Como proteger máquinas virtuais em sua infraestrutura?

Os antivírus sem agentes são um conceito importante para proteger máquinas virtuais, isso porque, fora os procedimentos de segurança na instalação de máquinas virtuais, a segurança se torna completa com esses softwares. Mas as tecnologias estão em constante avanço, e conforme a virtualização se desenvolve e novos usos são encontrados, surgem demandas específicas em termos de proteção.

A abordagem sem agentes dos antivírus surgiu devido aos problemas na abordagem com agentes, que englobam o uso de recursos do sistema de cada uma das máquinas virtuais protegidas, o lançamento simultâneo de tarefas (como exemplo, escaneamentos agendados) em várias máquinas, tornando mais lento e em alguns casos até quebrando o servidor físico e a repetição de ações uma atrás da outra através de diferentes máquinas virtuais (como a tarefa de atualizar a base de dados anti-malware).

Abordagem sem agentes

Essa nova abordagem, sem agentes, trata de ter uma máquina virtual dedicada com o antivírus instalado nela. A máquina faz o escaneamento de malware no resto da infraestrutura virtual se conectando ao resto das máquinas virtuais usando tecnologia nativa VMware vShield. O vShield também interage com o gerenciamento de sistema antivírus então reconhece as configurações e políticas aplicadas, quando ligar e desligar a proteção, como otimizar e daí em diante.

Mas as desvantagens da abordagem sem agentes para proteger máquinas virtuais também existem, entre elas, a interface vShield que permite apenas escaneamento de arquivos, a perda de tecnologias de proteção progressiva (controle de aplicações, observador de sistemas, lista de permissões, heurísticas, controle de dispositivos e controle web), a ausência de quarentena para arquivos suspeitos, e não haver acesso à memória ou processos de computação. E como o vShield não foi desenhado para ser uma interface completa, surge outra maneira de abordar a segurança.

proteger máquinas virtuais

Agente pequeno (light agent)

O agente pequeno (ou leve) é instalado em cada uma das máquinas virtuais protegidas. Ele substitui o vShield e conecta a máquina virtual ao antivírus residente na Aplicação de Segurança Virtual.

São removidas as limitações da interface VMware ao adicionar o arsenal completo de tecnologias defensivas. Ao mesmo tempo em que se mantém as vantagens da abordagem sem agentes há um apetite moderado para recursos, gerenciamento e estabilidade contra gargalos causados por atualizações simultâneas na base de dados do anti-vírus ou escaneamento de malware através de muitas máquinas.

Mas o que acontece quando se precisa proteger dados nas máquinas virtuais que não são Windows e tomar vantagem do leque de tecnologias de proteção, inclusive criptografia.

proteger máquinas virtuais

Segurança por ponto de acesso

proteger máquinas virtuais

Embora possa ser problemática a instalação de uma infraestrutura virtual, e a manutenção e acompanhamento de tal solução consumam mais recursos humanos, às vezes essa é a abordagem mais apropriada.

O KSV 3.0 da Kaspersky por exemplo, agora dá suporte à Citrix XenServer e Microsoft Hyper-V, também, em adição à solução sem agentes da VMware, há a solução sem agentes para todas as três plataformas. Além disso, todos os produtos são controlados de um único console, o que é importante para ambientes multi-hypervisor.

Por fim, como escolher qual das três abordagens acima é a mais indicada para o cenário da sua organização? Como isso se encaixa para proteger máquinas virtuais?

proteger máquinas virtuais

Escolha da solução

Para se obter o máximo desempenho ao proteger máquinas virtuais com alta performance em um Windows é necessário um agente pequeno, em outros sistemas operacionais, Linux e OS X, um produto para os dispositivos de acesso é melhor, entretanto, a aplicação é sempre limitada por considerações de produtividade e interação do antivírus com os recursos próprios do ambiente virtual.

A tabela abaixo apresenta algumas tarefas de aplicação típicas que podem se aproximar do seu caso:

Papel Acesso Externo Valor dos Dados Valor do Serviço Condições Externas Solução
Fundo da base (backends) de dados de servidores Não Baixo para médio Médio para alto Backups regulares KSV | Sem agentes (dados de vida curta, menos vetores de ataque)
Frente (frontend) web  de servidores Sim Baixo Alto Ter relacionamentos confiáveis com muitos fundos de base (backends) KSV | Agente pequeno (exposição à perigos de acesso público é o risco a se evitar)
VDI com proposta limitada ou aplicação virtualizada Não Médio para Alto Médio Instalação altamente restrita, sem aplicações ou armazenamento removível KSV | Sem agentes (ambiente previsível)
VDI de substituição de desktop Sim Médio Médio Armazenamento pessoal removível em uso, usuários privilegiados com direitos de instalação KSV | Agente pequeno

(A necessidade de maior segurança é maior do que a de respostas mais rápidas)

Servidores Intranet Sim Baixo para médio Baixo para médio Acesso externo somente de usuários autorizados usando tokens de hardware KSV | Sem agentes (exposição de dados à internet é muito limitada)
Processamento de dados dos clientes Sim Alto Alto Necessidade por ambiente estável KSV | Agente pequeno (A necessidade de conformidade torna as camadas de proteção adicionais outra necessidade)
Ambiente de teste de desenvolvedores web Sim Baixo para médio Médio Hypervisor baseado em Linux e máquinas virtuais de hóspedes heterogêneos KESB para Linux e KESB para Windows (dados constantemente renovados de curta duração)

Sua organização está pronta para o Kaspersky?

Os requisitos de componentes para instalação do Kaspersky Security for Virtualization, a principal solução apresentada na tabela acima, são o de uma infraestrutura virtual que inclua:

  • VMware vCenter Server;
  • VMware vSphere Client;
  • VMware vShield Endpoint (componente que é instalados hypervisores VMware ESXi, sendo uma interface EPSEC);
  • VMware vShield Manager (um console de administração VMware vShield Endpoint);
  • Pelo menos um hospedeiro ESXi com máquinas virtuais instaladas;
  • VMware vShield Endpoint Thin Agent driver. Está incluso nas ferramentas aprovisionadas pelo VMware ESXi 5.0 patch 1 hypervisor. Devendo instalar e habilitar o driver nas máquinas virtuais para serem protegidas utilizando Kaspersky Security for Virtualization.

Requer contas de usuário de servidor vServer com:

  • Uma conta de usuário administrador com permissão para criar máquinas virtuais (essa conta participará do processo de instalação);
  • Uma conta de usuário com permissão para ler objetos administrados (System.View permission), será usada para rodar máquinas virtuais seguras.

Também requer:

  • Que o endereço IP 169.254.1.60 esteja desocupado em cada rede virtual de hypervisor VMware ESXi (sendo esse endereço reservado para o Kaspersky Security for Virtualization);
  • Que não exista nenhum software antivírus instalado nas máquinas virtuais a serem protegidas.

Pronto, com essa pequena lista de exigências sua infraestrutura já está pronta para receber o melhor antivírus em questão de infraestrutura virtualizada.

E aí, conseguiu se decidir sobre qual a melhor abordagem de segurança para seu cenário? Desejamos boa sorte nessa questão e estamos sempre aqui para te atender!

Ver referência

Leia também...