Arvien vairÄk lietotÄju apvieno visu savu IT infrastruktÅ«ru publiskajÄ mÄkonÄ«. TaÄu, ja klienta infrastruktÅ«rÄ pretvÄ«rusu kontrole ir nepietiekama, rodas nopietni kiberriski. Prakse rÄda, ka lÄ«dz pat 80% esoÅ”o vÄ«rusu lieliski dzÄ«vo virtuÄlajÄ vidÄ. Å ajÄ ierakstÄ mÄs runÄsim par to, kÄ aizsargÄt IT resursus publiskajÄ mÄkonÄ« un kÄpÄc tradicionÄlie antivÄ«rusi nav pilnÄ«bÄ piemÄroti Å”iem mÄrÄ·iem.
SÄkumÄ mÄs jums pastÄstÄ«sim, kÄ mÄs nonÄcÄm pie domas, ka parastie pretvÄ«rusu aizsardzÄ«bas rÄ«ki nav piemÄroti publiskajam mÄkonim un ka ir nepiecieÅ”amas citas pieejas resursu aizsardzÄ«bai.
PirmkÄrt, pakalpojumu sniedzÄji parasti nodroÅ”ina nepiecieÅ”amos pasÄkumus, lai nodroÅ”inÄtu, ka viÅu mÄkoÅa platformas tiek aizsargÄtas augstÄ lÄ«menÄ«. PiemÄram, #CloudMTS mÄs analizÄjam visu tÄ«kla trafiku, uzraugÄm mÅ«su mÄkoÅa droŔības sistÄmu žurnÄlus un regulÄri veicam pentestus. ArÄ« atseviŔķiem klientiem pieŔķirtie mÄkoÅdatoÅ”anas segmenti ir droÅ”i jÄaizsargÄ.
OtrkÄrt, klasiskÄ kiberrisku apkaroÅ”anas iespÄja ietver antivÄ«rusu un pretvÄ«rusu pÄrvaldÄ«bas rÄ«ku instalÄÅ”anu katrÄ virtuÄlajÄ maŔīnÄ. TomÄr ar lielu skaitu virtuÄlo maŔīnu Ŕī prakse var bÅ«t neefektÄ«va un prasa ievÄrojamus skaitļoÅ”anas resursus, tÄdÄjÄdi vÄl vairÄk noslogojot klienta infrastruktÅ«ru un samazinot mÄkoÅa kopÄjo veiktspÄju. Tas ir kļuvis par galveno priekÅ”noteikumu, lai meklÄtu jaunas pieejas efektÄ«vas pretvÄ«rusu aizsardzÄ«bas izveidei klientu virtuÄlajÄm maŔīnÄm.
TurklÄt lielÄkÄ daļa tirgÅ« esoÅ”o antivÄ«rusu risinÄjumu nav pielÄgoti IT resursu aizsardzÄ«bas problÄmu risinÄÅ”anai publiskÄ mÄkoÅa vidÄ. Parasti tie ir smagsvara EPP risinÄjumi (Endpoint Protection Platforms), kas turklÄt nenodroÅ”ina nepiecieÅ”amo pielÄgoÅ”anu mÄkoÅa nodroÅ”inÄtÄja klienta pusÄ.
Kļūst acÄ«mredzams, ka tradicionÄlie pretvÄ«rusu risinÄjumi nav piemÄroti darbam mÄkonÄ«, jo tie nopietni noslogo virtuÄlo infrastruktÅ«ru atjauninÄÅ”anas un skenÄÅ”anas laikÄ, kÄ arÄ« tiem nav nepiecieÅ”amÄ lÄ«meÅa pÄrvaldÄ«bas un iestatÄ«jumu. TÄlÄk mÄs detalizÄti analizÄsim, kÄpÄc mÄkonim ir vajadzÄ«gas jaunas pieejas pretvÄ«rusu aizsardzÄ«bai.
Ko vajadzÄtu spÄt antivÄ«rusam publiskÄ mÄkonÄ«
TÄtad, pievÄrsÄ«sim uzmanÄ«bu darba specifikai virtuÄlajÄ vidÄ:
AtjauninÄjumu un plÄnoto masu skenÄÅ”anas efektivitÄte. Ja ievÄrojams skaits virtuÄlo maŔīnu, kas izmanto tradicionÄlo antivÄ«rusu, vienlaikus sÄk atjauninÄjumu, mÄkonÄ« notiks tÄ sauktÄ atjauninÄjumu āvÄtraā. ESXi resursdatora, kurÄ tiek mitinÄtas vairÄkas virtuÄlÄs maŔīnas, jauda var nebÅ«t pietiekama, lai apstrÄdÄtu lÄ«dzÄ«gu uzdevumu aizsprostojumu, kas darbojas pÄc noklusÄjuma. No mÄkoÅpakalpojumu sniedzÄja viedokļa Å”Äda problÄma var novest pie papildu slodzes vairÄkiem ESXi saimniekiem, kas galu galÄ novedÄ«s pie mÄkoÅa virtuÄlÄs infrastruktÅ«ras veiktspÄjas krituma. Tas, cita starpÄ, var ietekmÄt citu mÄkoÅa klientu virtuÄlo maŔīnu veiktspÄju. LÄ«dzÄ«ga situÄcija var rasties, uzsÄkot masveida skenÄÅ”anu: vienlaicÄ«ga daudzu lÄ«dzÄ«gu dažÄdu lietotÄju pieprasÄ«jumu apstrÄde disku sistÄmÄ negatÄ«vi ietekmÄs visa mÄkoÅa veiktspÄju. Ar lielu varbÅ«tÄ«bas pakÄpi uzglabÄÅ”anas sistÄmas veiktspÄjas samazinÄÅ”anÄs ietekmÄs visus klientus. Å Ädas pÄkÅ”Åas slodzes neiepriecina ne pakalpojumu sniedzÄju, ne viÅa klientus, jo tÄs ietekmÄ mÄkonÄ« esoÅ”os ākaimiÅusā. No Ŕī viedokļa tradicionÄlais antivÄ«russ var radÄ«t lielas problÄmas.
DroÅ”a karantÄ«na. Ja sistÄmÄ tiek atklÄts ar vÄ«rusu potenciÄli inficÄts fails vai dokuments, tas tiek nosÅ«tÄ«ts uz karantÄ«nu. Protams, inficÄto failu var dzÄst nekavÄjoties, taÄu tas bieži vien nav pieÅemams lielÄkajai daļai uzÅÄmumu. KorporatÄ«vo uzÅÄmumu antivÄ«rusiem, kas nav pielÄgoti darbam pakalpojumu sniedzÄja mÄkonÄ«, parasti ir kopÄ«ga karantÄ«nas zona - tajÄ ietilpst visi inficÄtie objekti. PiemÄram, tie, kas atrodami uzÅÄmumu lietotÄju datoros. MÄkoÅpakalpojuma sniedzÄja klienti ādzÄ«voā savos segmentos (vai nomnieki). Å ie segmenti ir necaurredzami un izolÄti: klienti nezina viens par otru un, protams, neredz, ko citi mitina mÄkonÄ«. AcÄ«mredzot vispÄrÄjÄ karantÄ«nÄ, kurai mÄkonÄ« varÄs piekļūt visi antivÄ«rusu lietotÄji, potenciÄli varÄtu bÅ«t ietverts dokuments, kurÄ ir konfidenciÄla informÄcija vai komercnoslÄpums. Tas ir nepieÅemami pakalpojumu sniedzÄjam un tÄ klientiem. LÄ«dz ar to risinÄjums var bÅ«t tikai viens - personÄ«gÄ karantÄ«na katram klientam savÄ segmentÄ, kur nav piekļuves ne pakalpojumu sniedzÄjam, ne citiem klientiem.
IndividuÄlÄs droŔības politikas. Katrs klients mÄkonÄ« ir atseviŔķs uzÅÄmums, kura IT nodaļa nosaka savas droŔības politikas. PiemÄram, administratori nosaka skenÄÅ”anas noteikumus un ieplÄno pretvÄ«rusu skenÄÅ”anu. AttiecÄ«gi katrai organizÄcijai ir jÄbÅ«t savam vadÄ«bas centram, lai konfigurÄtu pretvÄ«rusu politikas. TajÄ paÅ”Ä laikÄ norÄdÄ«tajiem iestatÄ«jumiem nevajadzÄtu ietekmÄt citus mÄkoÅa klientus, un pakalpojumu sniedzÄjam ir jÄspÄj pÄrbaudÄ«t, vai, piemÄram, pretvÄ«rusu atjauninÄjumi tiek veikti kÄ parasti visÄm klientu virtuÄlajÄm maŔīnÄm.
NorÄÄ·inu un licencÄÅ”anas organizÄÅ”ana. MÄkoÅa modelim ir raksturÄ«ga elastÄ«ba, un tas paredz maksÄt tikai par klienta izmantoto IT resursu apjomu. Ja ir nepiecieÅ”amÄ«ba, piemÄram, sezonalitÄtes dÄļ, tad resursu apjomu var Ätri palielinÄt vai samazinÄt ā tas viss balstÄs uz Ŕī brīža vajadzÄ«bÄm pÄc skaitļoÅ”anas jaudas. TradicionÄlais antivÄ«russ nav tik elastÄ«gs - parasti klients iegÄdÄjas licenci uz gadu iepriekÅ” noteiktam serveru vai darbstaciju skaitam. MÄkoÅu lietotÄji regulÄri atvieno un pievieno papildu virtuÄlÄs maŔīnas atkarÄ«bÄ no paÅ”reizÄjÄm vajadzÄ«bÄm ā attiecÄ«gi antivÄ«rusu licencÄm jÄatbalsta viens un tas pats modelis.
Otrs jautÄjums ir par to, ko tieÅ”i licence attieksies. TradicionÄlais antivÄ«russ ir licencÄts pÄc serveru vai darbstaciju skaita. Licences, kuru pamatÄ ir aizsargÄto virtuÄlo maŔīnu skaits, nav pilnÄ«bÄ piemÄrotas mÄkoÅa modelÄ«. Klients no pieejamajiem resursiem var izveidot jebkuru sev Ärtu virtuÄlo maŔīnu skaitu, piemÄram, piecas vai desmit maŔīnas. Å is skaitlis lielÄkajai daļai klientu nav nemainÄ«gs, mums kÄ pakalpojumu sniedzÄjam nav iespÄjams izsekot tÄ izmaiÅÄm. Nav tehniskas iespÄjas licencÄt pÄc CPU: klienti saÅem virtuÄlos procesorus (vCPU), kas jÄizmanto licencÄÅ”anai. TÄdÄjÄdi jaunajÄ pretvÄ«rusu aizsardzÄ«bas modelÄ« bÅ«tu jÄiekļauj iespÄja klientam noteikt nepiecieÅ”amo vCPU skaitu, par kuriem viÅÅ” saÅems pretvÄ«rusu licences.
AtbilstÄ«ba likumdoÅ”anai. SvarÄ«gs moments, jo izmantotajiem risinÄjumiem ir jÄnodroÅ”ina atbilstÄ«ba regulatora prasÄ«bÄm. PiemÄram, mÄkoÅa ārezidentiā bieži strÄdÄ ar personas datiem. Å ajÄ gadÄ«jumÄ nodroÅ”inÄtÄjam ir jÄbÅ«t atseviŔķam sertificÄtam mÄkoÅu segmentam, kas pilnÄ«bÄ atbilst Fizisko personu datu likuma prasÄ«bÄm. Tad uzÅÄmumiem nav patstÄvÄ«gi ājÄveidoā visa sistÄma darbam ar personas datiem: jÄiegÄdÄjas sertificÄts aprÄ«kojums, jÄpievieno un jÄkonfigurÄ, kÄ arÄ« jÄveic sertifikÄcija. Å Ädu klientu ISPD kiberaizsardzÄ«bai antivÄ«rusam ir jÄatbilst arÄ« Krievijas tiesÄ«bu aktu prasÄ«bÄm un tam ir jÄbÅ«t FSTEC sertifikÄtam.
ApskatÄ«jÄm obligÄtos kritÄrijus, kuriem jÄatbilst pretvÄ«rusu aizsardzÄ«bai publiskajÄ mÄkonÄ«. TÄlÄk mÄs dalÄ«simies savÄ pieredzÄ par antivÄ«rusu risinÄjuma pielÄgoÅ”anu darbam pakalpojumu sniedzÄja mÄkonÄ«.
KÄ jÅ«s varat sadraudzÄties starp antivÄ«rusu un mÄkoni?
KÄ liecina mÅ«su pieredze, risinÄjuma izvÄle pÄc apraksta un dokumentÄcijas ir viena lieta, taÄu tÄ ievieÅ”ana praksÄ jau strÄdÄjoÅ”Ä mÄkoÅa vidÄ sarežģītÄ«bas ziÅÄ ir pavisam cits uzdevums. PastÄstÄ«sim, ko darÄ«jÄm praksÄ un kÄ pielÄgojÄm antivÄ«rusu darbam nodroÅ”inÄtÄja publiskajÄ mÄkonÄ«. PretvÄ«rusu risinÄjuma pÄrdevÄjs bija Kaspersky, kura portfelÄ« ietilpst pretvÄ«rusu aizsardzÄ«bas risinÄjumi mÄkoÅa vidÄm. MÄs izvÄlÄjÄmies āKaspersky Security for Virtualizationā (Light Agent).
TajÄ ir viena Kaspersky Security Center konsole. VieglÄs aÄ£entu un droŔības virtuÄlÄs maŔīnas (SVM, Security Virtual Machine) un KSC integrÄcijas serveris.
PÄc Kaspersky risinÄjuma arhitektÅ«ras izpÄtÄ«Å”anas un pirmo testu veikÅ”anas kopÄ ar pÄrdevÄja inženieriem radÄs jautÄjums par pakalpojuma integrÄÅ”anu mÄkonÄ«. PirmÄ ievieÅ”ana tika veikta kopÄ«gi Maskavas mÄkoÅu vietnÄ. Un to mÄs sapratÄm.
Lai samazinÄtu tÄ«kla trafiku, tika nolemts ievietot SVM katrÄ ESXi resursdatorÄ un āsaistÄ«tā SVM ar ESXi resursdatoriem. Å ajÄ gadÄ«jumÄ aizsargÄto virtuÄlo maŔīnu vieglie aÄ£enti piekļūst tieÅ”i tÄ ESXi resursdatora SVM, kurÄ tie darbojas. Galvenajam KSC tika izvÄlÄts atseviŔķs administratÄ«vais nomnieks. RezultÄtÄ padotÄ«bas KSC atrodas katra individuÄlÄ klienta nomniekos un uzrunÄ augstÄkstÄvoÅ”o KSC, kas atrodas vadÄ«bas segmentÄ. Å Ä« shÄma ļauj Ätri atrisinÄt problÄmas, kas rodas klientu Ä«rniekiem.
Papildus problÄmÄm, kas saistÄ«tas ar paÅ”a pretvÄ«rusu risinÄjuma komponentu paaugstinÄÅ”anu, mÄs saskÄrÄmies ar uzdevumu organizÄt tÄ«kla mijiedarbÄ«bu, izveidojot papildu VxLAN. Un, lai gan risinÄjums sÄkotnÄji bija paredzÄts korporatÄ«vajiem klientiem ar privÄtiem mÄkoÅiem, ar NSX Edge inženierzinÄtÅu un tehnoloÄ£iskÄs elastÄ«bas palÄ«dzÄ«bu mÄs spÄjÄm atrisinÄt visas problÄmas, kas saistÄ«tas ar Ä«rnieku noŔķirÅ”anu un licencÄÅ”anu.
MÄs cieÅ”i sadarbojÄmies ar Kaspersky inženieriem. TÄdÄjÄdi, analizÄjot risinÄjuma arhitektÅ«ru attiecÄ«bÄ uz tÄ«kla mijiedarbÄ«bu starp sistÄmas komponentiem, tika konstatÄts, ka papildus vieglo aÄ£entu piekļuvei SVM ir nepiecieÅ”ama arÄ« atgriezeniskÄ saite - no SVM uz vieglajiem aÄ£entiem. Å Ä« tÄ«kla savienojamÄ«ba nav iespÄjama vairÄku nomnieku vidÄ, jo dažÄdos mÄkoÅa nomniekos virtuÄlajÄm maŔīnÄm var bÅ«t identiski tÄ«kla iestatÄ«jumi. TÄpÄc pÄc mÅ«su pieprasÄ«juma pÄrdevÄja kolÄÄ£i pÄrstrÄdÄja tÄ«kla mijiedarbÄ«bas mehÄnismu starp vieglo aÄ£entu un SVM, lai novÄrstu vajadzÄ«bu pÄc tÄ«kla savienojuma no SVM lÄ«dz vieglajiem aÄ£entiem.
PÄc tam, kad risinÄjums tika izvietots un pÄrbaudÄ«ts Maskavas mÄkoÅa vietnÄ, mÄs to atkÄrtojÄm citÄs vietnÄs, tostarp sertificÄtajÄ mÄkoÅu segmentÄ. Tagad pakalpojums ir pieejams visos valsts reÄ£ionos.
InformÄcijas droŔības risinÄjuma arhitektÅ«ra jaunas pieejas ietvaros
PretvÄ«rusu risinÄjuma vispÄrÄjÄ darbÄ«bas shÄma publiskÄ mÄkoÅa vidÄ ir Å”Äda:
AntivÄ«rusu risinÄjuma darbÄ«bas shÄma publiskÄ mÄkoÅa vidÄ #CloudMTS
AprakstÄ«sim atseviŔķu risinÄjuma elementu darbÄ«bas iezÄ«mes mÄkonÄ«:
ā¢ Viena konsole, kas ļauj klientiem centralizÄti pÄrvaldÄ«t aizsardzÄ«bas sistÄmu: palaist skenÄÅ”anu, kontrolÄt atjauninÄjumus un uzraudzÄ«t karantÄ«nas zonas. SegmentÄ ir iespÄjams konfigurÄt atseviŔķas droŔības politikas.
JÄpiebilst, ka, lai arÄ« esam pakalpojumu sniedzÄjs, mÄs neiejaucamies klientu iestatÄ«tajos uzstÄdÄ«jumos. VienÄ«gais, ko varam darÄ«t, ir atiestatÄ«t droŔības politikas uz standarta, ja ir nepiecieÅ”ama pÄrkonfigurÄcija. PiemÄram, tas var bÅ«t nepiecieÅ”ams, ja klients tos nejauÅ”i pievilka vai ievÄrojami vÄjinÄja. UzÅÄmums vienmÄr var saÅemt vadÄ«bas centru ar noklusÄjuma politikÄm, kuras pÄc tam var konfigurÄt neatkarÄ«gi. Kaspersky Security Center trÅ«kums ir tÄds, ka platforma paÅ”laik ir pieejama tikai Microsoft operÄtÄjsistÄmai. Lai gan vieglie aÄ£enti var strÄdÄt gan ar Windows, gan ar Linux iekÄrtÄm. TomÄr Kaspersky Lab sola, ka tuvÄkajÄ nÄkotnÄ KSC strÄdÄs ar Linux OS. Viena no svarÄ«gÄm KSC funkcijÄm ir spÄja pÄrvaldÄ«t karantÄ«nu. Katram klienta uzÅÄmumam mÅ«su mÄkonÄ« ir personisks uzÅÄmums. Å Äda pieeja novÄrÅ” situÄcijas, kad ar vÄ«rusu inficÄts dokuments nejauÅ”i kļūst publiski redzams, kÄ tas varÄtu notikt klasiskÄ korporatÄ«vÄ antivÄ«rusa gadÄ«jumÄ ar vispÄrÄju karantÄ«nu.
ā¢ Vieglie lÄ«dzekļi. JaunÄ modeļa ietvaros katrÄ virtuÄlajÄ maŔīnÄ ir instalÄts viegls Kaspersky Security aÄ£ents. Tas novÄrÅ” nepiecieÅ”amÄ«bu glabÄt pretvÄ«rusu datubÄzi katrÄ virtuÄlajÄ maŔīnÄ, kas samazina vajadzÄ«gÄs diska vietas daudzumu. Pakalpojums ir integrÄts mÄkoÅa infrastruktÅ«rÄ un darbojas, izmantojot SVM, kas palielina ESXi resursdatora virtuÄlo maŔīnu blÄ«vumu un visas mÄkoÅsistÄmas veiktspÄju. Gaismas aÄ£ents izveido uzdevumu rindu katrai virtuÄlajai maŔīnai: pÄrbaudiet failu sistÄmu, atmiÅu utt. Bet SVM ir atbildÄ«gs par Å”o darbÄ«bu veikÅ”anu, par kurÄm mÄs runÄsim vÄlÄk. AÄ£ents darbojas arÄ« kÄ ugunsmÅ«ris, kontrolÄ droŔības politikas, nosÅ«ta inficÄtos failus uz karantÄ«nu un uzrauga vispÄrÄjo operÄtÄjsistÄmas āveselÄ«buā, kurÄ tas ir instalÄts. To visu var pÄrvaldÄ«t, izmantojot jau minÄto vienoto konsoli.
ā¢ DroŔības virtuÄlÄ maŔīna. Visus resursietilpÄ«gos uzdevumus (pretvÄ«rusu datu bÄzes atjauninÄjumus, plÄnotos skenÄÅ”anu) veic atseviŔķa droŔības virtuÄlÄ maŔīna (SVM). ViÅa ir atbildÄ«ga par pilnvÄrtÄ«ga pretvÄ«rusu dzinÄja un tam paredzÄto datu bÄzu darbÄ«bu. UzÅÄmuma IT infrastruktÅ«ra var ietvert vairÄkus SVM. Å Äda pieeja palielina sistÄmas uzticamÄ«bu ā ja viena iekÄrta sabojÄjas un nereaÄ£Ä trÄ«sdesmit sekundes, aÄ£enti automÄtiski sÄk meklÄt citu.
ā¢ KSC integrÄcijas serveris. Viena no galvenÄ KSC sastÄvdaļÄm, kas pieŔķir savus SVM vieglajiem aÄ£entiem saskaÅÄ ar iestatÄ«jumos norÄdÄ«to algoritmu, kÄ arÄ« kontrolÄ SVM pieejamÄ«bu. TÄdÄjÄdi Å”is programmatÅ«ras modulis nodroÅ”ina slodzes lÄ«dzsvaroÅ”anu visos mÄkoÅa infrastruktÅ«ras SVM.
Algoritms darbam mÄkonÄ«: infrastruktÅ«ras slodzes samazinÄÅ”ana
KopumÄ pretvÄ«rusu algoritmu var attÄlot Å”Ädi. AÄ£ents piekļūst failam virtuÄlajÄ maŔīnÄ un pÄrbauda to. PÄrbaudes rezultÄts tiek glabÄts kopÄjÄ centralizÄtÄ SVM spriedumu datubÄzÄ (saukta par koplietoto keÅ”atmiÅu), kurÄ katrs ieraksts identificÄ unikÄlu faila paraugu. Å Ä« pieeja ļauj nodroÅ”inÄt, ka viens un tas pats fails netiek skenÄts vairÄkas reizes pÄc kÄrtas (piemÄram, ja tas tika atvÄrts dažÄdÄs virtuÄlajÄs maŔīnÄs). Fails tiek atkÄrtoti skenÄts tikai tad, ja tajÄ ir veiktas izmaiÅas vai skenÄÅ”ana ir sÄkta manuÄli.
PretvÄ«rusu risinÄjuma ievieÅ”ana nodroÅ”inÄtÄja mÄkonÄ«
AttÄlÄ parÄdÄ«ta vispÄrÄ«ga risinÄjuma ievieÅ”anas shÄma mÄkonÄ«. Galvenais Kaspersky droŔības centrs tiek izvietots mÄkoÅa vadÄ«bas zonÄ, un katrÄ ESXi resursdatorÄ tiek izvietots atseviŔķs SVM, izmantojot KSC integrÄcijas serveri (katram ESXi resursdatoram ir pievienots savs SVM ar Ä«paÅ”iem iestatÄ«jumiem VMware vCenter Server). Klienti strÄdÄ savos mÄkoÅu segmentos, kur atrodas virtuÄlÄs maŔīnas ar aÄ£entiem. Tie tiek pÄrvaldÄ«ti, izmantojot atseviŔķus KSC serverus, kas ir pakļauti galvenajam KSC. Ja nepiecieÅ”ams aizsargÄt nelielu skaitu virtuÄlo maŔīnu (lÄ«dz 5), klientam var tikt nodroÅ”inÄta piekļuve speciÄla speciÄla KSC servera virtuÄlajai konsolei. TÄ«kla mijiedarbÄ«ba starp klientu KSC un galveno KSC, kÄ arÄ« vieglajiem aÄ£entiem un SVM tiek veikta, izmantojot NAT, izmantojot EdgeGW klienta virtuÄlos marÅ”rutÄtÄjus.
SaskaÅÄ ar mÅ«su aplÄsÄm un pÄrdevÄja kolÄÄ£u pÄrbaužu rezultÄtiem Light Agent samazina klientu virtuÄlÄs infrastruktÅ«ras slodzi par aptuveni 25% (salÄ«dzinot ar sistÄmu, kurÄ tiek izmantota tradicionÄlÄ pretvÄ«rusu programmatÅ«ra). Jo Ä«paÅ”i standarta Kaspersky Endpoint Security (KES) antivÄ«russ fiziskai videi patÄrÄ gandrÄ«z divreiz vairÄk servera CPU laika (2,95%) nekÄ viegls, uz aÄ£entiem balstÄ«ts virtualizÄcijas risinÄjums (1,67%).
CPU slodzes salÄ«dzinÄÅ”anas diagramma
LÄ«dzÄ«ga situÄcija vÄrojama ar diska rakstÄ«Å”anas piekļuves biežumu: klasiskajam antivÄ«rusam tas ir 1011 IOPS, mÄkoÅa antivÄ«rusam tas ir 671 IOPS.
Diska piekļuves Ätruma salÄ«dzinÄÅ”anas grafiks
VeiktspÄjas ieguvums ļauj uzturÄt infrastruktÅ«ras stabilitÄti un efektÄ«vÄk izmantot skaitļoÅ”anas jaudu. PielÄgojoties darbam publiskÄ mÄkoÅa vidÄ, risinÄjums nemazina mÄkoÅa veiktspÄju: tas centralizÄti pÄrbauda failus un lejupielÄdÄ atjauninÄjumus, sadalot slodzi. Tas nozÄ«mÄ, ka, no vienas puses, netiks palaisti garÄm mÄkoÅa infrastruktÅ«rai aktuÄlie draudi, no otras puses, resursu prasÄ«bas virtuÄlajÄm maŔīnÄm tiks samazinÄtas vidÄji par 25%, salÄ«dzinot ar tradicionÄlo antivÄ«rusu.
FunkcionalitÄtes ziÅÄ abi risinÄjumi ir ļoti lÄ«dzÄ«gi viens otram: zemÄk ir salÄ«dzinÄÅ”anas tabula. TomÄr mÄkonÄ«, kÄ liecina iepriekÅ” minÄtie testa rezultÄti, joprojÄm ir optimÄli izmantot risinÄjumu virtuÄlajÄm vidÄm.
Par tarifiem jaunÄs pieejas ietvaros. MÄs nolÄmÄm izmantot modeli, kas ļauj iegÅ«t licences, pamatojoties uz vCPU skaitu. Tas nozÄ«mÄ, ka licenÄu skaits bÅ«s vienÄds ar vCPU skaitu. JÅ«s varat pÄrbaudÄ«t savu pretvÄ«rusu, atstÄjot pieprasÄ«jumu
NÄkamajÄ rakstÄ par mÄkoÅu tÄmÄm mÄs runÄsim par mÄkoÅa WAF evolÅ«ciju un to, ko labÄk izvÄlÄties: aparatÅ«ru, programmatÅ«ru vai mÄkonis.
Tekstu sagatavoja mÄkoÅpakalpojuma sniedzÄja #CloudMTS darbinieki: Deniss Mjagkovs, vadoÅ”ais arhitekts un Aleksejs Afanasjevs, informÄcijas droŔības produktu attÄ«stÄ«bas vadÄ«tÄjs.
Avots: www.habr.com