Scenario:
Företaget kör merparten av sina servrar virtuellt och ska nu införa vdi. It-ledningen misstänker att lokalt, traditionellt, installerat virusskydd i varje vdi-klient kommer att ge stora prestandaproblem i lagringslösningen, vilket kommer att påverka både klienter och servrar. Man vill därför införa en smartare lösning för virusskydd. Företaget använder 10 virtuella Windowsservrar och 150 vdi-klienter i en delad lösning som körs på tre värdservrar med två fysiska cpu i varje.

I takt med att allt fler servrar körs virtuellt ställs också nya krav på det övriga ekosystemet kring servermiljön. Alla är överens om att en virusskyddslösning är ett måste, men det är inte troligt att en traditionell lösning är det bästa i en virtuell miljö. Funderar du dessutom på att införa en vdi-lösning där du kör även dina klienter virtuellt kommer du garanterat att vilja titta på alternativa sätt att hantera ditt virusskydd.

Med en virusskyddsagent installerad på traditionellt sätt i varje klient är det nämligen troligt att du kommer att råka ut för problem med diskprestanda, eftersom flera servrar och klienter samtidigt kommer att köra schemalagda genomsökningar av filsystemet. Det kan få även det bästa san att storkna.
Du kommer dessutom alltid att lida av det traditionella problemet att virus och virusskydd slåss på samma slagfält, det vill säga inuti ett och samma os, och båda försöker slå ut varandra.

Intelligens som inte belastar

Vi behöver alltså något nytt sätt att hantera problemet, och lösningen kan vara ett hypervisor-integrerat virusskydd. Det innebär flera fördelar. Den främsta är att det införs en intelligent kontroll över hur genomsökningarna sker, alltså på ett sätt som inte överbelastar lösningen som helhet, eftersom en produkt som arbetar på hypervisor-nivå har hela bilden klar för sig över vilka vm:ar som ska genomsökas.

Det kan också vara så att du får en mer pålitlig virussökning i dina vm:ar eftersom en extern kontroll medför att ett virus får mycket svårt att gömma sig. Du beror på att du äger och inspekterar hela din vm ”utifrån” och såväl körande processer som filer på disken kan övervakas.

Ordlista:

AD, Active Directory: Microsofts katalogtjänst som håller information om samtliga användar- och datorkonton som finns i domänen.
ha, high availability: Funktion i Vsphere som ger feltolerans i form av ett kluster.
drs, distributed resource scheduling: Funktion inom ett kluster som automatiskt flyttar runt vm:ar för att jämna ut belastningen.
Eicar-virus: Fejkat virus från European Institute for Computer Antivirus Research som används för att testa virusskyddsprodukter.
sva, security virtual appliance: Den vm som genomför själva virusskyddskontrollen.
svc, security virtual console: Den vm där man sköter om all administration av antivirusprodukten
uefi, unified extensible firmware interface: Modernare form av bios som ger bättre möjligheter till säker start av en vm.
VMCI, Virtual Machine Communication Interface: VMware-gränssnitt som är en direktkanal mellan vm och hypervisor.

 

VMware bjuder på api:et

I en virtuell miljö är det alltså troligt att du vill använda en sådan lösning. VMware erbjuder ett api i ESXi som leverantörer kan utnyttja för att skapa externa virusskyddslösningar. Api:et installeras genom att man sätter in produkten Vshield Endpoint i den befintliga Vsphere-miljön.

Licens för Vshield Endpoint ingår i Essentials Plus och högre licensformer. Det krävs ingen separat licensnyckel, du laddar bara hem Vshield från VMware och installerar i befintlig miljö.

En liten agent som kallas Vshield Driver måste också installeras i en vm för att den ska vara skyddad. Den läggs in som tillval till VMware Tools.
Det är i dag enbart Windowsbaserade vm:ar som kan hanteras av Vshield Endpoint, men stöd för Linux planeras för framtiden.

Vshield Endpoint består av flera olika delar. Vshield Manager körs som en vm, och från den aktiverar man Endpoint-modulen i ESXi-hypervisorn. I varje vm måste också en liten agent (”Vshield vm-agent”på bilden) installeras, som en del av VMware Tools. En tredjepartsleverantör skapar sedan en vm (sva) som genomför den egentliga viruskontrollen. Den hanteras i sin tur av en konsol som leverantören utvecklar, svc. Leverantör­en kan också skapa en liten agent för installation i en vm för att ge användaren information om ett virus påträffas.

När man kör denna form av virusskydd är det viktigt att den vm som utför själva kontrollen inte flyttas bort från värdservern. Den ska alltså undantas all form av ha-kluster eller drs och ska inte flyttas bort med Vmotion då en värdserver ska stängas av, och man måste ha en sådan vm per värdserver. Den ska slås av manuellt och bör vara den sista vm som slås av på en värd och den första som slås på efter start av en värdserver.

Den vm som utför den faktiska kontrollen kallar VMware för sva, security virtual appliance, och den vm där man administrerar produkten kallas svc, security virtual console.

Det finns ett flertal olika leverantörer på marknaden som erbjuder Vshield-integrerade lösningar. Vi har valt ut fyra av dem som vi har installerat för att skapa oss en uppfattning om vilken vi tycker är bäst.

Vi har utgått från en miljö med Vsphere 5.1 och där installerat Vshield, för att sedan införa produkt efter produkt för bedömning.

Kan förvirra användaren

Man kan köra produkterna helt agentlöst, så våra vm:ar detekterar inte att de är utsatta för inspektion. Det kan dock ge lite märkliga effekter för användaren – en fil kanske plötsligt tas bort utan förvarning, om den är infekterad.

Det här kan ofta lösas med någon form av agent i en vm, men är alltså inget krav för att skyddet ska finnas på plats.

I rutorna på nästa sida går vi igenom varje produkt, förklarar hur de fungerar och ger ett omdöme.

Sida 1 / 4
Föregående Nästa

Innehållsförteckning