[封面故事] 虛擬主機這樣防毒才夠快

許多企業都持續導入虛擬化架構,希望藉此達到較佳的管理機制,同時降低機房維護管理上的負擔,雖然出發點是能夠讓企業得利,但倘若因為伺服器大量集中,因而爆發出猛烈的安全事件,對企業而言便得不償失。


許多企業都持續導入虛擬化架構,希望藉此達到較佳的管理機制,同時降低機房維護管理上的負擔,雖然出發點是能夠讓企業得利,但倘若因為伺服器大量集中,因而爆發出猛烈的安全事件,對企業而言便得不償失。因此,就算是在虛擬化的過程中,也需要格外留意資訊安全的相關事項;而其中,就以防毒為最基本也最重要的工作。

傳統上,無論是伺服器或是個人電腦都需要安裝防毒軟體,以防止各種惡意軟體或是病毒的入侵,這點乍看已經是很標準且常見的作法,但是在虛擬化環境中,卻完全都變了樣,這都是因為虛擬機器與實體機器之間的抗衡。

以目前來說,各種防毒軟體都可以有效支援VMware或Hyper-V環境,不像過去可能會因為在虛擬機器上運作,而造成系統失靈或無法防護。但對於財務部門而言,一臺實體機器應該只需要安裝一套防毒軟體,較不能接受一臺實體機器裡面有多個虛擬機器,更遑論需要多套防毒軟體了。

但是我們應該如何保障虛擬機器免受病毒侵擾呢?過去的方式是必須在每一臺電腦上安裝獨立的防毒軟體,但如此的作法會讓成本增加,同時在配置上也缺乏彈性。畢竟,我們之所以導入虛擬化,最重要的並非降低成本,而是虛擬化所能帶來的動態調配與即時因應的彈性,如果因為防毒軟體無法有效因應,就喪失了動態環境的安全性。

Hypervisor為攻守重心

在傳統環境中,只要安裝好防毒程式、功能套件與更新檔案,該臺電腦就能受到完整且妥善的保護,但是在虛擬環境中則並非如此。我們在Host上安裝了防毒軟體,並不代表Guest都能夠受到保護,因為根據虛擬環境的設計不同,對於主機間的從屬關係也不盡相同,特別是在Microsoft Hyper-V中,Host端就完全無法探知Guest端的狀態。

「Microsoft Hyper-V的架構設計是讓所有的主機都各自獨立,彼此不會受到干擾,」臺灣微軟技術中心顧問邱爵榮表示:「如此可以避免惡意程式透過Hypervisor層彼此干擾,但也因此在需要安裝防毒軟體時,需要每一臺都安裝一份,才能保障安全。」

Hypervisor層就有如刀鋒伺服器的背板一般,每個虛擬機器都透過它存取實體上的各項硬體設備,因此就成為未來虛擬化環境的攻防重心,目前也是防毒廠商與虛擬化廠商關注的焦點。

效能是虛擬化需注意之處

相對於此,趨勢科技認為虛擬化的資安防護應該要以主機(Host)端為主,將防護軟體安裝在Host端上並提供用戶(Guest)端的防護。主要的掃描引擎及特徵碼都位於Host端上,在沒有Agent的狀況下,會由Host端主動過濾並掃描任何流量,就算是虛擬主機間僅透過hypervisor層交流的訊息亦同;如果希望提高安全防護層級,則可以在Guest端安裝專屬代理程式(Agent),以強化安全防護能力。

「一臺機器如果要安裝多個防毒軟體,很容易因為掃描與更新而影響效能,」趨勢科技臺灣區技術顧問戴燊認為:「要能夠兼顧虛擬環境效能與安全性的作法,就應該是由H o s t 端集中負責,而Guest端只要把有疑問的部份回送至過濾引擎處即可。」另外如Checkpoint也推出虛擬環境中可使用的虛擬防火牆,也是透過類似的機制, 在hypervisor上建構一套可用於檢視並過濾所有流經的封包,避免惡意封包透過hypervisor傳遞,強化了安全性也不致於影響虛擬機器效能。

(作/羅健豪)

(…未完,更多精采內容請參閱網路資訊雜誌224期7月號)

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2021 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416