Zêdetir û bêtir bikarhêner tevahiya binesaziya IT-ya xwe tînin ber ewrê giştî. Lêbelê, heke kontrola antî-vîrus di binesaziya xerîdar de têrê neke, xetereyên cidî yên sîber derdikevin. Pratîk destnîşan dike ku heya 80% ji vîrusên heyî bi rengek bêkêmasî di hawîrdorek virtual de dijîn. Di vê postê de em ê biaxivin ka meriv çawa çavkaniyên IT-ê di ewra gelemperî de biparêze û çima antivirusên kevneşopî ji bo van armancan bi tevahî ne maqûl in.
Destpêkê, em ê ji we re vebêjin ka em çawa gihîştin vê ramanê ku amûrên parastina dijî-vîrusê yên adetî ji bo ewrê gelemperî ne maqûl in û ku nêzîkatiyên din ên parastina çavkaniyan hewce ne.
Pêşîn, pêşkêşker bi gelemperî tedbîrên pêwîst peyda dikin da ku pê ewle bibin ku platformên wan ên ewr di astek bilind de têne parastin. Mînakî, li #CloudMTS em hemî seyrûsefera torê analîz dikin, têketinên pergalên ewlehiyê yên ewrê xwe dişopînin, û bi rêkûpêk pentestan pêk tînin. Divê beşên cloudê yên ku ji xerîdarên kesane re têne veqetandin jî bi ewlehî bêne parastin.
Ya duyemîn, vebijarka klasîk a ji bo şerkirina xetereyên sîber tê de sazkirina antîvîrus û amûrên rêveberiya antivirus li ser her makîneya virtual heye. Lêbelê, digel hejmareke mezin ji makîneyên virtual, ev pratîk dikare bêbandor be û hewceyê hejmarek girîng çavkaniyên hesabkirinê bike, bi vî rengî binesaziya xerîdar bêtir bar dike û performansa giştî ya ewr kêm dike. Ev bûye şertek bingehîn ji bo lêgerîna nêzîkatiyên nû ji bo avakirina parastina antî-vîrusê ya bi bandor ji bo makîneyên virtual xerîdar.
Wekî din, piraniya çareseriyên antivirus ên li sûkê ji bo çareserkirina pirsgirêkên parastina çavkaniyên IT-ê di hawîrdorek ewr a gelemperî de nayên adapte kirin. Wekî qaîdeyek, ew çareseriyên EPP-ê yên giran in (Platformên Parastinê yên Endpoint), yên ku, ji bilî vê, li ser milê xerîdar ê peydakerê cloudê xwerûkirina pêwîst peyda nakin.
Eşkere dibe ku çareseriyên antivirus ên kevneşopî ji bo xebata di ewr de ne maqûl in, ji ber ku ew bi ciddî binesaziya virtual di dema nûvekirin û şopandinê de bar dikin, û di heman demê de xwedan astên pêwîst ên rêveberî û mîhengên-bingeha rolê ne. Dûv re, em ê bi hûrgulî analîz bikin ka çima ewr ji bo parastina dijî-vîrusê hewceyê nêzîkatiyên nû ye.
Divê antivirusek di ewrek gelemperî de çi bike
Ji ber vê yekê, em bala xwe bidin taybetmendiyên xebata li hawîrdorek virtual:
Karbidestiya nûvekirin û lêgerînên girseyî yên plansazkirî. Ger hejmareke girîng ji makîneyên virtual ku antîvîrûsek kevneşopî bikar tînin di heman demê de nûvekirinek bidin destpêkirin, bi navê "bahoz" nûvekirinê dê di ewr de çêbibe. Hêza mêvandarek ESXi ya ku çend makîneyên virtual mêvandar dike dibe ku ne bes be ku karibe barkêşiya karên wekhev ên ku ji hêla xwerû ve têne xebitandin bigire. Ji nihêrîna dabînkerê ewr, pirsgirêkek wusa dikare bibe sedema barkirinên zêde li ser hejmarek mêvandarên ESXi, ku dê di dawiyê de bibe sedema kêmbûna performansa binesaziya virtual ewr. Ev dibe ku, di nav tiştên din de, bandorê li performansa makîneyên virtual yên xerîdarên din ên ewr bike. Dibe ku rewşek bi vî rengî dema destpêkirina şanek girseyî çêbibe: pêvajoyek hevdemî ji hêla pergala dîskê ve gelek daxwazên wekhev ên ji bikarhênerên cihêreng dê bandorek neyînî li performansa tevahiya ewr bike. Bi îhtîmalek mezin, kêmbûna performansa pergala hilanînê dê bandorê li hemî xerîdaran bike. Barkirinên weha yên nişkê ne ji pêşkêşvan û ne jî xerîdarên wî xweş nakin, ji ber ku ew bandorê li "ciranên" di ewr de dikin. Ji vî alî ve, antivirus kevneşopî dikare pirsgirêkek mezin derxe holê.
Karantîna ewle. Ger pel an belgeyek ku potansiyel bi vîrusê vegirtî li ser pergalê were tesbît kirin, ew ji bo karantînayê tê şandin. Bê guman, pelek vegirtî dikare tavilê were jêbirin, lê ev pir caran ji bo pir pargîdaniyan nayê pejirandin. Antîvîrûsên pargîdaniya pargîdanî yên ku ji bo xebitandina di ewrê pêşkêşker de ne adapteyî ne, bi gelemperî, xwedan herêmek karantînek hevpar e - hemî tiştên vegirtî dikevin nav wê. Mînakî, yên ku li ser komputerên bikarhênerên pargîdaniyê têne dîtin. Xerîdarên pêşkêşvanê ewr di beşên xwe de (an kirêdar) "dijîn". Van beşan nezelal û veqetandî ne: xerîdar li ser hev nizanin û, bê guman, nabînin ka yên din li ewr çi mêvandar dikin. Eşkere ye, karantînek giştî, ku dê ji hêla hemî bikarhênerên antivirus ên di ewr de were gihîştin, dibe ku bi potansiyel belgeyek ku agahdariya nepenî an razek bazirganî vedihewîne vehewîne. Ev ji bo pêşkêşker û xerîdarên wê nayê qebûlkirin. Ji ber vê yekê, tenê dikare çareseriyek hebe - karantînek kesane ji bo her xerîdar di beşa wî de, ku ne pêşkêşker û ne jî xerîdarên din bigihîjin.
Polîtîkayên ewlekariya takekesî. Her xerîdar di ewr de pargîdaniyek cûda ye, ku beşa IT-ya wê polîtîkayên xwe yên ewlehiyê destnîşan dike. Mînakî, rêvebir qaîdeyên şopandinê diyar dikin û şaneyên dijî-vîrûsê destnîşan dikin. Li gorî vê yekê, her rêxistin pêdivî ye ku navenda xweya kontrolê hebe ku polîtîkayên antivirus mîheng bike. Di heman demê de, pêdivî ye ku mîhengên diyarkirî bandorê li ser xerîdarên din ên ewr neke, û pêdivî ye ku pêşkêşker bikaribe verast bike ku, mînakî, nûvekirinên antivirus ji bo hemî makîneyên virtual yên xerîdar wekî normal têne kirin.
Rêxistina billing û lîsansê. Modela ewr ji hêla nermbûnê ve tête taybetmend kirin û tenê ji bo mîqdara çavkaniyên IT-ê yên ku ji hêla xerîdar ve hatine bikar anîn drav dide. Ger hewcedariyek hebe, mînakî, ji ber demsalîbûnê, wê hingê mîqdara çavkaniyan zû dikare were zêdekirin an kêm kirin - hemî li gorî hewcedariyên heyî yên ji bo hêza hesabkirinê. Antîvîrûsên kevneşopî ne ew qas maqûl e - wekî qaîdeyek, xerîdar ji bo hejmarek pêşbirkirî server an qereqolên xebatê salek destûrnameyek bikire. Bikarhênerên Cloud bi rêkûpêk li gorî hewcedariyên wan ên heyî makîneyên virtual yên din qut dikin û girêdidin - li gorî vê yekê, lîsansên antivirus divê heman modelê piştgirî bikin.
Pirsa duyemîn ev e ku bi rastî lîsans dê çi bigire. Antîvîrûsên kevneşopî ji hêla hejmarek pêşkêşker an qereqolên xebatê ve têne destûr kirin. Lîsansên ku li ser bingeha hejmara makîneyên virtual parastî ne bi tevahî di nav modela ewr de ne maqûl in. Xerîdar dikare ji çavkaniyên berdest her hejmarek makîneyên virtual ji bo wî rehet biafirîne, mînakî, pênc an deh makîneyan. Ev hejmar ji bo pir xerîdaran ne domdar e; ne mimkûn e ku em, wekî pêşkêşker, guheztinên wê bişopînin. Îmkanek teknîkî ya lîsansa CPU-yê tune: xerîdar pêvajoyên virtual (vCPU) distînin, ku divê ji bo lîsansê werin bikar anîn. Bi vî rengî, modela nû ya parastina dijî-vîrusê divê şiyana xerîdar hebe ku jimara hewce ya vCPU-yên ku ji bo wan lîsansên antî-vîrusê werdigire destnîşan bike.
Lihevhatina bi qanûnê. Xalek girîng e, ji ber ku çareseriyên ku têne bikar anîn divê pêbaweriya bi hewcedariyên rêgezê re misoger bikin. Mînakî, "niştecîhên" ewr bi gelemperî bi daneyên kesane re dixebitin. Di vê rewşê de, pêdivî ye ku pêşkêşker xwedan beşek ewr a pejirandî ya cihê be ku bi tevahî daxwazên Qanûna Daneyên Kesane tevbigere. Dûv re pargîdan ne hewce ne ku ji bo xebata bi daneyên kesane re tevahî pergala serbixwe "ava bikin": Amûrên pejirandî bikirin, wê girêdin û mîheng bikin, û bi sertîfîkayê derbas bibin. Ji bo parastina sîber ya ISPD ya xerîdarên weha, divê antivirus jî bi daxwazên qanûnên rûsî re tevbigere û xwedan belgeyek FSTEC be.
Me li pîvanên mecbûrî nihêrî ku divê parastina antivirus di ewra giştî de bicîh bîne. Dûv re, em ê ezmûna xwe ya di adaptekirina çareseriyek antivirus de ku di ewrê pêşkêşker de bixebitin parve bikin.
Meriv çawa di navbera antivirus û ewr de hevaltiyê bike?
Wekî ku ezmûna me destnîşan kiriye, hilbijartina çareseriyek li ser bingeha ravekirin û belgekirinê yek tişt e, lê pêkanîna wê di pratîkê de li hawîrdorek ewr a ku jixwe dixebitin di warê tevliheviyê de karek bi tevahî cûda ye. Em ê ji we re vebêjin ka me di pratîkê de çi kir û me çawa antivirus adapte kir ku di ewrê giştî ya pêşkêşker de bixebite. Firoşkarê çareseriya dijî-vîrûsê Kaspersky bû, ku portfoliyoya wê çareseriyên parastina dijî-vîrusê ji bo hawîrdorên ewr vedihewîne. Em li ser "Ewlekariya Kaspersky ji bo Virtualization" (Agent Ronahî) rûniştin.
Ew yek konsolek Navenda Ewlekariya Kaspersky vedigire. Nûnerê Ronahî û makîneyên virtual yên ewlehiyê (SVM, Ewlekariya Virtual Machine) û servera entegrasyona KSC.
Piştî ku me mîmariya çareseriya Kaspersky lêkolîn kir û ceribandinên yekem bi endezyarên firoşkar re pêk anîn, pirs li ser yekkirina karûbarê di ewr de derket. Pêkanîna yekem bi hev re li malpera cloudê ya Moskowê hate kirin. Û ev tiştê ku me fêm kir.
Ji bo kêmkirina seyrûsefera torê, biryar hate girtin ku li ser her mêvandarê ESXi SVM were danîn û SVM bi mêvandarên ESXi re "girê bide". Di vê rewşê de, ajanên sivik ên makîneyên virtual yên parastî digihîjin SVM-ya mêvandarê tam ESXi ku ew lê dimeşînin. Ji bo KSC ya sereke kirêdarek îdarî hate hilbijartin. Wekî encamek, KSC-yên bindest di kirêdarên her xerîdarek kesane de cih digirin û navnîşana KSC-ya bilind a ku di beşa rêveberiyê de ye. Ev nexşe dihêle hûn zû pirsgirêkên ku di kirêdarên xerîdar de derdikevin çareser bikin.
Digel pirsgirêkên bilindkirina pêkhateyên çareseriya antî-vîrus bixwe, em bi peywira organîzekirina danûstendina torê re bi afirandina VxLAN-ên zêde re rû bi rû man. Û her çend çareserî bi eslê xwe ji bo xerîdarên pargîdanî yên bi ewrên taybet ve hatî armanc kirin, bi alîkariya hişmendiya endezyariyê û nermbûna teknolojiyê ya NSX Edge me karîbû hemî pirsgirêkên ku bi veqetandina kirêdaran û lîsansê ve girêdayî ne çareser bikin.
Me ji nêz ve bi endezyarên Kaspersky re xebitî. Bi vî rengî, di pêvajoya analîzkirina mîmariya çareseriyê de di warê danûstendina torê ya di navbera pêkhateyên pergalê de, hate dîtin ku, ji bilî gihîştina ji ajanên ronahiyê ji SVM-ê re, bertek jî hewce ye - ji SVM heya ajanên sivik. Ev pêwendiya torê di hawîrdorek pir-kirêdar de ne gengaz e ji ber îhtîmala mîhengên torê yên wekhev ên makîneyên virtual di kirêdarên ewr ên cihêreng de. Ji ber vê yekê, li ser daxwaza me, hevkarên ji firoşkarê mekanîzmaya danûstendina torê ya di navbera ronahiyê û SVM de ji nû ve xebitandin di warê rakirina hewcedariya girêdana torê ya ji SVM-ê ji ajanên ronahiyê re.
Piştî ku çareserî li ser malpera cloudê ya Moskowê hate bicîh kirin û ceribandin, me ew li malperên din, tevî beşa ewrê pejirandî, dubare kir. Xizmet niha li hemû herêmên welêt heye.
Mîmariya çareseriya ewlehiya agahdariyê di çarçoveya nêzîkatiyek nû de
Plana giştî ya xebatê ya çareseriya antivirus di hawîrdora cloudê ya gelemperî de wiha ye:
Plana xebitandina çareseriyek antivirus di hawîrdorek cloudê ya gelemperî de #CloudMTS
Ka em taybetmendiyên xebata hêmanên takekesî yên çareseriyê di ewr de diyar bikin:
• Konsolek yekane ya ku destûrê dide xerîdar ku pergala parastinê bi merkezî îdare bikin: îskanan bimeşînin, nûvekirinan kontrol bikin û qadên karantînayê bişopînin. Mimkun e ku hûn di beşa xwe de polîtîkayên ewlehiyê yên kesane mîheng bikin.
Divê were zanîn ku her çend em dabînkerek karûbar in jî, em mudaxeleyî mîhengên ku ji hêla xerîdaran ve hatine danîn nakin. Tiştê ku em dikarin bikin ev e ku ger ji nû ve veavakirinê hewce be, polîtîkayên ewlehiyê li yên standard vegerînin. Mînakî, heke xerîdar bi xeletî wan hişk kiribe an bi girîngî wan qels bike, dibe ku ev hewce be. Pargîdanek her gav dikare navendek kontrolê bi polîtîkayên xwerû werbigire, ku wê hingê dikare serbixwe mîheng bike. Kêmasiya Navenda Ewlekariya Kaspersky ev e ku platform niha tenê ji bo pergala xebitandina Microsoft-ê heye. Her çend ajanên sivik dikarin hem bi makîneyên Windows û hem jî Linux re bixebitin. Lêbelê, Kaspersky Lab soz dide ku di demek nêzîk de KSC dê di bin OS Linux de bixebite. Yek ji fonksiyonên girîng ên KSC-ê şiyana birêvebirina karantînayê ye. Her pargîdaniyek xerîdar di ewrê me de kesek kesane heye. Ev nêzîkatî rewşên ku belgeyek bi vîrusê vegirtî bi xeletî ji raya giştî re xuya dibe, ji holê radike, wekî ku di bûyera antîvîrûsek pargîdaniya klasîk a bi karantînek gelemperî de çêbibe.
• ajanên ronahî. Wekî beşek ji modela nû, karmendek Ewlekariya Kaspersky ya sivik li ser her makîneya virtual tê saz kirin. Ev hewcedariya hilanîna databasa antî-vîrusê li ser her VM-ê ji holê radike, ku ev mîqdara cîhê dîskê ku tê vexwarin kêm dike. Karûbar bi binesaziya ewr re yekbûyî ye û bi navgîniya SVM-ê re dixebite, ku tîrbûna makîneyên virtual li ser mêvandarê ESXi û performansa tevahiya pergala ewr zêde dike. Nûnerê ronahiyê ji bo her makîneya virtual rêzek peywiran ava dike: pergala pelan, bîranîn, hwd kontrol bikin. Lê SVM ji pêkanîna van operasyonan berpirsiyar e, ku em ê paşê li ser biaxivin. Ajan di heman demê de wekî dîwarê agir tevdigere, polîtîkayên ewlehiyê kontrol dike, pelên enfeksiyonê dişîne karantînayê û çavdêriya giştî ya "tenduristî" ya pergala xebitandinê ya ku ew lê hatiye saz kirin. Hemî ev dikare bi karanîna konsolê yekane ya ku berê hatî destnîşan kirin were rêvebirin.
• Ewlekariya Virtual Machine. Hemî peywirên çavkanî-dijwar (nûvekirinên databasa antî-vîrûsê, skînerên plansazkirî) ji hêla Makîneyek Ewlekariya Virtualê (SVM) ve têne rêve kirin. Ew ji xebata motorek antî-vîrusê ya bêkêmasî û databasên wê berpirsiyar e. Binesaziya IT a pargîdaniyek dibe ku çend SVM-ê bigire. Ev nêzîkatî pêbaweriya pergalê zêde dike - heke yek makîneyek têk bibe û ji bo sî çirkeyan bersiv nede, ajan bixweber dest bi lêgerîna yekî din dikin.
• KSC server entegrasyonê. Yek ji hêmanên KSC-ya sereke, ku SVM-yên xwe li gorî algorîtmaya ku di mîhengên xwe de hatî destnîşan kirin, ji nûnerên ronahiyê re destnîşan dike, û di heman demê de hebûna SVM-ê jî kontrol dike. Bi vî rengî, ev modula nermalavê li hemî SVM-yên binesaziya ewr hevsengiya barkirinê peyda dike.
Algorîtmaya xebata di ewr de: kêmkirina barkirina binesaziyê
Bi gelemperî, algorîtmaya antivirus dikare wekî jêrîn were temsîl kirin. Agent xwe digihîne pelê li ser makîneya virtual û wê kontrol dike. Encama verastkirinê di databasek biryara SVM-ya navendî ya hevpar (ku jê re Shared Cache tê gotin) tête hilanîn, her navnîşek ku tê de nimûneyek pelê yekta nas dike. Ev nêzîkatî dihêle hûn pê ewle bibin ku heman pelê li pey hev çend caran neyê şûştin (mînakî, heke ew li ser makîneyên cûda yên virtual hate vekirin). Pelê tenê ji nû ve tê pelçiqandin heke guheztin li wê hatibin kirin an jî bi destan vekolîn hatibe destpêkirin.
Pêkanîna çareseriyek antivirus di ewrê pêşkêşker de
Wêne nexşeyek gelemperî ya pêkanîna çareseriyê di ewr de nîşan dide. Navenda Ewlekariya Kaspersky ya sereke li devera kontrolê ya ewr tê bicîh kirin, û SVMyek ferdî li ser her mêvandarê ESXi bi karanîna servera entegrasyona KSC ve tê bicîh kirin (her mêvandarê ESXi SVM-ya xwe ya bi mîhengên taybetî yên li ser VMware vCenter Server ve girêdayî ye). Xerîdar di beşên xwe yên ewr de, ku makîneyên virtual yên bi nûneran re lê ne, dixebitin. Ew bi navgîniya pêşkêşkerên KSC yên ku di bin KSC-ya sereke de ne têne rêve kirin. Ger hewce be ku hejmarek piçûk makîneyên virtual (heta 5) were parastin, ji xerîdar dikare bigihîje konsolê virtual ya serverek taybetî ya KSC ya taybetî. Têkiliya torê ya di navbera KSC-yên xerîdar û KSC-ya sereke, û her weha ajanên sivik û SVM-an de, bi karanîna NAT-ê bi navgîniya rêwerzên virtual yên xerîdar EdgeGW ve têne kirin.
Li gorî texmînên me û encamên ceribandinên hevkarên li firoşkarê, Light Agent barê li ser binesaziya virtual ya xerîdar bi qasî% 25 kêm dike (gava ku bi pergalek ku nermalava kevneşopî ya dijî-virus bikar tîne re tê berhev kirin). Bi taybetî, antivirus standard Kaspersky Endpoint Security (KES) ji bo hawîrdorên laşî hema hema du caran wextê CPU-ya serverê (2,95%) ji çareseriyek virtual-based agent-a sivik (1,67%) vedixwe.
Tabloya berhevdana barkirina CPU
Rewşek wusa bi frekansa gihîştina nivîsandina dîskê re tê dîtin: ji bo antivirusek klasîk ew 1011 IOPS e, ji bo antivirusek cloud ew 671 IOPS e.
Grafika berhevdana rêjeya gihîştina dîskê
Feydeya performansê dihêle hûn aramiya binesaziyê biparêzin û hêza hesabkirinê bi bandortir bikar bînin. Bi adaptekirina xebatê di hawîrdora ewr a gelemperî de, çareserî performansa ewr kêm nake: ew pelan bi navendî kontrol dike û nûvekirinan dakêşîne, barkirinê belav dike. Ev tê vê wateyê ku, ji aliyekî ve, xetereyên têkildarî binesaziya cloudê dê ji bîr nebin, ji hêla din ve, hewcedariyên çavkaniyê ji bo makîneyên virtual dê li gorî antîvirusek kevneşopî bi navînî% 25 kêm bibin.
Di warê fonksiyonê de, her du çareserî pir dişibin hev: li jêr tabloyek berhevdanê heye. Lêbelê, di ewr de, wekî ku encamên testê li jor destnîşan dikin, hîn jî çêtirîn e ku meriv çareseriyek ji bo hawîrdorên virtual bikar bîne.
Der barê tarîfan de di çarçoveya nêzîkatiya nû de. Me biryar da ku em modelek bikar bînin ku destûrê dide me ku em li ser bingeha hejmara vCPU lîsansan bistînin. Ev tê wê wateyê ku dê hejmara lîsansan bi hejmara vCPU re wekhev be. Hûn dikarin bi hiştina daxwazek antîvîrûsa xwe ceribandin .
Di gotara din de li ser mijarên ewr, em ê li ser pêşkeftina WAF-ên cloud-ê bipeyivin û çi çêtir e ku meriv hilbijêrin: hardware, nermalavê an ewr.
Nivîs ji hêla xebatkarên pêşkêşvanê ewr #CloudMTS ve hatî amadekirin: Denis Myagkov, mîmarê pêşeng û Alexey Afanasyev, rêveberê pêşkeftina hilberê ewlehiya agahdariyan.
Source: www.habr.com