第 XXXXX安全防護現(xiàn)狀和需求分析 42 虛擬化環(huán)境下的防病毒解決方案 52.1 MOVEAV4.6 52.2 McAfeeMOVE虛擬化環(huán)境防病毒的獨特優(yōu)勢 73 MOVEAV4.6部署步驟 93.1 安裝MOVEAVServer 113.2 導(dǎo)入MOVEAV擴展 113.3 添加MOVEAV部署包到ePO服務(wù)器資料庫 123.4 通過ePO部署MOVEAVagent 123.5 配置策略 12XXXXX安全防護現(xiàn)狀和需求分析XXXXX已經(jīng)借助虛擬化，在單一物理系統(tǒng)中運行多個虛擬機，從而使資源得到更高效的利用。這樣，就可以大幅削減設(shè)備的資本支出、降低與電力和冷卻相關(guān)的能源成本以及節(jié)省物理空間。但是虛擬環(huán)境下的服務(wù)器和虛擬桌面會和傳統(tǒng)物理計算機碰到相同的安全性問題，例如病毒、蠕蟲、木馬程序和惡意軟件的入侵。所以在虛擬環(huán)境下的服務(wù)器和虛擬桌面同樣需要考慮如何有效地進行防范。一般情況下，對于物理計算機會安裝防病毒軟件來實現(xiàn)病毒實時防御，并且配置計算機以便在非工作時間進行按需防病毒掃描，從而最大限度減少干擾。當(dāng)這些系統(tǒng)被遷移到虛擬環(huán)境，眾多虛擬機同時更新病毒特征庫或者進行按需全盤掃描可能導(dǎo)致內(nèi)存、存儲和CPU使用會出現(xiàn)尖峰，導(dǎo)致這些虛擬機在這段時間內(nèi)都無法正常提供服務(wù)。這種情況通常稱為“防病毒風(fēng)暴”（AV‐Storming）。如今，最常見的做法是使按需掃描調(diào)度隨機化，不過，這種做法也不理想，我們希望建立一套更加有效的虛擬環(huán)境實時防病毒和感知Hypervisor按需全盤掃描的自動調(diào)度系統(tǒng)。面向虛擬桌面和服務(wù)器的McAfeeManagementforOptimizedVirtualEnvironments(MOVE)Anti-virus是專門針對上述挑戰(zhàn)而設(shè)計的解決方案，能夠有效降低傳統(tǒng)病毒掃描的運營費用，同時提供確保業(yè)務(wù)成功的安全保護和卓越性能。虛擬化環(huán)境下的防病毒解決方案McAfee的解決方案能夠讓用戶繼續(xù)使用現(xiàn)有的McAfeeVisurScanEnterprise保護功能，并針對虛擬化環(huán)境來對其進一步優(yōu)化。McAfeeMOVEAnti-Virus旨在在虛擬化環(huán)境中支持按訪問掃描和更新功能，以及按需全盤掃描功能，顯著降低傳統(tǒng)防病毒部署中常見的對基礎(chǔ)設(shè)施的影響。借助此輕便的終端組件能夠與虛擬化設(shè)備溝通，實現(xiàn)各個虛擬機上的防病毒處理。同時使用McAfeeePO管理控制臺集中制定安全策略分配給每個虛擬機。從MOVE4.6以后McAfee虛擬化環(huán)境下的防病毒分為以下兩個產(chǎn)品：MOVEAVagentless-實現(xiàn)虛擬化環(huán)境下的虛擬機的實時病毒防護，不需要安裝完全的VSE或ENS軟件，僅僅通過輕量的MOVEAVAgent即可。MOVEAV多平臺版本-實現(xiàn)Hypervisor虛擬化環(huán)境下的虛擬機的實時病毒防護，不需要安裝完全的VSE或ENS軟件，僅僅通過輕量的MOVEAVAgent即可。針對服務(wù)器架構(gòu)的虛擬化解決方案許多人問：“為什么要安全服務(wù)器？”“我有一個通過我的網(wǎng)絡(luò)安全產(chǎn)品的周界防御——為什么我需要保護服務(wù)器？然而，我們已經(jīng)看到在Verizon的數(shù)據(jù)泄露報告服務(wù)器仍然存在安全隱患目標(biāo)。同時，APT攻擊通常都會針對服務(wù)器進行跳板攻擊，它提供了令人最為簡單和方便的信息獲取方式和跳板攻擊。而且當(dāng)我們在尋找虛擬服務(wù)器時，管理者并未很好的對虛擬機進行隔離，導(dǎo)致服務(wù)器被攻擊后可訪問多個服務(wù)器實例。此外，增加部署多個虛擬機管理程序在數(shù)據(jù)中心，需要創(chuàng)造了一個需要有強大的保護，在這些不同的環(huán)境，大約有65%的組織正在使用多個虛擬機管理程序。另外，組織正在部署更多需要保護的虛擬機。所以服務(wù)器的架構(gòu)安全需要關(guān)注今天，許多企業(yè)面臨的挑戰(zhàn)是確保虛擬化環(huán)境的日趨復(fù)雜，作為虛擬機管理程序和虛擬機數(shù)量的增長。阻礙通常是缺乏對虛擬化服務(wù)器環(huán)境的理解和/或認(rèn)為通過增加安全性將影響性能和VM密度比。無論服務(wù)器是否虛擬化，數(shù)據(jù)必須受到保護，并且像這樣的服務(wù)器可以訪問公司的皇冠上的珠寶。通過MOVE的架構(gòu)可解決在服務(wù)器架構(gòu)中的安全問題，如下：掃描風(fēng)暴最小化安裝和更新獲得即時保護，對內(nèi)存和處理的影響小，提高VM整合率。Offload的惡意軟件掃描，offload的掃描服務(wù)器自動化部署、自動實現(xiàn)防護集中管理（傳統(tǒng)架構(gòu)與虛擬化架構(gòu)管理）支持主流Hypervisor的虛擬化平臺針對VDI架構(gòu)的虛擬化解決方案為什么虛擬桌面構(gòu)成為企業(yè)主要安全挑戰(zhàn)。我們?nèi)绾螢樘摂M桌面保護提供安全優(yōu)化。我們?nèi)绾翁峁┨摂M桌面可見性、虛擬桌面安全套件中的全面安全保護以及我們?nèi)绾蝺?yōu)化虛擬桌面的惡意軟件保護。即使數(shù)據(jù)沒有保存在用戶的虛擬桌面上，它仍然容易受到與物理設(shè)備等其他的許多問題的攻擊。虛擬桌面仍然可以被惡意軟件感染并被入侵者訪問。用戶仍然可以運行不安全的應(yīng)用程序和訪問不安全的網(wǎng)站。另外，用戶存儲文件的數(shù)據(jù)共享、可移動介質(zhì)如USB和云存儲，所以VDI是需要保護的。所以MCAFEEMOVE是基于策略統(tǒng)一的集中保護，全局檢測和糾正能力，實時防御，通過集中管理成一個自適應(yīng)的反饋回路。那么對于VDI的企業(yè)安全性可在迭代循環(huán)中演化和學(xué)習(xí)，隨著時間的推移而改進。我們將過程和學(xué)習(xí)貫穿于保護、檢測和糾正作為威脅防御生命周期。威脅防御生命周期服務(wù)，幫助組織有效地阻止威脅，確定妥協(xié)，并實施快速補救和對策改進。這也就是我們McAfee所推薦的TDL架構(gòu)；保護-綜合預(yù)防最普遍的攻擊載體和病毒檢測-高級監(jiān)視識別異常、可疑行為，以感知低閾值攻擊和不被注意的行為。正確的攻擊分類和反應(yīng)，利用情報體系優(yōu)化企業(yè)管理適應(yīng)-立即在協(xié)作基礎(chǔ)設(shè)施中應(yīng)用，通過TIE體系實現(xiàn)ENSforSever解決方案優(yōu)化在虛擬化的技術(shù)架構(gòu)上，產(chǎn)品具備一定的局限性和功能限制，所以會有用戶通過ENS這樣的全能防護軟件來對于虛擬化提供防護，但又不想影響虛擬化的性能。所以在這個架構(gòu)里，ENSForServer的版本正是能夠解決用戶的需求；支持ENS部署在虛擬化服務(wù)器和VDI環(huán)境支持按需計劃的掃描功能和計劃更新的功能，避免掃描風(fēng)暴和更新風(fēng)暴支持Windows和Linux(ENS)可與MOVE一樣限制掃描時間和計劃可基于物理機資源分配掃描頻率MOVEAV產(chǎn)品介紹通過虛擬技術(shù)可以在一個Hypervisor上同時運行幾十個虛擬機，大大提高了部署效率。雖然虛擬機能夠在單個虛擬機上運行傳統(tǒng)的防病毒保護，但對基礎(chǔ)設(shè)施性能造成的累積影響非常大，將直接影響到運營回報和支持的虛擬桌面數(shù)量。通過將防病毒掃描進程集中到一個或多個專用虛擬機上，MOVEAV可完全應(yīng)對這些挑戰(zhàn)。確保防病毒進程不會在多個虛擬機中重復(fù)，使企業(yè)能夠從虛擬化基礎(chǔ)設(shè)施中獲得更高的投資回報。要實現(xiàn)MOVEAV對虛擬機的病毒保護，只需要在Hypervisor中安裝一臺專門的病毒掃描服務(wù)器（安裝MOVEAV），然后在所有虛擬機上通過ePO部署MOVEAVagent和策略即可當(dāng)一臺虛擬機訪問可執(zhí)行程序時，會將文件散列值發(fā)送到病毒掃描服務(wù)器進行檢查，病毒掃描服務(wù)器根據(jù)病毒特征和GTI信息判斷此文件是否可信，然后將結(jié)果告知虛擬機上MOVEAVagent來決定是否允許此文件執(zhí)行。當(dāng)另外一臺虛擬機訪問相同的可執(zhí)行程序時，病毒掃描服務(wù)器通過查詢本地的散列值緩存直接將結(jié)果告知虛擬機上MOVEAVagent，迅速判定此執(zhí)行文件是否可信。加快了病毒掃描速度。通過MOVEAV4.6替代原來的VSE的解決方案，可以占用更少的虛擬機資源達到相同的防病毒效果。以上是安裝MOVEAV4.5占用的內(nèi)存資源。McAfeeMOVE虛擬化環(huán)境防病毒的獨特優(yōu)勢支持主流的虛擬化環(huán)境，包括VMWare、Citrix和MicrosoftHyper-V。且對客戶沒有額外的虛擬機軟件成本，例如VMWarevShieldAgent軟件license。可以不在虛擬機上安裝任何防病毒軟件的情況下，通過專用虛擬機實現(xiàn)防病毒功能，在虛擬環(huán)境中支持按需、按訪問病毒掃描和功能更新，能夠顯著降低傳統(tǒng)防病毒部署中常見的對基礎(chǔ)設(shè)施的影響。McAfeeMOVE可借助全球威脅智能感知系統(tǒng)（GTI）提供虛擬桌面的零日防護。所有虛擬機中的MOVE軟件均通過ePO管理控制臺下發(fā)來進行軟件安裝，同時通過ePO配置相關(guān)策略。所有的病毒爆發(fā)事件均會上傳至ePO，實現(xiàn)統(tǒng)一報表和審計。通過集中管理降低了維護成本，節(jié)省了投資。感知Hypervisor負(fù)載，實現(xiàn)虛擬服務(wù)器環(huán)境下的按需掃描自動調(diào)度，為必須持續(xù)運轉(zhuǎn)的服務(wù)器提供有效保護。TIE架構(gòu)整合（DXL）McAfeeThreatIntelligenceExchange集成了多種威脅數(shù)據(jù)源，包括邁克菲全球威脅智能感知系統(tǒng)(McAfeeGTI)、來自VirusTotal的第三方廠商結(jié)果以及針對您的環(huán)境的本地特定信息。共同使用這些信息來準(zhǔn)確確定文件的信譽風(fēng)險分?jǐn)?shù)。MOVE通過整合DXL將來自單一威脅遭遇點的洞察信息傳播至所有終端以即時應(yīng)對威脅，無需提交樣本或等待防病毒簽名更新。以一個閉環(huán)流程實現(xiàn)完全自動化的自適應(yīng)響應(yīng)，或者以交互方式使用它來防范惡意軟件、高風(fēng)險文件或有害應(yīng)用。最終結(jié)果是顯著減少了遏制新出現(xiàn)的威脅和采取補救措施所需的時間。當(dāng)用戶在部署了多平臺的架構(gòu)后，即可將MOVE納入DXL的體系當(dāng)中，即當(dāng)MOVE產(chǎn)生文件的訪問的同事，可通McAfeeThreatIntelligenceExchange根據(jù)全球智能感知數(shù)據(jù)源（如McAfeeGlobalThreatIntelligence(GTI)和第三方數(shù)據(jù)源），以及源自實時和歷史事件數(shù)據(jù)（來自終端、網(wǎng)關(guān)和其他安全組件，如IPS\郵件網(wǎng)關(guān)\MWG）的本地威脅智能感知，輕松定制全面的威脅智能感知，并采取相應(yīng)措施。可以組合、改寫、增加和調(diào)整這些智能源信息，在您自己的環(huán)境中展開操作。同時TIE可實施公司自己的文件和證書，以及分配給企業(yè)和由企業(yè)使用的證書等的黑名單和白名單。您還能夠向McAfeeGlobalThreatIntelligence中提供的證書信譽功能添加自定義首選項。通過整合和維護本地威脅智能感知，McAfeeThreatIntelligenceExchange可反映活動上下文和每個企業(yè)運營環(huán)境中的所有威脅。MOVEAV4.6部署步驟建議在每個Hypervisor上安裝一臺專用防病毒掃描虛擬機，運行VSE8.8軟件，對其它虛擬機中的文件進行病毒掃描。同時在其余虛擬機中安裝MOVEAVAgent即可實現(xiàn)虛擬機環(huán)境下的病毒防御。目前XXXXX每臺宿主機上運行6個以上，10個以下虛擬機。專用防病毒掃描虛擬機必須滿足以下條件：Windows2008R2SP1或者Windows2008SP2(64-bit)操作系統(tǒng)兩個vCPU2GHz以上8GB內(nèi)存300GB硬盤空間1個固定IP地址，沒有特別網(wǎng)段要求此專用防病毒掃描虛擬機需要進行加固，啟用桌面防火墻，僅開放9053端口。MOVEAV支持的虛擬機包括：?WindowsXPSP3?Windows7(32-bitor64-bit)?Windows2003R2SP2(32-bit)?Windows2008R2SP1(64-bit)?Windows2008SP2(32-bitor64-bit)Windows2012(32-bitor64-bit)andlate注意事項：刪除虛擬機上的所有防病毒軟件，包括VSE和WindowsDefender。如果安裝了舊版本的VSE，請通過ePO的客戶端產(chǎn)品部署任務(wù)刪除舊版本VSE。將ePO服務(wù)器升級到5.x，將MOVE策略導(dǎo)出然后倒入到新的ePO服務(wù)器。在臨時ePO服務(wù)器上注冊ePO服務(wù)器選擇“菜單”|“配置”|“已注冊的服務(wù)器”，然后單擊“新建服務(wù)器”。從“描述”頁上的“服務(wù)器類型”菜單中選擇“ePO”，指定一個唯一的名稱及任何注釋，然后單擊“下一步”。指定下列用來配置服務(wù)器的選項：數(shù)據(jù)庫身份驗證方式、數(shù)據(jù)庫名稱、數(shù)據(jù)庫端口、數(shù)據(jù)庫服務(wù)器地址、ePO版本、密碼等信息。將系統(tǒng)傳輸?shù)絜PO服務(wù)器單擊“菜單”|“系統(tǒng)”|“系統(tǒng)樹”，然后選擇要傳輸?shù)南到y(tǒng)。單擊“操作”|“代理”|“傳輸系統(tǒng)”。此時會出現(xiàn)“傳輸系統(tǒng)”對話框。從下拉菜單中選擇所需的服務(wù)器，然后單擊“確定”。在將托管系統(tǒng)標(biāo)記為要進行傳輸之后，必須在代理與服務(wù)器之間發(fā)生兩個通信，才能使該系統(tǒng)顯示在目標(biāo)服務(wù)器的系統(tǒng)樹中。完成代理與服務(wù)器間的這兩個通信所需的時間長度取決于您的配置。代理與服務(wù)器的默認(rèn)通信時間間隔為一小時。安裝MOVEAVServer首先安裝VSE8.8。在Hypervisor中安裝一臺專用病毒掃描服務(wù)器，運行MOVEAVServer安裝程序。選擇“Acceptlicenseagreement”接受許可。輸入合適用戶信息。指定病毒掃描服務(wù)端口，默認(rèn)為9053。啟用GTI功能，選擇GTI保護級別。完成MOVEAVServer安裝，確保服務(wù)正常啟動。導(dǎo)入MOVEAV擴展在ePO服務(wù)器上，選擇“Menu|Software|Extensions”，點擊“InstallExtension”。瀏覽MOVEAV擴展文件目錄，選擇擴展文件，點擊