Vírusirtó a hypervisorra?

Virtualizáció

Tervezgetek egy közepes méretű virtualizált infrastruktúrát (~60 blade VMware ESXi, ~40 blade Hyper-V, ~50 blade Citrix VDI/RDS), és azt látom, hogy vannak olyan vírusirtó megoldások, pl. a McAfee MOVE, amelyek nem a hagyományos "telepítsük a guest-be" módon működnek, hanem a hypervisoron futva nézegetik a guest gépeket. Ennek nyilván vannak előnyei (kevesebb erőforrás kell az 1 példányban futó víruskergetőnek, mint a több példányban futónak) meg hátrányai (ha a vírusirtó csúnya módon bedöglik, akkor egy csomó gépet magával ránthat valamilyen szinten, nagy a hibaterjedési tartomány) - de használ ilyet innen valaki a gyakorlatban? Milyenek a gyakorlati tapasztalatok? Érdemes már belevágni egy ilyen technológiába, vagy egyelőre inkább felejtős a dolog?

  • 2139 megtekintés

( talisen | 2015. 07. 21., k – 19:48 )

Nem teljesen témába vágó tapasztalataim vannak, én évekkel ezelőtt az IBM Virtual Server Protector nevű IPS-ét teszteltem 4.1-es és 5.0-s ESXi-ken. Az a megoldás egészen jó volt, telepítés során integrálódott a hypervisor-ba és network IPS-ként viselkedett a guest-ek szempontjából, a menedzsment-je pedig tökéletesen ment SiteProtector-ból. Nem jelentett észrevehető terhelést az ESX-eknek és jól hangolt szabályrendszer mellett a guest-ek működésében sem volt semmilyen akadás.

Sajnos ezt a terméket is kivégzi az IBM a többi host IPS-ével együtt :(

( sj | 2015. 07. 22., sze – 08:52 )

valamit nyilvan tenni kell a malware-ek ellen, de nem mindenki optimista a viruskergeto cuccokkal ill. azok valos vedelmi kepessegeivel kapcsolatban...

--
"what is mostly works", "mods that I describe is choosed" (hrgy84 "nem vagyok anyanyelvi angolos")

( _ventura_ v | 2015. 07. 22., sze – 09:32 )

En azt vallom, hogy a hypervisor lehetoleg csak a virtualizacioval foglalkozzon. Inkabb ele tolnek IPS/IDS-t stb es azzal oldanam meg.

Fedora 22, Thinkpad x220

( vl v | 2015. 07. 22., sze – 10:54 )

Hát én el nem tudom képzelni, hogy manapság, amikor szinte már minden hálózati kommunikáció titkosított, akkor egy hálózati rétegben futtatott víruskergető mire is jó, a pénztárca apasztásán kívül.