[封面故事] 虛擬主機這樣防毒才夠快

許多企業都持續導入虛擬化架構，希望藉此達到較佳的管理機制，同時降低機房維護管理上的負擔，雖然出發點是能夠讓企業得利，但倘若因為伺服器大量集中，因而爆發出猛烈的安全事件，對企業而言便得不償失。因此，就算是在虛擬化的過程中，也需要格外留意資訊安全的相關事項；而其中，就以防毒為最基本也最重要的工作。

傳統上，無論是伺服器或是個人電腦都需要安裝防毒軟體，以防止各種惡意軟體或是病毒的入侵，這點乍看已經是很標準且常見的作法，但是在虛擬化環境中，卻完全都變了樣，這都是因為虛擬機器與實體機器之間的抗衡。

以目前來說，各種防毒軟體都可以有效支援 VMware 或 Hyper-V 環境，不像過去可能會因為在虛擬機器上運作，而造成系統失靈或無法防護。但對於財務部門而言，一臺實體機器應該只需要安裝一套防毒軟體，較不能接受一臺實體機器裡面有多個虛擬機器，更遑論需要多套防毒軟體了。

但是我們應該如何保障虛擬機器免受病毒侵擾呢？過去的方式是必須在每一臺電腦上安裝獨立的防毒軟體，但如此的作法會讓成本增加，同時在配置上也缺乏彈性。畢竟，我們之所以導入虛擬化，最重要的並非降低成本，而是虛擬化所能帶來的動態調配與即時因應的彈性，如果因為防毒軟體無法有效因應，就喪失了動態環境的安全性。

Hypervisor 為攻守重心

在傳統環境中，只要安裝好防毒程式、功能套件與更新檔案，該臺電腦就能受到完整且妥善的保護，但是在虛擬環境中則並非如此。我們在 Host 上安裝了防毒軟體，並不代表 Guest 都能夠受到保護，因為根據虛擬環境的設計不同，對於主機間的從屬關係也不盡相同，特別是在 Microsoft Hyper-V 中，Host 端就完全無法探知 Guest 端的狀態。

「Microsoft Hyper-V 的架構設計是讓所有的主機都各自獨立，彼此不會受到干擾，」臺灣微軟技術中心顧問邱爵榮表示：「如此可以避免惡意程式透過 Hypervisor 層彼此干擾，但也因此在需要安裝防毒軟體時，需要每一臺都安裝一份，才能保障安全。」

Hypervisor 層就有如刀鋒伺服器的背板一般，每個虛擬機器都透過它存取實體上的各項硬體設備，因此就成為未來虛擬化環境的攻防重心，目前也是防毒廠商與虛擬化廠商關注的焦點。

效能是虛擬化需注意之處

相對於此，趨勢科技認為虛擬化的資安防護應該要以主機 (Host) 端為主，將防護軟體安裝在 Host 端上並提供用戶 (Guest) 端的防護。主要的掃描引擎及特徵碼都位於 Host 端上，在沒有 Agent 的狀況下，會由 Host 端主動過濾並掃描任何流量，就算是虛擬主機間僅透過 hypervisor 層交流的訊息亦同；如果希望提高安全防護層級，則可以在 Guest 端安裝專屬代理程式 (Agent)，以強化安全防護能力。

「一臺機器如果要安裝多個防毒軟體，很容易因為掃描與更新而影響效能，」趨勢科技臺灣區技術顧問戴燊認為：「要能夠兼顧虛擬環境效能與安全性的作法，就應該是由 H o s t 端集中負責，而 Guest 端只要把有疑問的部份回送至過濾引擎處即可。」另外如 Checkpoint 也推出虛擬環境中可使用的虛擬防火牆，也是透過類似的機制， 在 hypervisor 上建構一套可用於檢視並過濾所有流經的封包，避免惡意封包透過 hypervisor 傳遞，強化了安全性也不致於影響虛擬機器效能。

（作/羅健豪）

（…未完，更多精采內容請參閱網路資訊雜誌 224 期 7 月號）