Статья

Честные ИБ-тесты: оценка успеваемости "виртуальных" антивирусов

Безопасность Стратегия безопасности Техническая защита Новости поставщиков
мобильная версия

Тестовые лаборатории разрабатывают новые методики оценки систем быстродействия информационной безопасности (ИБ) для виртуальных сред. Эти методики позволяют оценить уровень производительности антивирусов. Однако "успеваемость" антивирусов зависит от многих показателей, которые далеко не всегда учитываются при оценке.

Являясь одним из лучших средств сокращения капитальных и эксплуатационных затрат, виртуализация сегодня набирает обороты. Именно поэтому антивирусная защита виртуальных сред сегодня особенно актуальна. Тем не менее многие организации делают ошибку, считая, что ИБ-решение, которое успешно эксплуатировалось на физическом сервере, с таким же результатом будет работать и на виртуальной машине.


Виртуализация серверов - это азы облачных технологий, то, с чего собственно и начиналась виртуализация

В действительности традиционные средства, функционируя в "облаках", могут создавать различные проблемы (например, "антивирусный шторм", когда все виртуальные машины начинают одновременно выполнять проверку жесткого диска по расписанию и гипервизор из-за огромной суммарной нагрузки зависает), и тем самым сводить на нет выгоды от повышения производительности.

Два варианта

Прежде чем оценивать тот или иной ИБ-продукт для виртуальных сред, важно понять, что есть два типа виртуализации: виртуализация серверов и виртуализация рабочих станций. Эти процессы развиваются независимо друг от друга, и скорость развития тоже сильно разнится.

Виртуализация серверов - это азы облачных технологий, то, с чего собственно и начиналась виртуализация; то, чем, как правило, оперируют при разговоре с клиентом поставщики услуг. Выгоды ее очевидны: сокращение парка физических вычислительных машин, консолидация их в одном месте, и как результат - экономия на масштабе. Экономический эффект достигается за счет того, что традиционно одна серверная задача работает на одном физическом сервере. А значит использование ресурсов в лучшем случае составляет 5–10%. Зато с помощью виртуализации, когда на одном физическом сервере работают множество виртуальных машин, можно довести загрузку до 90%.

Сейчас виртуализация серверов, можно сказать, стала стандартом де-факто. По некоторым расчетам, на сегодня во всем мире виртуализованными являются уже около 40% всех серверов. Тот же процесс происходит и в России. Причина очевидна – выгоду можно наглядно продемонстрировать, техническая реализация не вызывает больших проблем. Наконец, для поставщика не составляет проблемы продать услугу, объяснить заказчику, что именно внедряется и зачем это нужно.

Второй процесс – виртуализация рабочих станций - широкого распространения пока еще не получил. Преимущества этого метода в том, что все данные и приложения хранятся в одном дата-центре - таким образом их проще обслуживать. Но с другой стороны требуются устройства доступа, и их тоже нужно как-то обслуживать, контролировать, мониторить. То есть плюсы, хотя и есть, но не так очевидны, как в случае с виртуализацией серверов.

И целого антивируса мало

Подходы к обеспечению безопасности этих двух процессов тоже сильно отличаются. В первом случае, при серверной виртуализации, очень важно обеспечить комплексный подход к защите информации, то есть решить не одну, а ряд задач. По словам Дениса Безкоровайного, технического консультанта представительства компании Trend Micro в России и СНГ, для защиты серверов недостаточно иметь только антивирус. Антивирус – это лишь маленькая часть большого целого.

Во-первых, необходимо обеспечить обнаружение и предотвращение атак как на саму операционную систему гостевой машины, так и на ее приложения. Это важно, поскольку в виртуальной инфраструктуре машины могут появляться молниеносно, часто они разворачиваются из устаревших образов, в которых содержится множество уязвимостей. То есть поверхность атаки в виртуальной инфраструктуре гораздо больше, чем в физической, где серверы обслуживаются и обновляются постоянно, а новые появляются достаточно редко и под пристальным контролем. Во-вторых, требуется реализовать межсетевое экранирование, которое для виртуальных серверов выглядит иначе, нежели для физических машин. Ведь если несколько виртуальных машин одновременно работают на одной и той же "железке", трафик, в некоторых случаях, не проходит через традиционные физические межсетевые экраны. А значит, возникает потенциальная угроза несанкционированных сетевых соединений, что в конечном итоге может служить механизмом для атаки. Третья задача – защита от вирусов. Четвертая – обнаружение подозрительной активности внутри виртуальных серверов, связанных с человечексим фактором, например, с деятельностью системных администраторов, сотрудников и т.д. "В Trend Micro комплексная безопасность виртуальных машин реализуется продуктом Deep Security. – комментирует Денис Безкоровайный. – В частности, в нем есть модуль контроля целостности файлов, папок, реестра и прочих параметров внутри этих виртуальных серверов, а также модуль анализа событий ОС и приложений, который позволяет отследить подозрительную активность".

В случае с защитой виртуальных рабочих станций также существуют разные варианты обеспечения ИБ. В одном из них агент безопасности ставится на каждую виртуальную машину. Во втором случае выделяется одна виртуальная машина, которая защищает все остальные. "Если говорить о виртуализации рабочих станций, то у Trend Micro есть для ее защиты два продукта. Один – это уже упоминавшийся Deep Security, а второй – наш классический антивирус, оптимизированный для работы в виртуальной среде, агент которого ставится на каждую виртуальную машину", - приводит пример г-н Безкоровайный. "Использование того или иного варианта зависит от задач, например, будут виртуальные рабочие станции работать вне датацентра (Local Mode) или нет.

Как измерить удава?

Больше всего вопросов в среде производителей ИБ-средств вызывают исследования, проводимые тестовыми лабораториями. Зачастую ситуация напоминает старый анекдот: "От носа до хвоста – 2 метра, от хвоста до носа – 10 метров. Наш удав: как хотим, так и измеряем". Нередко одни и те же продукты умудряются занять в одном тестовом отчете первое место, а в другом – заметно проиграть конкурентам. Более того, эти разночтения могут встречаться в разных отчетах одной и той же тестовой лаборатории.

Одна из причин - существование заказных тестов, то есть исследований, которые проводятся тестовыми лабораториями по запросу конкретного вендора. Как правило, в таких спонсируемых тестах побеждает тот, кто заказывает музыку. При этом совсем не обязательно приводить фальшивые цифры: достаточно немного поиграть настройками, включить, где надо, определенные опции, а где надо – их выключить. "В одном из официальных тестов наш продукт сравнивали с другими, не включив на нем некоторые настройки, которые сильно влияют на быстродействие в виртуальной среде, - приводит пример Денис Безкоровайный. – У нас уже с апреля 2010 года есть функция "белый список файлов" (Base Image Whitelisting). Это файлы, находящиеся внутри "золотого", то есть эталонного VDI-образа операционной системы, из которого разворачиваются все рабочие станции. При включении этой опции ИБ-системе дается команда не сканировать файлы из золотого образа, поскольку они уже проверены. Эта функция ускоряет процесс сканирования. Но при тесте она была отключена, что подтвердили специалисты, проводившие тест".

Другой вариант: можно озвучивать только те результаты, в которых продвигаемый продукт повел себя хорошо. Например, можно показать, что антивирус во время сканирования делает меньше, чем продукты конкурентов, обращений к жесткому диску. Несомненно, это плюс, однако нужно иметь в виду, что на быстродействие VDI-среды влияет не один, а несколько показателей. Любой ИБ-продукт потребляет определенное количество процессорного времени, занимает какой-то объем оперативной памяти и совершает некое количество процедур ввода/вывода с жесткого диска. И только совокупность этих трех факторов в процессе защиты всех машин определяет реальное быстродействие в виртуальной инфраструктуре. Если все же говорить о нагрузке на жесткий диск, стоит отметить, что пик обращений к диску у антивирусных продуктов происходит не только в момент сканирования, но и во время обновления сигнатур, которое может происходить несколько раз в сутки. Безагентский подход к защите, предлагаемый компанией VMware через интерфейс vShield Endpoint, позволяет хранить лишь одну копию сигнатур на машине безопасности (Security Virtual Machine), при этом отсутствует необходимость обновления сигнатур на каждой защищаемой гостевой машине, то есть резко снижается загрузка жесткого диска.

Еще один пример. Антивирус имеет три варианта работы: запуск по требованию, запуск по расписанию и постоянное отслеживание всех действий компьютера на безопасность. В некоторых отчетах приводятся результаты только одного режима работы, например, сканирования по требованию, и забывается оценка в режиме отслеживания всех действий компьютера на потенциальную вредоносность. Применительно к VDI-среде запуск по требованию или по расписанию может быть не актуальным, так как в некоторых сценариях виртуальная машина существует лишь на время сеанса работы пользователя. Общее потребление ресурсов гипервизора (памяти, CPU и обращений к жесткому диску) во время постоянного мониторинга (Real-time scan) - вот что действительно важно для производительности VDI-сред.

В поиске рецептов

В феврале 2011 года лабораторией Tolly Group был проведен тест, по результатам которого продукт Trend Micro Deep Security 7.5 обошел конкурентную продукцию по многим показателям. В том числе он продемонстрировал более низкий уровень нагрузки на хост, оперативную память и системы дискового ввода/вывода. "Наша система понимает, на каком физическом сервере находится каждая виртуальная машина, - объясняет технологию Trend Micro Денис Безкоровайный. - И запускает только по одной проверке на одном физическом сервере. Таким образом, нагрузка снижается до минимума. Скажем, если есть 10 физических серверов, то одновременно запускается не более 10 проверок".

Для защиты виртуальной среды важны и другие возможности продуктов, учитывающие ее динамичность. Так как одновременно может создаваться множество виртуальных машин, например, они могут разворачиваться из шаблонов или устанавливаться из дистрибутива, важно сразу же в автоматическом режиме защитить их, не дожидаясь, пока к ним обратиться администратор безопасности. Для таких новых машин будет особенно актуальна, кроме стандартной антивирусной защиты, защита от уязвимостей в ОС, ведь шаблоны и дистрибутивы очень быстро устаревают и содержат незакрытые "дыры", через которые система может быть скомпрометирована. Не теряет свою актуальность тесная интеграция с инфраструктурой виртуализации как на уровне интерфейсов защиты, так и на уровне системы управления, благодаря чему может обеспечиваться защита виртуальных серверов и рабочих станций без использования программ-агентов. Таким образом по максимуму работает все то, что VMware позволяет применять для оптимизации процесса. Например, безагентский метод защиты более эффективен по количеству обращений к CPU и памяти. Это oсобенно заметно при обновленни сигнатур и сканировании по расписанию.

Использование возможностей платформы и интеграции с ней – один из главных рецептов быстродействия ИБ-систем в виртуальных средах.

Выбор средств информационной безопасности, тем более для защиты виртуальных инфраструктур, непростая задача, в решении которой стоит отталкиваться от потребностей конкретной организации и инфраструктуры, а также учитывать специфичные риски, которые и призван снизить выбираемый продукт.

Сергей Филимонов / CNews