Data Center — November 24, 2019 at 8:55 am

Implementarea celor mai bune practici de securitate în centrul virtual de date

by

virtualizareÎn acest material prezentăm implementarea completă, realizată de Bitdefender, a soluțiilor de bune practici Citrix, care acoperă GravityZone Security for Virtual Environments (SVE), ce oferă securitate pentru infrastructura de generație viitoare, inclusiv pentru centrul de date definit prin software, infrastructura hiper-convergentă și cloud-ul hibrid.

Securizarea sarcinilor de muncă nepersistente, cum ar fi desktop-urile VDI care vin și pleacă rapid,  prezintă provocări care depășesc sfera securității clientului fix. În cadrul acestor sarcini tranzitorii, mașinile sunt adesea identificate în mod unic printr-un GUID care este generat în timpul procesului de instalare a instrumentelor de securitate, astfel încât mașinile dotate dinamic nu apar în consola de management, iar mașinile deprovisionate lasă intrări unice în consolă.

Software-ul Enterprise necesită management centralizat pentru operațiuni de implementare în timp real, configurații de politică de securitate și raportare de evenimente. GravityZone SVE este construit cu versiunea inițială pentru virtualizare. Este livrat ca un aparat virtual, se integrează cu instrumente de gestionare a infrastructurii și folosește infrastructura de virtualizare pentru operațiuni, deoarece infrastructura de virtualizare este monitorizată în timp real. GravityZone SVE se integrează cu instrumentele de management Infrastructure as a Service (IaaS), inclusiv vCenter Server, Citrix Hypervisor, Nutanix Prism, AWS și Azure, permițând replicarea stocurilor în timp real, cu vizibilitate deplină asupra schimbărilor. De fiecare dată când o mașină virtuală este creată, mutată sau ștearsă din inventar, GravityZone SVE se actualizează imediat.

Soluțiile antivirus mai vechi din centrul de date virtualizat se confruntă cu provocarea îndelungată prin care actualizările semnăturii AV degradează semnificativ performanțele, reducând eficiența centrului de date împreună cu probleme pentru utilizatori. Soluțiile de securitate neautorizate folosesc actualizări descentralizate, adesea cu fișiere mari de semnătură care trebuie descărcate și actualizate în mod regulat și scanate continuu. În mediile care nu persistă, acest lucru poate duce la provocări de securitate și trafic mare de rețea.

Descărcarea de actualizări pe bază de scenarii cu GravityZone SVE rezolvă aceste probleme. Un dispozitiv virtual de securitate (SVA) gestionează toate actualizările, astfel încât fiecare client VDI necesită mai puține actualizări. Consumul semnificativ pentru procesor, memorie și activitate pe disc este mutat la SVA, astfel încât mediile de date virtuale să obțină densități VM-gazdă mai mari și performanțe VDI superioare.

Nu cu mult timp în urmă, administratorii și furnizorii de securitate și-au atras speranțele în privința securității „fără agent” pentru a-și rezolva problemele de performanță din centrul de date virtuale, performanța și densitatea fiind printre provocările acestora. În practică, însă, toate VM-urile fără agent se bazează pe un singur aparat de securitate, iar fișierele necunoscute sunt transferate integral între fiecare VM și aparatul de descărcare, ceea ce duce la o latență mai mare și o performanță mai lentă. Construită corect ca în GravityZone SVE, descărcarea de scanare a înlocuit de atunci securitatea fără agent ca model de implementare preferat.

Optimizarea securității rămâne o provocare persistentă în implementările la scară largă. Agenții de securitate tradiționali nu sunt potriviți pentru gestionarea unei singure imagini, iar lipsa scanării centralizate și a schimbului de informații împiedică eficiența.

Bitdefender depășește aceste probleme de scară cu o tehnologie de cache pe două niveluri. Cache-ul GravityZone SVE are loc atât în VM cât și în Security Virtual Appliance. De asemenea, cache-ul are două componente: un cache pre-instruit și un cache cu auto-învățare. Cu acest design eficient, SVA inspectează fiecare fișier o singură dată, chiar dacă apare pe mai multe VM-uri, evitând scanarea redundantă, reducând dramatic sarcina de procesor, RAM, IO și rețea în centrul de date sau în orice cluster VM definit.

Administratorii de centre de date virtuale se confruntă cu o provocare de bază atunci când încearcă să rezolve probleme de performanță și să determine cauzele lor principale. Cu atât de multe piese mobile și cu mulți furnizori implicați, soluțiile sunt adesea neclare.

GravityZone SVE dispune de un singur punct de configurare pentru toate VM-urile server, desktop și cloud. Menține configurații centralizate care se propagă în timp real și oferă o interfață locală de depanare pentru testarea și validarea modificărilor de configurare care pot rezolva și îmbunătăți problemele de performanță.

O provocare finală cu care se confruntă administratorii de centre de date virtuale este lipsa excluderilor inteligente de scanare, în special în clonele VDI desktop și server, unde mii de fișiere de sistem de operare și aplicație preinstalate sunt identice în toate instanțele VM. Instrumentele AV convenționale utilizează două abordări comune pentru scanarea excluderilor în centrul de date virtual: fără excluderi implicite sau o singură politică de excludere pentru toate sarcinile de lucru VM. Ambele soluții sunt suboptimale. GravityZone SVE include un model de excludere de scanare flexibil, cu excluderi implicite de scanare pentru o îmbunătățire rapidă și fiabilă a performanței pe proprietatea VM. Sau, de asemenea, administratorii pot implementa excluderi personalizate, așa cum recomandă furnizorul lor de infrastructură de virtualizare.