Documentație

Protejarea infrastructurii virtuale, fără impact asupra performanței

IntroducereVirtualizarea oferă numeroase beneficii, dar ridică și alte probleme de performanță în domeniul securității.

De aici, întrebarea: virtualizarea este contraproductivă din punctul de vedere al securității? Mai mult,

soluțiile de securitate disponibile în prezent afectează o parte dintre beneficiile oferite de virtualizare,

ducând la blocaje și alte probleme în mediile de virtualizare, comparativ cu serverele fizice?

Scopul acestei documentații este de a explora avantajele specifice securității mediilor de virtualizare, de

a prezenta rezultatele mai multor teste de performanță efectuate de Bitdefender și de a oferi informații

despre soluția Security for Virtualized Environments (SVE) de la Bitdefender care suportă toate tipurile

de aplicații hypervisor.

Capcanele securității pentru mediile virtualizateSoluțiile antimalware pe bază de agenți instalate pe mașini virtuale vor deveni, la un moment dat,

perimate ca urmare a inactivității unei mașini virtuale în stare offline. Acesta este un lucru bine

cunoscut. La repornirea mașinii virtuale, soluția de securitate trebuie să descarce ultimele semnături

antivirus și ale motorului, precum și cele mai recente actualizări software. Acest proces de

actualizare poate avea o durată de 5 până la 12 secunde, ceea ce crează o fereastră de oportunități

pentru programele periculoase.

O alternativă la soluțiile antimalware tradiționale este de a profita de soluțiile de securitate integrate

cu VMware Endpoint Security pentru a oferi o soluție fără agenți. Această abordare fără agenți

compensează cel mai probabil problema întârzierii la pornirea sistemului și a protecției antivirus

neactualizate. Cu toate acestea, există și anumite dezavantaje:

• VMware este în prezent singurul furnizor care oferă funcționalitatea fără agenți prin integrarea cu

vShield Endpoint. Pentru organizațiile care lucrează cu furnizori cu hipervizori Xen sau Hyper-V,

pur și simplu nu este disponibilă nicio soluție fără agenți. Mai mult, soluția fără agenți este

limitată exclusiv la mediile Windows. Mediile bazate pe Linux și non-VMware încă trebuie să

folosească soluții tradiționale bazate pe agenți.

• Deși a fost introdusă sintagma fără agenți, aceasta nu este complet adevărată. De fapt, este

necesară instalarea driverului vShield Endpoint pe fiecare mașină virtuală care urmează a fi

protejată.

• Există și limitări în cazul soluției fără agenți, și anume faptul că aceasta suportă numai scanarea

pe bază de fișier. Scanarea memoriei și a regiștrilor, aplicarea și monitorizarea comportamentală,

precum și comanda dispozitivului impun, în continuare, utilizarea soluțiilor tradiționale bazate pe

agenți.

În cele de mai jos, este ilustrată soluția de securitate Bitdefender fără agenți prin integrarea cu soluția

de securitate VMware vShield Endpoint. Cu toate acestea, pentru organizațiile care utilizează alte

soluții de virtualizare, Bitdefender propune o soluție compatibilă cu orice infrastructuri virtualizate.

Scenariu cu rate de consolidareUnul din factorii determinanți ai virtualizării este reprezentat de economiile care derivă din ratele de

consolidare a mașinilor virtuale – atingerea numărului maxim de mașini virtuale care rulează pe o 2

Documentație

singură gazdă. Securitatea trebuie proiectată special pentru virtualizare, cu impact minim asupra

mediului virtual, permițând, astfel, rate maxime de consolidare a mașinilor virtuale.

Dimensionarea cerințelor de hardware pentru un mediu virtual poate varia considerabil de la un

mediu la altul; aceasta depinde în foarte mare măsură de tipul de aplicații care vor rula în mediul

virtual. Trebuie avută în vedere performanța CPU-ului, a memoriei, a rețelei și de stocare în funcție

de tipul de mașini virtuale care vor rula în cadrul mediului. De exemplu, se va obține o rată mai mare

de consolidare a mașinilor virtuale în cazul mașinilor virtuale cu aplicații web comparativ cu mașinile

virtuale care rulează aplicații de baze de date. În funcție de aplicație, se recomandă întotdeauna

alocarea a cel puțin 20% din resursele de sistem utilizate în comun pentru niveluri maxime de

utilizare.

Se recomandă, de asemenea, să se acorde atenție impactului pe care securitatea îl va avea asupra

mediului, conform următoarelor rezultate ale testului de performanță. Vă rugăm să consultați anexa

pentru informații privind mediul de testare.

Cu soluțiile antimalware tradiționale, rata de consolidare obținută pe parcursul testelor a fost de 45

mașini virtuale per server gazdă. Utilizând calculatorul VMware Cost-Per-Application 1, costul mediu

per VM în baza configurației date ar fi $1358,19. Utilizarea CPU-ului și a memoriei este indicată

pentru următoarele configurații:

• SVE într-o configurație fără agenți, integrat cu VMware vShield Endpoint Security (EPSEC)

• SVE într-o configurație fără agenți, integrat cu VMware vShield Endpoint Security (EPSEC) +

1 VMware Cost-Per-Application Calculator

Figura 1: integrare Security for Virtualized Environments – VMware EPSEC

3

Agent silențios SVE

• Numai cu Agent silențios SVE

Rezultatele de performanță sunt clare: soluțiile tradiționale antimalware pe bază de agenți folosesc

cu aproximativ 36% mai mult CPU (83-47) și cu 11% (7/64) mai multă memorie decât soluția SVE

integrată cu vShield. Impactul soluției antimalware tradiționale asupra performanței ar conduce la

necesitatea de a achiziționa hardware suplimentar, ceea ce înseamnă eventuale costuri suplimentare

per VM chiar înainte de a lua în calcul costurile de licențiere aferente soluției antimalware.

În baza rezultatelor testelor de performanță, se poate prespune că SVE permite clienților să utilizeze

cu cel puțin 20% mai multe mașini virtuale per gazdă comparativ cu soluțiile antimalware tradiționale,

în orice mediu virtualizat.

Securitate optimizată a mediilor de virtualizare Soluția Security for Virtualized environments (SVE) oferită de Bitdefender este proiectată pentru a

funcționa în orice mediu virtualizat, permițând clienților să obțină rate de consolidare mai ridicate

pe fiecare server gazdă, comparativ cu soluțiile tradiționale de securitate. Aceasta conduce la

reduceri mai mari de costuri în legătură cu cerințele de hardware, stocare și răcire, permițând,

astfel, clienților să sporească rentabilitatea investiției pentru proiectul de virtualizare al acestora.

Pentru a asigura o rentabilitate mai ridicată, soluția oferită de Bitdefender valorifică tehnologii și

mecanisme de optimizare în curs de brevetare, unele dintre acestea urmând a fi descrise în detaliu

în cele ce urmează.

Scanare centralizată pentru orice mediu virtualizat SVE este o soluție hibridă de securitate, adaptabilă la centrele de date combinate și dinamice

din prezent. Spre deosebire de soluțiile tradiționale de securitate, Bitdefender implementează o

scanare centralizată, alocând o mare parte din funcționalitatea antimalware unui echipament virtual

consolidat dedicat, denumit Security Virtual Appliance (SVA). Această abordare optimizează atât

procesele de scanare la accesare, cât și la cerere, în același timp, deduplicând resursele critice

de calcul pe serverele gazdă. Funcționalitatea scanării proceselor și a memoriei este permisă prin

intermediul Agentului silențios, o componentă software de dimensiuni foarte reduse instalată pe

mașinile virtuale guest.

Agentul silențios asigură integrarea cu Windows Security Center și informează utilizatorul cu privire

la statusul de protecție și jurnalul de evenimente aferente VM. În medii VMware, Agentul silențios

este utilizat numai pentru scanarea memoriei, în timp ce scanarea fișierelor de sistem la cerere sau

la accesare este realizată de driverul vShield Endpoint. Pe alte platforme și sisteme de operare,

Agentul silențios aplică politicile de securitate și alocă procesarea antimalware echipamentului

Security Virtual Appliance prin protocolul TCP/IP.

Scanarea la cerere a mediului se desfășoară secvențial(VM-by-VM). Cu numai un driver și un serviciu

instalate per mașină virtuală, nivelul de utilizare a resurselor sistemului este scăzut, iar impactul

asupra fiecărui server gazdă este minim. Amprenta medie în mediile integrate vShield este 15 MB

de spațiu pe disc și 20MB de memorie.

4

Documentație

Performanță sporită cu mecanisme de stocare în memoria cacheSoluția Security for Virtualized Environments oferită de Bitdefender utilizează un mecanism unic

de stocare în memoria cache, în curs de brevetare, incluzând fișierele și aplicațiile comune ale

sistemului de operare pe o listă albă. Acest proces îmbunătățește semnificativ performanța de

scanare a mașinilor virtuale și este actualizat permanent. Acest lucru este realizat prin intermediul

a două straturi de memorie cache pe care le utilizează soluția, unul dintre acestea fiind memoria

cache self-learning, încorporată în SVA. Agentul silențios utilizează o memorie locală cache pre-

populată în baza variabilelor mediului său, și, astfel, acesta poate aloca scanarea numai a ceea ce

este necesar, excluzând obiectele care sunt sigure.

Soluția Security for Virtualized Environments oferită de Bitdefender utilizează un mecanism unic

de stocare în memoria cache, în curs de brevetare, incluzând fișierele și aplicațiile comune ale

sistemului de operare pe o listă albă. Acest proces îmbunătățește semnificativ performanța de

scanare a mașinilor virtuale și este actualizat permanent. Acest lucru este realizat prin intermediul

a două straturi de memorie cache pe care le utilizează soluția, unul dintre acestea fiind memoria

cache self-learning, încorporată în SVA. Agentul silențios utilizează o memorie locală cache pre-

populată în baza variabilelor mediului său, și, astfel, acesta poate aloca scanarea numai a ceea ce

este necesar, excluzând obiectele care sunt sigure.

Concluzie

Securitatea virtualizării nu ar trebui să afecteze

performanța unui mediu virtualizat de tip centru

de date, astfel renunțându-se la multe dintre

beneficiile avute în vedere prin virtualizare. Soluția

Security for Virtualized Environments (SVE) oferită

de Bitdefender rezolvă această problemă prin

abordarea unică a securității mașinilor virtuale în

cadrul oricărei tehnologii de virtualizare. Arhitectura

soluției Security for Virtualized Environments

oferite de Bitdefender izolează funcționalitatea de

scanare de sistemele protejate, rezolvând multe

din problemele aferente securității virtualizării

menționate anterior. În plus, soluția oferită de

Bitdefender contribuie la sporirea performanței

de securitate prin utilizarea unor mecanisme de stocare în memoria cache avansate, în curs de

brevetare. Aceasta conduce la rate de consolidare mai ridicate în centrele de date virtualizate,

ceea ce, în cele din urmă, înseamnă o reducere a costurilor operaționale, fără a reduce și nivelul de

securitate.

Figura 2: Prezentarea arhitecturii de scanare

5

Despre BitdefenderBitdefender este o companie globală, care oferă soluții de securitate în mai mult de 100 de țări prin intermediul unei rețele extinse de parteneri, distribuitori și revânzători. Din 2001, Bitdefender a produs în mod constant tehnologii de securitate premiate, atât pentru organizații, cât și pentru utilizatori individuali, fiind unul dintre producătorii de top în materie de soluții de securitate care folosesc tehnologii de virtualizare și pe bază de cloud. Cu ajutorul echipelor de cercetare și dezvoltare, alianțelor și parteneriatelor sale, Bitdefender a creat cele mai ridicate standarde de excelență în securitate, atât în ceea ce privește tehnologia sa nr. 1, cât și alianțele sale strategice cu furnizori de renume mondial în domeniul tehnologiilor de virtualizare și pe bază de cloud.

Toate drepturile rezervate. © 2014 Bitdefender.Toate mărcile, denumirile comerciale și produsele la care se face referire în prezentul document sunt proprietatea companiilor respective.

PENTRU INFORMAȚII SUPLIMENTARE ACCESAȚI: ENTERPRISE.BITDEFENDER.COM

AnexăPerformanța a fost testată pe următoarele echipamente hardware și platforme de virtualizare:

Specificații hardware 1x HP ProLiant BL460c G7

2 * Xeon 6 CORE + HT @ 2.53 GHZ (Intel Xeon E5649)

144GB RAM

1.2 TB PCI-E SSD iSCSI memorie (10 GBit)

Infrastructură VDI 20x Windows XP SP3 (32 biți), 1xCPU, 1GB RAM

20x Windows 7 (64 biți), 1xCPU, 2GB RAM

5x Windows 2k8 R2, 1xCPU, 6GB RAM

Platforme virtualizate Citrix XenServer 6.0 + XenCenter 6.0

Citrix XenDesktop 5.5

VMware ESXi 5.0 + vSphere 5.0

Ghid rapid de soluții