Gartner預(yù)測(cè)，到2015年，企業(yè)數(shù)據(jù)中心40%的安全控制將是虛擬化的，比2010年的5%有大幅度提高。隨著云計(jì)算的不斷普及，虛擬化技術(shù)的應(yīng)用越來(lái)越廣，虛擬化環(huán)境下的安全防護(hù)問(wèn)題也日益突顯。怎樣才能既保證系統(tǒng)安全，又降低安全防護(hù)對(duì)虛擬機(jī)性能的影響?安全廠商給出的答案是采用無(wú)代理安全部署模式。

將虛擬機(jī)密度提升兩倍

對(duì)于虛擬化環(huán)境下的安全防護(hù)，傳統(tǒng)安全的防護(hù)策略是在每臺(tái)虛擬機(jī)上安裝安全防護(hù)產(chǎn)品，即有代理模式。“有代理模式在每個(gè)VMware虛擬機(jī)上安裝殺毒軟件客戶端程序。”國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心主任張健在接受記者采訪時(shí)表示，采用有代理模式時(shí)，“每個(gè)VMware虛擬機(jī)與原來(lái)的客戶端管理模式基本一致，需要升級(jí)殺毒軟件、檢測(cè)掃描殺毒等操作，這些操作對(duì)系統(tǒng)資源消耗比較大，可能影響整個(gè)系統(tǒng)的效率”。

傳統(tǒng)安全軟件并不是專門為虛擬化環(huán)境設(shè)計(jì)的，沒(méi)有針對(duì)虛擬化環(huán)境下的資源共享進(jìn)行優(yōu)化。當(dāng)上百臺(tái)虛擬機(jī)在同一時(shí)間開(kāi)啟病毒庫(kù)自動(dòng)升級(jí)或者自動(dòng)云查殺，所有虛擬機(jī)同時(shí)需要網(wǎng)絡(luò)資源，那么企業(yè)網(wǎng)絡(luò)資源將面臨極大的壓力，這就是所謂的“防病毒風(fēng)暴”。這與企業(yè)使用虛擬化技術(shù)節(jié)約IT資源的初衷顯然是相違背的。

怎樣達(dá)到安全防護(hù)的目的，又能夠節(jié)約IT資源，降低企業(yè)的IT支出?安全廠商給出的解決方案是部署無(wú)代理安全模式的安全解決方案。采用無(wú)代理部署模式，用戶無(wú)需在每個(gè)虛擬機(jī)中安裝客戶端程序，而是將其中一臺(tái)虛擬機(jī)變成安全虛擬機(jī)，讓這臺(tái)安全虛擬機(jī)去管理虛擬化環(huán)境下的其他所有虛擬機(jī)的安全防護(hù)。用戶只需安裝一次安全防護(hù)設(shè)備，對(duì)這臺(tái)安全虛擬機(jī)進(jìn)行升級(jí)和維護(hù)，就能夠讓其他所有虛擬機(jī)得到最新的安全防護(hù)。

無(wú)代理安全模式可以降低內(nèi)存和中央處理器的負(fù)載，避免“防病毒風(fēng)暴”。“無(wú)代理模式下，病毒庫(kù)的升級(jí)和簽名管理更加靈活，對(duì)VMware虛擬機(jī)的性能并沒(méi)有影響。”邁克菲資深信息安全專家程智力非常看好無(wú)代理安全模式。

采用無(wú)代理安全模式，用戶在擴(kuò)展虛擬機(jī)時(shí)，無(wú)需再次部署安全解決方案，因此總體上降低了企業(yè)的IT成本。趨勢(shì)科技中國(guó)區(qū)業(yè)務(wù)發(fā)展及產(chǎn)品管理高級(jí)總監(jiān)鄭弘卿用數(shù)字說(shuō)明了這一點(diǎn)：“第三方研究數(shù)據(jù)表明，使用無(wú)代理防模式的防病毒解決方案，支持的VDI虛擬機(jī)密度與傳統(tǒng)防病毒解決方案相比，提升了兩倍。此外，如果客戶計(jì)劃運(yùn)行1000個(gè)虛擬桌面，趨勢(shì)科技無(wú)代理安全解決方案可以幫助用戶節(jié)約IT支出350萬(wàn)元。”

基于VMware虛擬化平臺(tái)

不同廠商在虛擬化實(shí)現(xiàn)技術(shù)、存儲(chǔ)架構(gòu)、備份機(jī)制、虛擬交換機(jī)之間的隔離等方面仍然存在很大差異。因此，安全廠商在跟不同虛擬化廠商合作時(shí)，針對(duì)不同虛擬化廠商和平臺(tái)架構(gòu)的不同，開(kāi)放接口不同，安全解決方案進(jìn)行差異化的開(kāi)發(fā)，這可能會(huì)導(dǎo)致更多的開(kāi)發(fā)成本和周期。正如程智力在接受本報(bào)記者采訪時(shí)所言：“安全廠商要針對(duì)不同的虛擬化平臺(tái)進(jìn)行有針對(duì)性的開(kāi)發(fā)和功能支持，對(duì)于一些特殊接口，還要進(jìn)行有針對(duì)性的開(kāi)發(fā)才能夠予以支持和集成。”

由此可見(jiàn)，無(wú)代理安全模式需要與虛擬化系統(tǒng)密切結(jié)合在一起。這就要求安全廠商必須得到虛擬化廠家的支持。

盡管安全廠商對(duì)無(wú)代理安全模式很推崇，但目前已經(jīng)推出相關(guān)產(chǎn)品的卻屈指可數(shù)，并且這些無(wú)代理安全都基于VMware的虛擬化平臺(tái)vShield Endpoint，而對(duì)Hyper-V、Ctrix卻鮮有涉獵。例如，趨勢(shì)科技全球十分之一的員工在從事VMware虛擬化安全解決方案的研發(fā)、銷售工作。

對(duì)于為什么選擇VMware，鄭弘卿給出的理由是：“VMware的用戶最多，管理最完善，客戶對(duì)無(wú)代理安全的需求相對(duì)較多。”相比之下，其他虛擬化平臺(tái)用戶比較少，并且大多對(duì)安全防護(hù)水平的要求并不高。

另一個(gè)重要的原因是，其他虛擬化平臺(tái)并沒(méi)有開(kāi)放接口給這些安全廠商。“我們也在做準(zhǔn)備，只等對(duì)方同意跟我們合作。”趨勢(shì)科技中國(guó)區(qū)產(chǎn)品經(jīng)理鐘宇軒說(shuō)。

對(duì)無(wú)代理模式的爭(zhēng)議

對(duì)于無(wú)代理安全，業(yè)界也存在質(zhì)疑的聲音：由于目前只支持VMware平臺(tái)下的Windows操作系統(tǒng)，并不適用于Linux操作系統(tǒng)，因此無(wú)代理安全模式在某些情況下可能存在漏殺的情況。對(duì)此，卡巴斯基實(shí)驗(yàn)室亞太區(qū)董事總經(jīng)理張立申坦言：“在病毒查殺方面，有代理模式的分層掃描更細(xì)致，病毒查殺能力更強(qiáng)。因此，在無(wú)代理模式下，殺毒引擎的性能是否強(qiáng)大、檢測(cè)速度是否夠快就顯得尤為重要。”

對(duì)于漏殺之說(shuō)，鐘宇軒并不認(rèn)同，他認(rèn)為無(wú)代理模式比之前的安全防護(hù)策略更加安全，因?yàn)?ldquo;以前的系統(tǒng)是分散的，病毒庫(kù)有沒(méi)有更新到系統(tǒng)中用戶可能并不知道，對(duì)虛擬化進(jìn)行集中管控之后，經(jīng)過(guò)虛擬化平臺(tái)的數(shù)據(jù)都會(huì)被掃描到”。他告訴記者，趨勢(shì)科技Deep Security 8.0，在防病毒的基礎(chǔ)上，增加了無(wú)代理完整性監(jiān)控、無(wú)代理事件通知等功能。通過(guò)VMware的API接口，用戶還可以選擇添加入侵檢測(cè)、Web應(yīng)用防護(hù)、漏洞修補(bǔ)和防火墻等更多功能。這使無(wú)代理模式正在突破功能單一的弊端，實(shí)現(xiàn)更全面的安全防護(hù)。在鐘宇軒眼里，無(wú)代理是一對(duì)多的防護(hù)，因重要的是保證這個(gè)“一”不會(huì)成為單點(diǎn)故障點(diǎn)，所以對(duì)無(wú)代理安全而言，系統(tǒng)的穩(wěn)定性相當(dāng)重要。

“無(wú)代理模式僅支持VMware平臺(tái)，并且不能針對(duì)同一個(gè)Hypervisor中的不同虛擬機(jī)設(shè)定不同的掃描防護(hù)策略，缺少應(yīng)用程序管理、HIPS等其他高級(jí)防護(hù)功能。”因此，用戶如果需要更高等級(jí)的防護(hù)水準(zhǔn)，程智力推薦用戶使用有代理的方式。

統(tǒng)一管理兩種模式

當(dāng)前，用戶的IT環(huán)境復(fù)雜，既包括虛擬化環(huán)境，又包括物理機(jī)環(huán)境，還包括混合使用環(huán)境。此外，跨平臺(tái)的操作系統(tǒng)同時(shí)應(yīng)用在企業(yè)網(wǎng)絡(luò)內(nèi)部，隨著IT消費(fèi)化趨勢(shì)，個(gè)人設(shè)備、移動(dòng)終端的應(yīng)用越來(lái)越廣泛。

在這種情況下，張立申強(qiáng)調(diào)，無(wú)代理模式和有代理模式需要相互配合。“如果用戶的虛擬化環(huán)境是100臺(tái)虛擬機(jī)，其中5臺(tái)是Linux虛擬機(jī)，95臺(tái)是Windows虛擬機(jī)，用戶可選擇在95臺(tái)Windows虛擬機(jī)上安裝無(wú)代理模式的安全解決方案，在其余5臺(tái)Linux虛擬機(jī)上安裝有代理防護(hù)解決方案。這樣也可以大大節(jié)約虛擬機(jī)的資源。”

在混合的系統(tǒng)環(huán)境下，關(guān)鍵是如何對(duì)有代理模式和無(wú)代理模式進(jìn)行統(tǒng)一管理，并簡(jiǎn)化管理。對(duì)此，卡巴斯基在其Kaspersky Security for Virtualization中，不僅第一次使用了無(wú)代理安全模式，其Kaspersky Security Center還實(shí)現(xiàn)統(tǒng)一虛擬環(huán)境、物理環(huán)境和移動(dòng)辦公環(huán)境進(jìn)行部署，實(shí)現(xiàn)對(duì)虛擬機(jī)、物理機(jī)的安全進(jìn)行統(tǒng)一管理。

同樣，趨勢(shì)科技Deep Security 8.0的亮點(diǎn)之一也是簡(jiǎn)化管理。據(jù)趨勢(shì)科技鐘宇軒介紹，升級(jí)版產(chǎn)品能對(duì)系統(tǒng)內(nèi)的無(wú)代理和有代理安全進(jìn)行統(tǒng)一管理，通過(guò)一個(gè)虛擬機(jī)安全管理平臺(tái)，用戶就可以實(shí)現(xiàn)跨越虛擬機(jī)、物理機(jī)和云計(jì)算平臺(tái)的統(tǒng)一管理，“可以把關(guān)有代理安全的命令和程序，決定掃描每個(gè)虛擬機(jī)的時(shí)間”。

盡管無(wú)代理模式還存在平臺(tái)單一、無(wú)法差異化部署防護(hù)策略等缺陷，但是在采訪中，專家和業(yè)界人士一致認(rèn)為，未來(lái)無(wú)代理模式將成為大勢(shì)所趨。

鄭弘卿非?？春弥袊?guó)的無(wú)代理安全模式發(fā)展，他認(rèn)為中國(guó)在應(yīng)用落地方面的探索已經(jīng)初見(jiàn)成效，未來(lái)一兩年內(nèi)，通過(guò)政府部門通過(guò)“十二五”推動(dòng)云計(jì)算發(fā)展，推動(dòng)交通云、政務(wù)云，IT廠商推動(dòng)醫(yī)療公有云的發(fā)展，云計(jì)算在中國(guó)的發(fā)展速度會(huì)更快，而無(wú)代理安全模式也將隨著云計(jì)算的發(fā)展快速得到推廣。