Citrix虛拟化資料中心反病毒最佳實踐

虛拟化巨頭Citrix最近在Citrix技術專區的“技術論文”部分發表了一篇深思熟慮的文章，标題為“端點安全和防病毒最佳實踐”，概述了與安全廠商合作以購買正确的反惡意軟體工具來保護虛拟機，應用程式和桌面的逐點入門知識。Citrix專注于四個具有挑戰性的領域。

一、代理注冊

二、簽名更新

三、性能優化

四、防病毒排除

該部落格介紹了Bitdefender完全遵循Citrix最佳實踐準則的情況，涵蓋了GravityZone虛拟化安全，該功能可為下一代基礎架構提供安全性，包括軟體定義的資料中心，超融合基礎架構和混合雲。

1.保護非持久性工作負載

“虛拟資料中心和VDI桌面上的反病毒是否與固定和持久VM端點上的反病毒 不同？”

保護非持久性工作負載（例如快速出現的VDI桌面）帶來了許多挑。在這些短暫的工作負載中，通常會通過在安全工具安裝過程中生成的GUID來唯一辨別計算機，并且占用license，而機器銷毀 後仍然會在控制台中留下記錄。

企業軟體需要集中管理，以進行實時粒度部署操作，安全政策配置和事件報告。GravityZone 專為虛拟化而生。它作為虛拟裝置傳遞，與基礎架構管理工具內建，并利用虛拟化基礎架構進行無縫操作，因為虛拟化基礎架構是實時監控的。GravityZone 虛拟化安全 與基礎架構即服務（IaaS）管理工具（包括vCenter Server，Citrix Hypervisor，Nutanix Prism，AWS和Azure）內建在一起，進而可以實時複制庫存，并全面了解環境變化。每當從清單中建立，移動或删除虛拟機時，Bitdefender GravityZone 虛拟化安全 都會立即更新，自動清理銷毀的虛拟機，自動回收授權。

2.舊版防病毒軟體的性能

“當我們的舊版反病毒軟體開始掃描時，基礎架構将非常卡”

虛拟化資料中心中的舊版防病毒解決方案面臨着長期的挑戰，AV簽名更新會大大降低性能，進而降低資料中心的效率并使使用者沮喪。未優化的安全解決方案使用分散式更新，通常使用大型簽名檔案，這些簽名檔案必須定期下載下傳和更新（有時每小時一次）并進行連續掃描。在非持久性環境中，這可能導緻安全挑戰（機會視窗）和大量網絡流量（啟動時重置簽名）。

GravityZone 虛拟化安全掃描解除安裝解決了這些問題。安全虛拟裝置（SVA）處理所有更新，以便每個VDI用戶端需要較少的更新。将大量的CPU，記憶體和磁盤活動占用空間轉移到SVA，以便虛拟資料中心環境實作更高的VM到主機密度和出色的VDI性能。

如何正确建構Windows虛拟桌面（VDI）體驗備忘單

3.轉向“ 無代理防護”

“無代理防護能否解決我所有的虛拟資料中心性能和密度問題？”

不久之前，安全管理者（和安全供應商）對“無代理”安全性寄予了希望，以解決其虛拟資料中心的性能問題，其中性能和密度是主要問題。但是實際上，所有無代理的VM都依賴于一個安全裝置，并且未知的檔案會在每個VM和安全伺服器之間完全傳輸，進而導緻更高的延遲和更慢的性能。如下表所示，無代理防護和輕代理防護各有特色。

無代理防護 輕代理防護

每個主機需要1個 SVA 可跨主機，每200個VM需要1個SVA

通過平台驅動程式導向到安全伺服器掃描 由Bitdefender驅動程式處理導向到安全伺服器掃描

完整檔案傳輸到SVA進行分析 僅将檔案特殊部分傳輸到SVA

無法實作高可用性 内置高可用和負載均衡

Bitdefender支援VMware，Citrix， KVM無代理防護，Bitdefender輕代理防護支援市場上所有的虛拟化平台。

4.大規模部署的安全性優化

“我将擴大現有的AV解決方案，以适應虛拟資料中心部署的快速增長。”

在大型部署中，安全性優化仍然是一項持續的挑戰。傳統的安全代理不适用于單一鏡像管理，并且缺乏集中式掃描和智能共享功能會降低效率。

Bitdefender通過兩層緩存技術克服了這些規模問題。GravityZone 虛拟化安全緩存同時在VM和SVA上進行。緩存還具有兩個組成部分：預訓練的緩存和自學習緩存。通過這種高效的設計，即使檔案出現在多個VM上，SVA也僅檢查一次，進而避免了備援掃描，進而大大減少了資料中心或任何定義的VM群集中的CPU，RAM，IO和網絡負載。