Виртуализация предлагает массу преимуществ, и возможность ускорить все процессы — не последнее из их числа. В последние годы стало ясно, что виртуальные ПК (особенно под управлением Windows), нуждаются в защите от киберугроз в той же степени, что и физические; машины могут быть виртуальными, но они используются для реальной работы с важными данными, утеря которых может иметь самые что ни на есть реальные последствия.
Иногда на виртуальные машины устанавливают те же самые антивирусные решения, которые используются на «нормальных», т.е. физических машинах. Иногда это даже версии для домашних персональных компьютеров. Подобный подход может дорого встать, особенно когда в инфраструктуре много дублирующихся (или хотя бы похожих по содержанию) виртуальных ПК на одном и том же хосте, то есть на одном физическом сервере.
Поскольку антивирусные решения также дублируются, то же самое происходит с их антивирусными базами; и если все они активны в одно и то же время, сервер испытывает такие перегрузки, что его производительность резко падает. И это убивает саму идею виртуализации: есть ли смысл говорить о быстром, динамичном перераспределении ресурсов внутри инфраструктуры, если там всё еле ползает?
В одном из предыдущих постов мы уже говорили о «шквальных обновлениях» или «шквальном сканировании, когда все защитные решения, установленные на виртуальных машинах, начинают скачивать и устанавливать свои обновления или сканировать виртуальные диски. Все разом. Сервер пыхтит от натуги. Работники уходят курить — нормально работать в ближайшее время не получится.
Сходная история наблюдается, когда одновременно запускается весь парк виртуальных машин. Или когда, как это бывает в крупных компаниях, виртуальные машины циклически активируются или дезактивируются, по мере надобности. В этом случае оказывается практически невозможным поддерживать их антивирусную защиту на актуальном уровне. ВМ, которые долгое время были неактивны, могут настолько «отставать», что начинающиеся при запуске обновления занимают совсем уж неприличное количество времени.
Помимо этого, такие виртуальные машины сами по себе становятся уязвимым местом в общей безопасности: на то, чтобы их обновить, нужно время, и этот временной промежуток оказывается «окном возможностей» для вредоносного ПО, кибератак и прочих неприятностей. Другими словами, когда виртуальные машины выводятся из «спящего» состояния (или когда создаются новые, лишённые каких-либо средств защиты по умолчанию), они уязвимы — точнее, не защищены абсолютно. Это называется Instant On Gap (уязвимость виртуальной машины при активации). В зависимости от того, сколько пользователей одновременно скачивают обновления для их виртуальных машин и сколько времени назад производилось предыдущее обновление, «окно уязвимости» может растягиваться на минуты, а то и на часы. В то же самое время нагрузка на сервер, опять-таки, подскакивает как ужаленная. В итоге теряется смысл в виртуализации как таковой.
Естественно, есть способ подобного избежать. Существуют решения, предназначенные для использования в виртуальных средах, которые обеспечивают защитой все виртуальные машины на данном хосте. Kaspersky Security для виртуальных сред — как раз такая разработка. Основной идеей при её создании было снижение расходов ресурсов, так что динамические изменения внутри виртуальной инфраструктуры происходили действительно в динамичном темпе, а не еле-еле. Это обеспечивается за счёт централизации защиты.
В зависимости от платформы (VMware, Windows Hyper-V или Citrix Xen), существуют безагентные версии KSV или так называемый «лёгкий агент», когда на каждую виртуальную машину устанавливается крошечная программа, действующая так же, как и полноценное клиентское ПО защитного решения, но только без создания дикой нагрузки на сервер.
«Ядром» же является виртуальное устройство, установленное на хосте, которое и осуществляет все операции, требующие сколько-нибудь значимых вычислительных мощностей. В свою очередь, каждая виртуальная машина, и уже существовавшая ранее, и созданная только что, оказывается защищена с самого момента её запуска: «Лёгкий Агент» достаточно мал, чтобы установка его осуществлялась моментально, и «окно уязвимости» оставалось закрытым.
KSV использует единую, централизованную базу данных на все угрозы, так что ненужного дублирования данных не происходит; вдобавок используется технология Shared Cache, которая обеспечивает однократное сканирование любого файла, который оказывается открыт в виртуальной среде на любой из машин. Если такой файл признан безопасным, данные об этом распределяются между всеми лёгкими агентами в системе, и до тех пор, пока файл не изменится или пользователь не затребует сканирования вручную, повторной проверки не будет.
Технические подробности о Kaspersky Security для виртуальных сред доступны здесь.