◎李泉 苏畅 罗立

虚拟机防病毒方案在媒体融合中的运用
——以湖北日报传媒集团为例

◎李泉 苏畅 罗立

借助虚拟化，在单一物理系统中运行多个虚拟机，从而使资源得到更高效的利用。这样，就可以大幅削减设备的成本支出、降低与电力和冷却相关的能源成本以及节省物理空间。

但是虚拟环境下的服务器和虚拟桌面会和传统物理计算机碰到相同的安全性问题，例如病毒、蠕虫、木马程序和恶意软件的入侵。所以在虚拟环境下的服务器和虚拟桌面同样需要考虑如何有效地进行防范。

一般情况下，对于物理计算机会安装防病毒软件来实现病毒实时防御，并且配置通过软件配置以便在非工作时间进行个性化定制的防病毒扫描，从而最大限度减少工作时间的资源占用。当这些系统被迁移到虚拟环境，众多虚拟机同时更新病毒特征库或者进行按需全盘扫描可能导致内存、存储和CPU使用会出现尖峰，导致这些虚拟机在这段时间内都无法正常提供服务。这种情况通常称为“防病毒风暴”（AV-Storming）。 如今，最常见的做法是使按需扫描调度随机化，不过，这种做法也不理想，我们希望建立一套更加有效的虚拟环境实时防病毒和感知Hypervisor按需全盘扫描的自动调度系统。

湖北日报传媒集团的数据中心目前由若干台物理服务器、若干台服务器组建的VMWARE5.0虚拟化平台和若干台服务器组建的Windows2012·HYPER-V虚拟化平台混合构成。针对自身比较复杂的情况和需求，技术部经过内部多次讨论，在保证各系统均能正常运行的基础前提条件下，对数据中心的整体病毒防护提出了如下两个方案：

1 ’物理服务器’客户端以及虚拟化平台防病毒的统一集中管理和安全架构方案。

虚拟化平台安全管理产品与物理服务器、终端客户端安全管理产品必须使用统一的管理控制中心，在统一管理平台上能够对不同对象（服务器组或单台系统）定制不同的升级、防护、检测、管理策略,简化操作、方便管理。

2 ’各虚拟化平台的统一集中管理和安全架构方案。

VMWARE虚拟化平台、HYPERV虚拟化平台、CITRIX应用虚拟化及桌面虚拟化必须实现统一的跨虚拟化平台的管理控制中心。通过统一的管理控制平台，能够对不同虚拟化平台下的不同对象（虚拟机组、群集或单台虚拟机）定制相同或不同的病毒库升级、病毒检测、管理策略等，简化操作，方便管理。

本文仅针对虚拟化方案做说明。

通过详细对比、评估几家防病毒厂家的技术参数，并结合湖北日报传媒集团的实际情况，最终选择了McAfee公司版本为ePO 4.5的防病毒软件。通过定制配置，面向虚拟桌面和服务器的McAfee Management for Optimized Virtual Environments(MOVE)Anti-virus能够有效降低集团数据中心比较复杂的混合平台的传统病毒扫描的运营费用，同时提供确保业务成功的安全保护和卓越性能。

McAfee通过MOVE服务器（Virtual Appliance）取代虚拟桌面来执行病毒扫描。Virtual Appliance是一种虚拟设备，提供所有虚拟机上的防病毒扫描和病毒更新工作。它不需要在每个虚机上安装防病毒模块，提高了安全性和性能。在虚拟机镜像中只需要安装McAfee ePO代理和McAfee MOVE通信连接器，这使得虚机无论被移动到哪里，它们都处于可管理的状态。McAfee的MOVE服务器与虚机采用标准的TCP/IP协议进行通信，而无需使用任何专有的应用程序编程接口（API）。

这种方案在安全管理上提高了效率，Virtual Appliance提供了中央缓存来管理虚拟机上的所有扫描的文件信息。如果检测扫描到某虚机上的恶意代码，此信息会自动更新到所有虚机上的本地高速缓存。利用McAfee ePolicy Orchestrator（ePO）管理平台提供物理端点安全和虚机安全的统一管理。Virtual Appliance集中式的病毒扫描管理，最大限度地减少了防病毒风暴和多余病毒扫描所导致的性能下降。该虚拟设备的优势在于在无代理部署中，VMware v Shield Endpoint将 hypervisor用作高速连接，从而使MOVE Security Virtual Appliance(SVA)能够从来宾镜像外部扫描虚拟机。扫描过程中，SVA会指示vShield缓存安全的文件或删除或拒绝访问恶意文件。

在ESX服务器上安装SVA及组件后，每个镜像自创建时就自动受到保护。无需在虚拟客户端VM上安装任何防病毒软件病毒库。一方面，vMotion感知型实施意味着虚拟机可以从一台主机移至另一台，目标主机上的SVA将为其提供无缝保护，并且不会对安全扫描或用户体验造成任何影响。另一方面，vSphere中的hypervisor自检可以防止恶意软件防护功能受到影响。

与此同时，与McAfee ePO的集成能够在vCenter中监控SVA状态，并在SVA失去连接时向您发出警报。McAfee ePO将收到详细描述受影响VM的事件数据。

通过McAfee防病毒软件的整体部署，我单位的数据安全和读取效率有了明显的提高，为技术部日常维护和全集团的日常工作提供了极大的便利，减少了维护成本和提高了工作效率。

(湖北日报传媒集团技术部)