的VMware ESX和ESXi的防病毒策略仍然矛盾

安全建议会根据与服务器还是设备打交道而变化。它如何与虚拟基础架构(其中ESX和ESXi扮演几乎相同的角色并具有相似的漏洞)相结合?

您今天阅读过安全政策吗?是否考虑了虚拟化?

在之前的博客中,我提到了 国防信息安全局(DISA) 安全技术实施指南(STIG) 有一个 不运行防病毒的有趣原因 在ESX的服务控制台上。原因是STIG中推荐的基于Unix的防病毒工具无法在ESX上正确安装。存在性能问题,也可能存在误报的情况。

许多安全策略要求某种形式的防病毒软件可以在连接到网络的任何系统上运行,除非该系统恰好是设备。

对于VMware基础架构管理员来说,这很有趣。 VMware ESXi被认为是设备,但VMware ESX不是。

但是,我碰巧认为它们都是将网络,存储和计算资源组合到一个系统中的混合设备。设备和操作系统的组合。

这就引起了书面安全策略的有趣问题,这些策略通常不要求多宿主计算机,除非它是交换机,路由器等。那么既然VMware ESX和ESXi都包含交换机而不是网桥,那么两者都属于该规则吗?

同样,它是一种计算资源,许多安全策略要求这些策略必须包含某种形式的防病毒,反间谍软件和其他保护工具。

由于设备之间的差异,ESXi 和ESX被区别对待。我认为应该对他们 相同的。 (由于应使用许多与VMware ESX相同的技术来保护VMware ESXi的管理控制台。)

在这两种情况下,虚拟化专家都不赞成从管理设备为ESX和ESXi运行防病毒工具,这有几个原因。

  • 防病毒全磁盘扫描将影响性能;
  • 的VMware ESX / ESXi管理设备提供了特殊的使用环境,即用户不会存储文件,文档等。
  • 扫描虚拟磁盘文件将产生误报;
  • 的VMware Hypervisor限制了来自管理设备的所有磁盘访问,因此读写速度非常非常慢;
  • 当前没有适用于VMware ESXi的防病毒软件。

    如果还没有发生,则需要更新安全策略以说明VMware ESX或ESXi。

    防病毒和多宿主问题可能仅仅是开始 所有重要文件(安全策略)中的问题。什么时候 VMware和第三方发布了即将面世的VMware VMSafe产品,这也需要解决。具体来说,是对“您如何处理虚拟基础架构的插件”这一问题的答案。必须声明。

    虚拟化专家Edward L. Haletky是《企业中的VMWare ESX Server:规划和保护虚拟化服务器》(Pearson Education,2008年)的作者。他最近离开了 惠普,他曾在虚拟化,Linux和高性能技术计算团队中工作。 Haletky拥有AstroArch Consulting,提供虚拟化,安全性以及网络咨询和开发。 Haletky还是该项目的冠军和主持人 的VMware论坛,提供安全性和配置问题的答案。

  • 有关的:

    版权© 2008 IDG通讯,Inc.