Prakticky od prvních dnů existence antivirového průmyslu využívala ochrana proti malware koncepčně stále stejný model. Na každé klientské stanici a serveru, které je třeba chránit, je nainstalovaný antivirový klient. Tento speciální program je spuštěný v paměti, vyhledává hrozby a pravidelně aktualizuje definice a své vlastní jádro tak, aby měl větší šanci odhalit nová rizika.

Uvedený způsob ochrany není v zásadě špatný, ale pochází z doby, kdy byl každý systém samostatným hardwarovým zařízením. Od okamžiku, kdy jsme začali využívat virtualizaci a konsolidovat systémy, se situace zásadně změnila – tradiční pojetí antivirů může být podstatnou překážkou na cestě za optimálním výkonem a škálovatelností. A co teprve bezpečnostní komplikace způsobené zjednodušením manipulace s virtuálními stroji? Pojďme se proto na celou problematiku podívat blíže, abychom lépe pochopili, proč nás to trápí a co s tím můžeme dělat.

Výkon a škálovatelnost

Typickým negativním důsledkem použití tradičního antivirového softwaru ve virtuálních prostředích je přetěžování a snížení hustoty. Příčina je prostá – běžný antivirový klient potřebuje pro svůj běh určité množství operační paměti, mnohdy i více než 500 MB. A to na všech systémech, kde je klient nainstalovaný. Chceme-li například tyto nároky pokrýt pro 20 virtuálních hostů na jednom hostitelském systému, musíme celkovou operační paměť navýšit o cca 10 GB. Nebo snížit počet systémů. Nasazení tradičního bezpečnostního software tak obvykle vede k tomu, že při konsolidaci nedosáhneme optimální hustoty.

Komplikaci představují i tzv. skenovací „smrště“, které nejsou ničím jiným, než projevem přetížení zdrojů hostitelského systému v důsledku současného běhu antivirové kontroly na mnoha virtuálních strojích. Každý z těchto strojů se přitom chová prakticky stejně. Provádí vícenásobné vstupně/výstupní operace a nárokuje si výkon procesoru. Není pak divu, že se zhoršuje propustnost dat i celková odezva systému. Tento typ přetížení dokáže negativně ovlivnit i rychlé úložné sítě SAN či lokální pole.

Obdobou skenovacích smrští jsou tzv. aktualizační smrště. K těm dochází v důsledku přetížení vstupně/výstupních subsystémů a sítí v důsledku nároků na zdroje při aktualizacích tradičního bezpečnostního softwaru. A opět je hlavní příčinou souběh v načasování aktualizačních požadavků.

Antiviry jsou často nastavené tak, aby kontrolovaly dostupnost nových aktualizací při každém startu operačního systému. K aktualizačním bouřím tak velmi často dochází na začátku pracovního dne. Stačí si uvědomit, že v podstatě ve stejnou dobu může svůj virtuální stroj spustit i mnoho tisíc uživatelů. Obdobný dopad má samozřejmě i restart celého hostitelského systému.

Správa ochrany v dynamickém prostředí

Problémy s aktualizacemi jsou způsobené i zastaráváním hlavních obrazů, součástí prvního spuštění nových virtuálních strojů je pak stažení a nainstalování velkého počtu aktualizací. Virtuální infrastruktura klientských počítačů je k bezpečnostním rizikům spojeným s velkým počtem nezbytných aktualizací po startu systému velmi náchylná. A důvod je prostý: v mnoha případech jsou ve firemních prostředích pro každé přihlášení spouštěny nové virtuální stroje. A jak jinak, než z neustále zastarávajícího a neaktualizovaného obrazu. V lepším případě budou všichni uživatelé čekat, než se aktualizace stáhnou a nainstalují. V tom horším budou v mezidobí vystaveni hrozbám, zejména těm novějším.

V neposlední řadě nemůžeme zapomenout na neustálé vytváření, mazání, spouštění a zastavování virtuálních strojů. V důsledku velkého množství změn a krátké životnosti jednotlivých strojů můžeme rychle ztratit přehled o tom, které systémy jsou vlastně chráněny a jak. Taková ztráta kontroly vede nejen ke zvýšení nároků na IT oddělení, ale například také k obtížnějšímu prosazování bezpečnostních politik a předpisů.

Dva přístupy k řešení

Oba možné přístupy k zajištění ochrany proti počítačovým hrozbám se ve své podstatě liší nejen možnostmi ochrany, ale také místem, kde jsou kontrolní prvky spuštěné. V případě přístupu, který nevyžaduje instalaci softwaru na hostovaném systému, je kontrola i ochrana zajišťována centrálně na úrovni hostitelského systému. Ve druhém případě ochranu zajišťují přímo tradiční bezpečnostní programy optimalizované pro virtuální prostředí, a to pro každý hostovaný systém samostatně. Výkonnost obou přístupů se navíc liší nejen v důsledku fundamentálních rozdílů, ale také z důvodu odlišností v řešení jednotlivých dodavatelů.

Bez agentů…

Agentless ochranu zpopularizovala společnost VMware, a to pomocí své technologie vShield Endpoint, která je součástí nejnovějších verzí rodiny produktů pro virtualizaci serverů vSphere. Tato technologie umožňuje na každý virtuální stroj nainstalovat specializovaný ovladač (známý také jako tenký agent), který zajišťuje komunikaci mezi virtuálním strojem a bezpečnostním virtuálním strojem (SVM, secure virtual machine) nainstalovaným na hostitelském systému. Veškerá antivirová kontrola poté probíhá v bezpečnostním virtuálním stroji, a jednotlivé systémy tak mají k dispozici dostatek zdrojů pro své klíčové úlohy.

Mezi hlavní výhody patří:

• není nutná instalace bezpečnostního klienta na každý virtuální stroj, což vede k úspoře času a snížení rizika nezajištění ochrany na některých systémech,
• odpadá redundantní provoz a aktualizace bezpečnostních klientů, což umožňuje efektivnější využití zdrojů hostitelského systému, aktuálnost bezpečnostních mechanismů a eliminaci aktualizačních smrští,
• kontrola probíhá v bezpečnostním virtuálním stroji koordinovaně a zohledňuje limity pro maximální počet kontrolovaných souborů a systémů, takže nehrozí přetížení hostů ani hostitele,
• efektivní kešování na straně hostů, což snižuje čas potřebný pro kontrolu a zabránění prodlevám.

Nicméně s tímto přístupem souvisí i některé nevýhody, například:

• ovladač vShield Endpoint je dostupný pouze pro Windows,
• proprietární technologie vShield Endpoint je dostupná pouze v produktech VMware, a nepodporuje tedy další hypervisory,
• kontrola se týká pouze souborů, nikoli třeba filtrace webů,
• při zjištění infekce může být pro vyléčení nutný další nástroj nebo ruční zásah,
• je zde omezená možnost informovat uživatele o podstatě zjištěného problému, ten obvykle získá jen informaci ve stylu „přístup zamítnut“,
• nelze prosazovat individuální bezpečnostní politiky, ale jen pravidla společná pro všechny hosty na konkrétním hostiteli.

Optimalizovaný klient

Optimalizovaného tradičního klienta je možné použít všude tam, kde nevýhody agentless přístupu převažují. Mezi možnosti a výhody tohoto řešení patří:

• rozložení kontroly i aktualizací v čase,
• sdílení paměti v hypervisoru VMware ESXi, a tedy i mnohem nižší nároky na operační paměť za situace, kdy ve více virtuálních strojích běží stejní bezpečnostní klienti,
• zařazení bezpečnostního klienta do hlavního obrazu bez vytváření duplicitních obrazů,
• minimalizace velikosti definičních souborů a aktualizací,
• možnost prosazení bezpečnostních politik na hostovi,
• vytváření skupin virtuálních strojů, jejich odstínění od fyzických zařízení a podpora rozdílných úrovní kontroly,
• širší možnosti ochrany včetně filtrace webů a prevence průniku v hostitelských prostředích (HIPS),
• podpora široké škály operačních systémů a hypervisorů.

Samozřejmě i u optimalizovaných klientů existuje řada omezení, včetně pravděpodobnějšího přetížení, neaktuálnosti zabezpečení ve velmi dynamických prostředích s mnoha novými či dočasnými virtuálními stroji a obtížnější správy v rozsáhlých virtuálních prostředích.

Jednoduchá odpověď na otázku, který přístup je výhodnější, neexistuje. Vždy záleží na konkrétních požadavcích. Tak tomu je ale ostatně vždy, jak v IT světě, tak i běžném každodenním životě. Důležité je, že máme na výběr.

Maxim Weinstein Autor článku je Senior Product Marketing Manager ve společnosti Sophos.