物理主機上的全部虛擬機之上所產生的活動都由部署於該物理主機上的安全虛擬設備(SVA)負責監控。當多臺虛擬機執行相同活動時,SVA可以利用緩存技術加速掃描,提高掃描效率,特別是那些重複存在於多臺虛擬機中的操作系統和應用程序文件,掃描性能會有很大提升。
要了解無代理終端安全解決方案的更多信息,請訪問:
VMware vShield Endpoint雲安全解決方案:
http://www.vmware.com/cn/products/datacenter-virtualization/vshield-endpoint/overview.html
TrendMicro Deep Security無代理安全解決方案:
http://cn.trendmicro.com/cn/products/enterprise/DSDeepSecurity/index.html
BitDefender SVE無代理安全解決方案:
http://www.bitdefender.com/sve