本篇文章筆者想和大家再一同探討下虛擬化的防病毒保護(hù)。虛擬化的防病毒同虛擬化備份在功能上差異很大，兩種產(chǎn)品負(fù)責(zé)不同安全層面上的防護(hù)，但在技術(shù)實(shí)現(xiàn)上有很多的相似性。

我們先了解下虛擬化為什么要部署防病毒軟件？

[[230898]]

剛接觸虛擬化的用戶往往都存在這樣的一個(gè)誤區(qū)，“上虛擬化的目的就是為了安全，比如有一個(gè)虛擬機(jī)感染病毒了，直接通過虛擬機(jī)快照就可以回退到歷史狀態(tài)，上殺毒軟件沒用，而且給虛擬機(jī)部署殺毒軟件會(huì)引起虛擬機(jī)資源過度消耗，完全沒有必要。”

然而事實(shí)并非如此：

筆者以自己親身經(jīng)歷的兩個(gè)事件為大家舉例分析。

案例1：去年，一朋友聯(lián)系我，某企業(yè)使用的Hyper-v虛擬化平臺(tái)，虛擬機(jī)磁盤VHD文件遭遇勒索病毒加密，虛擬機(jī)無法開機(jī)，快照無法使用。分析發(fā)現(xiàn)hyper-v宿主機(jī)被勒索病毒感染，后接存儲(chǔ)設(shè)備內(nèi)所有VHD虛擬磁盤文件無一幸免。

就在我準(zhǔn)備發(fā)出這篇文章的時(shí)候，寧夏一個(gè)客戶就出現(xiàn)的這樣的問題，虛擬機(jī)文件被加密。下圖為昨天（5月8號(hào)）客戶被感染的截圖。

案例2：某高校，同樣是去年，VMware虛擬化平臺(tái)虛擬機(jī)，遭遇永恒之藍(lán)入侵，其中一臺(tái)虛擬機(jī)受到攻擊后，通過VMware虛擬網(wǎng)絡(luò)向其他虛擬機(jī)蔓延，導(dǎo)致虛擬機(jī)大面積藍(lán)屏，同時(shí)虛擬機(jī)資源消耗極高，很快將ESXI主機(jī)資源耗盡，客戶使用的是VMware桌面虛擬化，發(fā)生問題后重置快照數(shù)次均無效，短時(shí)間內(nèi)再次發(fā)生大面積藍(lán)屏。

從上面的兩個(gè)案例可以看出，虛擬化病毒的傳播特性是交叉感染方式，交叉感染主要有兩個(gè)：一個(gè)是通過宿主機(jī)底層直接感染虛擬機(jī)磁盤文件。另一個(gè)是通過虛擬網(wǎng)絡(luò)進(jìn)行傳播。

通過宿主機(jī)底層感染虛擬機(jī)主要出現(xiàn)在使用半虛擬化架構(gòu)的虛擬化平臺(tái)中，半虛擬化平臺(tái)由操作系統(tǒng)+虛擬化層構(gòu)成（例如：Windows+hyper-v和linux+KVM），病毒可直接感染底層操作系統(tǒng)，從而大面積破壞虛擬機(jī)磁盤文件。

也就是說，在虛擬化環(huán)境下，原來物理環(huán)境中所有的風(fēng)險(xiǎn)依然存在，同時(shí)相比之前的物理環(huán)境，又多了一個(gè)來自底層宿主機(jī)的風(fēng)險(xiǎn)，而這個(gè)風(fēng)險(xiǎn)則有可能是為企業(yè)帶來滅頂之災(zāi)，出問題不僅僅是某一臺(tái)服務(wù)器的問題，而是所有。

此外，通過虛擬網(wǎng)絡(luò)病毒傳播主要出現(xiàn)在以VMware為代表的裸金屬部署架構(gòu)的虛擬化環(huán)境中（例如：ESXI\思杰的XEN等）。由于虛擬化本身的特性，網(wǎng)絡(luò)結(jié)構(gòu)扁平化，傳統(tǒng)的邊界防御設(shè)備無法感知到虛擬網(wǎng)絡(luò)層內(nèi)部的威脅。因此，傳統(tǒng)的網(wǎng)絡(luò)安全設(shè)備應(yīng)對(duì)虛擬化網(wǎng)絡(luò)的安全威脅中基本無效，要保護(hù)虛擬化網(wǎng)絡(luò)的安全必須從虛擬化網(wǎng)絡(luò)內(nèi)部入手，感知威脅。

總之，借用美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究組織的一句話，“一個(gè)有安全威脅的虛擬機(jī)往往會(huì)影響整個(gè)虛擬化架構(gòu)”

針對(duì)虛擬化系統(tǒng)，目前很多用戶使用傳統(tǒng)的方式，將防病毒軟件安裝在虛擬機(jī)上，來保護(hù)虛擬化平臺(tái)的安全。

這種方式看似是比較簡(jiǎn)單的，他把虛擬機(jī)當(dāng)成了一臺(tái)傳統(tǒng)的物理機(jī)去處理，可以實(shí)現(xiàn)殺毒軟件的所有功能，同時(shí)也不用考慮客戶的虛擬化用的是什么平臺(tái)，只要看虛擬出來的虛擬機(jī)是什么操作系統(tǒng)就好。

但事實(shí)上是傳統(tǒng)的防病毒軟件并不適用于虛擬化這種新型平臺(tái)中去。主要原因如下：

1.“防病毒風(fēng)暴”問題

我們都知道，殺毒軟件在執(zhí)行文件反病毒掃描時(shí)，計(jì)算機(jī)的內(nèi)存和CPU消耗都會(huì)升高不少，計(jì)算機(jī)可能變慢，原因是反病毒軟件會(huì)遍歷磁盤中所有文件同病毒庫進(jìn)行比對(duì)，確認(rèn)病毒文件。因此，在虛擬化平臺(tái)中，虛擬機(jī)數(shù)量眾多，如果大批虛擬機(jī)同時(shí)執(zhí)行文件反病毒掃描任務(wù)，會(huì)導(dǎo)致資源競(jìng)爭(zhēng)，加重ESXI主機(jī)負(fù)擔(dān)以及虛擬機(jī)的計(jì)算資源。在掃描期內(nèi)，形成資源消耗風(fēng)暴，影響虛擬機(jī)性能以及業(yè)務(wù)。

2.“防護(hù)間隙”問題

虛擬化平臺(tái)中，虛擬機(jī)數(shù)量眾多，如果每個(gè)虛擬機(jī)都安裝防病毒軟件，部署難度大。且虛擬機(jī)一旦關(guān)機(jī)或暫停，傳統(tǒng)的防病毒軟件不再起任何作用（主動(dòng)防御停止），病毒庫更新延遲，當(dāng)虛擬機(jī)開始加載到啟動(dòng)后防病毒軟件啟動(dòng)這一段時(shí)間，虛擬機(jī)實(shí)際上處在一個(gè)無保護(hù)的狀態(tài)，在安全上有時(shí)間漏洞，存在保護(hù)間斷的問題。

3、其他問題。

在傳統(tǒng)模式下，我們要為每一臺(tái)虛擬機(jī)上安裝反病毒程序和病毒庫，不僅在掃描和更新時(shí)占用大量的計(jì)算資源（包括CPU和內(nèi)存），也會(huì)占用大量的磁盤空間。也降低的虛擬化的密度，降低的虛擬化的效率，同時(shí)在管理上也不方便。

近些年，虛擬化廠家也發(fā)現(xiàn)了虛擬化平臺(tái)日益突出的安全問題，主流的虛擬化廠家相繼為第三方安全廠家開辟安全接口，用于反病毒，防火墻等一系列安全功能。

目前市面上主流的技術(shù)是無代理反病毒技術(shù)（這點(diǎn)很像之前文章中提到的無代理備份技術(shù)）。無代理反病毒，其實(shí)同無代理備份很類似。

以VMware為例，VMware在vsphere6.0版本之前，為用戶提供vshieldmanager安全套件（VMwarevsphere6.0開始整合到了VMwareNSX網(wǎng)絡(luò)套件中）。用戶在自己的VMware虛擬化平臺(tái)中部署vshield后，即可在ESXI主機(jī)中開啟endpoint反病毒插件。該插件為第三方安全廠家提供防病毒接口。第三方安全廠家僅需在集群中每個(gè)ESXI是部署SVM（安全代理虛擬機(jī)）即可，無需為每個(gè)虛擬機(jī)安裝殺毒客戶端。如下圖：

無代理反病毒示意圖

虛擬化的無代理反病毒的優(yōu)勢(shì)非常明顯，首先，解決了防病毒風(fēng)暴問題，當(dāng)大批量虛擬機(jī)需要防病毒掃描時(shí)，主要掃描負(fù)載壓力集中在SVM虛擬機(jī)上，顯著降低各個(gè)業(yè)務(wù)虛擬機(jī)的資源負(fù)擔(dān)以及ESXI主機(jī)的資源負(fù)擔(dān)。

無代理反病毒VS傳統(tǒng)反病毒資源消耗對(duì)比（來自于VMware）

其次，無代理反病毒運(yùn)維方式更為簡(jiǎn)單，部署相對(duì)容易，無需在每個(gè)虛擬機(jī)上安裝客戶端程序。同時(shí)每個(gè)SVM上提供集中式的病毒庫引擎，供所有虛擬機(jī)使用，消除保護(hù)間斷以及解決病毒庫更新問題。最后還可支持虛擬機(jī)vmotion漂移技術(shù)，即時(shí)虛擬機(jī)發(fā)生漂移，保護(hù)也隨之跟進(jìn)。

最后，第三方安全廠家大多都會(huì)集成網(wǎng)絡(luò)虛擬化保護(hù)技術(shù)，在虛擬化網(wǎng)絡(luò)內(nèi)部部署IPS\IDS虛擬設(shè)備，對(duì)虛擬網(wǎng)絡(luò)內(nèi)部流量進(jìn)行清洗和過濾。

因此，無代理模式自推出起，就受到了廣大虛擬化用戶的喜愛，成為虛擬化用戶的首選解決方案。但無代理模式在實(shí)際的運(yùn)行中也存在一定的不足之處（跟無代理備份一樣）。

1.無代理防病毒技術(shù)依賴于虛擬化廠家的防病毒接口，實(shí)現(xiàn)的保護(hù)功能有限，大部分僅能實(shí)現(xiàn)文件防病毒。例如：殺毒軟件的另一個(gè)主要功能主動(dòng)防御、反網(wǎng)絡(luò)攻擊等技術(shù)無法使用（受虛擬化廠家接口限制）。（個(gè)人觀點(diǎn)：主動(dòng)防御非常重要，對(duì)未知病毒的檢測(cè)阻斷完全靠主動(dòng)防御機(jī)制的保護(hù)）。

2.無代理防病毒軟件版本升級(jí)受制于虛擬化廠家，當(dāng)虛擬化平臺(tái)更新后（例如從ESXI5.5升級(jí)至6.0后）無代理防病毒軟件可能需要重新部署，原因在于虛擬化平臺(tái)底層安全接口變化，新接口不支持老版本防病毒軟件。當(dāng)虛擬化廠商有新的版本推出后，防病毒廠商才能在新的平臺(tái)上開發(fā)新的針對(duì)該平臺(tái)的防病毒系統(tǒng)，存在較長(zhǎng)的時(shí)間差，因此，無代理模式的版本更新較傳統(tǒng)模式要慢。我們也經(jīng)常遇到客戶第一時(shí)間升級(jí)到了最新的VM版本，但相應(yīng)的無代理防病毒系統(tǒng)卻遲遲不能推出而無法安裝部署，老的版本又不能支持新版本的虛擬化平臺(tái)，致使整個(gè)虛擬化平臺(tái)處于無保護(hù)狀態(tài)。

3.無代理防病毒部署，經(jīng)常遇到虛擬化平臺(tái)防病毒接口不穩(wěn)定的情況，例如：安裝vshield插件速度慢等一系列問題。

4.無代理防病毒特別依賴VMwareTools工具。很多用戶在安裝VMwareTools組件時(shí)大都會(huì)選擇典型安裝，如果使用無代理反病毒，虛擬機(jī)在安裝VMwareTools時(shí)必須自定義或完整安裝，典型安裝VMwareTools工具時(shí)默認(rèn)組件不包含endpoint反病毒插件，因此，之前已經(jīng)典型安裝過VMwareTools的虛擬機(jī)要全部修改安裝一遍，否則，無代理反病毒無法工作。

5.無代理反病毒對(duì)于較新版的VMware用戶來說，使用無代理反病毒需要向VMware支付額外費(fèi)用。VMwarevsphere6.0以上版本部署無代理反病毒需要VMwareNSX網(wǎng)絡(luò)套件的支持，而VMwareNSX網(wǎng)絡(luò)套件需要單獨(dú)向VMware購買，且價(jià)格不低。

為了解決無代理的這些不足，又有第三方安全廠家提出了一種新型的虛擬化平臺(tái)防病毒保護(hù)方案，稱之為“輕代理保護(hù)”，輕代理防病毒汲取了無代理資源消耗低的特點(diǎn)和傳統(tǒng)端點(diǎn)防護(hù)的保護(hù)面廣的優(yōu)勢(shì)，在性能和防護(hù)上較為均衡。

輕代理防護(hù)由安全代理虛擬機(jī)以及輕代理客戶端組成，與傳統(tǒng)端點(diǎn)防護(hù)和無代理防護(hù)的優(yōu)勢(shì)在于，輕代理反病毒將資源消耗較高的文件反病毒、郵件反病毒、網(wǎng)頁反病毒等模塊集成在安全代理虛擬機(jī)上，業(yè)務(wù)虛擬機(jī)上的客戶端僅安裝一個(gè)輕量級(jí)的代理程序，該代理程序僅包含控制功能以及主機(jī)HIPS、反網(wǎng)絡(luò)攻擊功能?？蛻舳溯p量級(jí)資源占用少，同時(shí)結(jié)合安全代理虛擬機(jī)的模塊，防護(hù)面廣。

虛擬化輕代理防病毒示意圖

相比無代理，輕代理是性能和防護(hù)面折中的方案，資源消耗相比無代理高一點(diǎn)，但比傳統(tǒng)端點(diǎn)防護(hù)方案資源消耗低。保護(hù)面同傳統(tǒng)端點(diǎn)安全產(chǎn)品功能基本一致。同時(shí)不依賴于虛擬化廠家的反病毒接口，可支持任意版本的虛擬化平臺(tái)，兼容性好。而且無需向虛擬化廠家購買獨(dú)立安全套件，性價(jià)比較高。但輕代理防護(hù)方案也有美中不足，主要體現(xiàn)在輕代理客戶端部署相對(duì)比較麻煩，受保護(hù)的虛擬機(jī)必須安裝輕量級(jí)客戶端程序。盡管輕代理程序很小，但面對(duì)規(guī)模龐大的虛擬化系統(tǒng)，安裝部署也行對(duì)比較麻煩。

因此，在實(shí)際項(xiàng)目中，我們一般推薦在大型虛擬化環(huán)境采用無代理+輕代理組合部署較為合理。例如：服務(wù)器虛擬化使用無代理防護(hù)，性能資源消耗低，有益于生產(chǎn)業(yè)務(wù)。桌面虛擬化環(huán)境可使用輕代理防護(hù)，防護(hù)面廣，適用于終端工作場(chǎng)景，且輕代理可同虛擬機(jī)鏡像模板打包生成，完成批量快速部署。

傳統(tǒng)模式、輕代理和無代理的對(duì)比：

根據(jù)以上介紹，用戶在選用虛擬化反病毒產(chǎn)品時(shí)，可從以下幾個(gè)方面來考量：

1.當(dāng)然是殺毒能力，這是選擇殺毒軟件的基礎(chǔ)，畢竟殺毒軟件是用來殺毒的。這里要考察的因素包括病毒庫大小、更新速度、對(duì)未知病毒的防范能力、發(fā)現(xiàn)新病毒后的反應(yīng)能力等。對(duì)于我們普通用戶而言，可能沒有能力對(duì)殺毒能力做出準(zhǔn)確的判斷，那么可以參考一些國(guó)際知名的測(cè)評(píng)機(jī)構(gòu)的評(píng)測(cè)報(bào)告。例如：AV-TEST、VB100、AV-Comparatives等。殺毒軟件不同于其他應(yīng)用軟件，不是功能多就是好，而是要看殺毒能力的強(qiáng)弱，這是以后能否防范病毒的重要指標(biāo)。

2.應(yīng)有專門的針對(duì)虛擬化的解決方案，虛擬化防病毒產(chǎn)品應(yīng)既可以支持無代理也可以支持輕代理，且授權(quán)通用，用戶可根據(jù)實(shí)際情況隨時(shí)進(jìn)行調(diào)整部署模式，避免授權(quán)不通用導(dǎo)致用戶的二次消費(fèi)。

3.多平臺(tái)支持。虛擬化產(chǎn)品應(yīng)支持不同的虛擬化平臺(tái)，如常見的VMWARE\CTRIX\HYPER-V\KVM等，且授權(quán)文件通用，避免以后更換虛擬化平臺(tái)時(shí)授權(quán)無效導(dǎo)致的二次消費(fèi)。

4.本地化服務(wù)能力，道高一尺，魔高一丈，從殺毒軟件的技術(shù)原理可知，從來都是先有病毒，后有反病毒，任何一個(gè)殺毒軟件都不敢保證能清除所有的病毒，因此必須要結(jié)合服務(wù)才能最大化的保證用戶的安全。

5.性價(jià)比。在滿足以上殺毒能力和功能的基礎(chǔ)上，再對(duì)比價(jià)格的因素。如果不考慮以上因素單純的對(duì)比價(jià)格是沒有意義的。