Citrix虚拟化数据中心反病毒最佳实践

虚拟化巨头Citrix最近在Citrix技术专区的“技术论文”部分发表了一篇深思熟虑的文章，标题为“端点安全和防病毒最佳实践”，概述了与安全厂商合作以购买正确的反恶意软件工具来保护虚拟机，应用程序和桌面的逐点入门知识。Citrix专注于四个具有挑战性的领域。

一、代理注册

二、签名更新

三、性能优化

四、防病毒排除

该博客介绍了Bitdefender完全遵循Citrix最佳实践准则的情况，涵盖了GravityZone虚拟化安全，该功能可为下一代基础架构提供安全性，包括软件定义的数据中心，超融合基础架构和混合云。

1.保护非持久性工作负载

“虚拟数据中心和VDI桌面上的反病毒是否与固定和持久VM端点上的反病毒 不同？”

保护非持久性工作负载（例如快速出现的VDI桌面）带来了许多挑。在这些短暂的工作负载中，通常会通过在安全工具安装过程中生成的GUID来唯一标识计算机，并且占用license，而机器销毁 后仍然会在控制台中留下记录。

企业软件需要集中管理，以进行实时粒度部署操作，安全策略配置和事件报告。GravityZone 专为虚拟化而生。它作为虚拟设备交付，与基础架构管理工具集成，并利用虚拟化基础架构进行无缝操作，因为虚拟化基础架构是实时监控的。GravityZone 虚拟化安全 与基础架构即服务（IaaS）管理工具（包括vCenter Server，Citrix Hypervisor，Nutanix Prism，AWS和Azure）集成在一起，从而可以实时复制库存，并全面了解环境变化。每当从清单中创建，移动或删除虚拟机时，Bitdefender GravityZone 虚拟化安全 都会立即更新，自动清理销毁的虚拟机，自动回收授权。

2.旧版防病毒软件的性能

“当我们的旧版反病毒软件开始扫描时，基础架构将非常卡”

虚拟化数据中心中的旧版防病毒解决方案面临着长期的挑战，AV签名更新会大大降低性能，从而降低数据中心的效率并使用户沮丧。未优化的安全解决方案使用分散式更新，通常使用大型签名文件，这些签名文件必须定期下载和更新（有时每小时一次）并进行连续扫描。在非持久性环境中，这可能导致安全挑战（机会窗口）和大量网络流量（启动时重置签名）。

GravityZone 虚拟化安全扫描卸载解决了这些问题。安全虚拟设备（SVA）处理所有更新，以便每个VDI客户端需要较少的更新。将大量的CPU，内存和磁盘活动占用空间转移到SVA，以便虚拟数据中心环境实现更高的VM到主机密度和出色的VDI性能。

如何正确构建Windows虚拟桌面（VDI）体验备忘单

3.转向“ 无代理防护”

“无代理防护能否解决我所有的虚拟数据中心性能和密度问题？”

不久之前，安全管理员（和安全供应商）对“无代理”安全性寄予了希望，以解决其虚拟数据中心的性能问题，其中性能和密度是主要问题。但是实际上，所有无代理的VM都依赖于一个安全设备，并且未知的文件会在每个VM和安全服务器之间完全传输，从而导致更高的延迟和更慢的性能。如下表所示，无代理防护和轻代理防护各有特色。

无代理防护 轻代理防护

每个主机需要1个 SVA 可跨主机，每200个VM需要1个SVA

通过平台驱动程序导向到安全服务器扫描 由Bitdefender驱动程序处理导向到安全服务器扫描

完整文件传输到SVA进行分析 仅将文件特殊部分传输到SVA

无法实现高可用性 内置高可用和负载均衡

Bitdefender支持VMware，Citrix， KVM无代理防护，Bitdefender轻代理防护支持市场上所有的虚拟化平台。

4.大规模部署的安全性优化

“我将扩大现有的AV解决方案，以适应虚拟数据中心部署的快速增长。”

在大型部署中，安全性优化仍然是一项持续的挑战。传统的安全代理不适用于单一镜像管理，并且缺乏集中式扫描和智能共享功能会降低效率。

Bitdefender通过两层缓存技术克服了这些规模问题。GravityZone 虚拟化安全缓存同时在VM和SVA上进行。缓存还具有两个组成部分：预训练的缓存和自学习缓存。通过这种高效的设计，即使文件出现在多个VM上，SVA也仅检查一次，从而避免了冗余扫描，从而大大减少了数据中心或任何定义的VM群集中的CPU，RAM，IO和网络负载。