《华为FusionSphere 6.5.0 虚拟化防病毒特性技术白皮书》由会员分享,可在线阅读,更多相关《华为FusionSphere 6.5.0 虚拟化防病毒特性技术白皮书(7页珍藏版)》请在金锄头文库上搜索。
1、FusionSphere 6.5.0虚拟化防病毒特性技术白皮书目 录FusionSphere 6.5.0虚拟化防病毒特性技术白皮书文档版本01发布日期2021-08-04目 录1 虚拟化无代理防病毒方案简介31.1 传统有代理防病毒方案简介31.2 虚拟化防病毒特性简介42 与华为合作的防病毒厂家列表67FusionSphere 6.5.0虚拟化防病毒特性技术白皮书1 虚拟化无代理防病毒方案简介1.1 传统有代理防病毒方案简介传统有代理防病毒方案的架构如下,二层架构,需要在每个用户虚拟机中部署杀毒引擎,然后通过集中的防病毒管理中心管理。其中防病毒管理中心负责策略管理(如配置全盘扫描任务),虚拟
2、机内杀毒引擎负责杀毒。有代理防病毒方案杀毒引擎运行稳定,不易受到外界干扰,但是用户虚拟机内杀毒引擎占用资源多,而且主机上虚拟机间杀毒相互独立,导致病毒库更新等场景下易造成“病毒风暴”(虚拟机资源占用多,导致性能差,用户体验差,影响正常业务,不是指病毒爆发),同时当病毒库更新时,需要对每个虚拟机内病毒库都进行更新,造成管理成本高。那么在虚拟化环境下,如何提供高效的防病毒方案呢?就是本文介绍的虚拟化无代理防病毒特性。1.2 虚拟化防病毒特性简介1.2.1 虚拟化防病毒简介华为虚拟化平台FusionCompute联合防病毒厂商为用户提供虚拟化防病毒功能。其中华为虚拟化平台提供虚拟化防病毒API,然后
3、防病毒厂家基于API进行开发,集成防病毒厂家的杀毒引擎、病毒库等,最终为用户虚拟化提供杀毒能力。使用该功能时,只需在主机上部署一台安全服务虚拟机(SVM,参见注1,由防病毒厂家提供),并在运行在该主机上的其他虚拟机(称为安全用户虚拟机,GVM,参见注2)安装防病毒驱动,即可为安全用户虚拟机提供病毒查杀、病毒实时监控等服务(参见注3)。与传统防病毒功能相比,FusionCompute虚拟化防病毒功能无需在用户虚拟机上安装完整的防病毒软件,节省用户存储资源;运行病毒查杀等功能时仅需占用用户虚拟机极少的计算资源,用于运行防病毒驱动。同时,虚拟化防病毒功能通过主机物理内存交换进行病毒查杀和实时监控,效
4、率高、速度快;同时由于不依赖网络,所以不占用用户虚拟机网络资源。注1:安全服务虚拟机由防病毒厂商提供。注2:目前仅支持部分Windows操作系统的虚拟机作为安全用户虚拟机,具体支持类型请参见下面使用约束。安全用户虚拟机所安装的防病毒驱动由华为提供。注3:虚拟化防病毒功能所提供的具体防病毒服务及性能由防病毒厂商提供的防病毒引擎的能力决定。1.2.2 方案对比有代理防病毒无代理防病毒资源占用较大,每台虚拟机都要部署杀毒引擎。小,客户虚拟机仅需要安装防病毒驱动。部署复杂,可以使用模板批量部署,但是单台部署较为复杂简单,由平台控制在主机部署服务。维护难,维护成本高,需要对每一台虚拟机内引擎或病毒库升级
5、。简单,病毒库和杀毒引擎单独部署,只需要按照主机或安全服务虚拟机进行升级。稳定性强,每台虚拟机内防病毒服务单独运行,稳定性较高。相对较弱,防病毒服务依赖安全服务虚拟机,有单点故障隐患。1.2.3 部署方案虚拟化防病毒功能整体部署方案如图1-1所示。图1-1 虚拟化防病毒部署方案说明如下:l 每台主机可配置多台安全用户虚拟机。l 每台主机部署一台安全服务虚拟机,为安全用户虚拟机提供防病毒服务。l 需部署一个防病毒管理中心,用于管理所有安全服务虚拟机,配置安全服务虚拟机的防病毒策略,下发病毒扫描任务等。说明:各个厂家对这个部件的命名可能不一致,但都是完成一些策略的管理等工作,为了简化,在本文档中都
6、统一称为“防病毒管理中心”。l 防病毒管理中心通过网络与安全服务虚拟机连接,因此防病毒管理中心需要与安全服务虚拟机网络互通。1.2.4 使用约束使用FusionCompute虚拟化防病毒功能时,具有如下约束:l 仅支持windows操作系统的虚拟机作为安全用户虚拟机,,具体支持的windows OS类型请参考防病毒厂商发布的兼容性列表。1.2.5 影响使用FusionCompute虚拟化防病毒功能时,对安全服务虚拟机自身功能影响如下: l 不支持生成内存快照。 l 安全服务虚拟机需实时服务,因此不能对安全服务虚拟机执行在线磁盘快照、休眠等操作。 l 安全服务虚拟机与主机绑定,如发生集群动态资源
7、调度或主机故障,无法自动迁移。使用FusionCompute虚拟化防病毒功能时,对安全用户虚拟机自身功能影响如下: l 不支持生成内存快照。 l 安全用户虚拟机依赖安全服务虚拟机提供的服务,如在集群动态资源调度或主机故障发生自动迁移时,需要迁移至已部署安全服务虚拟机的主机,否则虚拟机迁移后将无法启动。l 因此建议同一个集群的主机同时开启虚拟化防病毒功能,并部署安全服务虚拟机。2 与华为合作的防病毒厂家列表概述:防病毒厂商提供杀毒能力,华为提供虚拟化平台能力,双方合作提供完整的虚拟化防病毒解决方案,结构如图所示:由防病毒厂商提供杀毒引擎及安全虚拟机驱动,华为虚拟化平台提供共享内存设备通道,双方管理中心通过Rest接口进行通信。2.1 瑞星:瑞星虚拟化系统安全软件FOR华为是瑞星公司推出的国内首家针对华为虚拟化平台的安全防护解决方案。针对虚拟环境中存在的系统与网络威胁,实现全方位保护。该产品与华为虚拟化平台完美结合,采用领先的无代理模式、下一代虚拟化DPI及虚拟指纹保护等技术,结合瑞星云端网络威胁大数据分析系统,是各行业华为虚拟化产品用户推行安全防护解决方案的首选。
