Vmware защита от вирусов
Под SVM в этом разделе понимается SVM с установленным компонентом Файловый Антивирус.
SVM с установленным компонентом Файловый Антивирус обеспечивает защиту виртуальных машин на гипервизоре VMware ESXi. Kaspersky Security начинает защищать виртуальные машины только после того, как вы настроили параметры работы программы с помощью политики. Kaspersky Security защищает виртуальные машины с теми параметрами, которые указаны в назначенных им профилях защиты.
Если на SVM программа не активирована или отсутствуют антивирусные базы, Kaspersky Security не защищает виртуальные машины.
Kaspersky Security защищает виртуальные машины, которые соответствуют следующим требованиям:
-
В инфраструктуре под управлением сервера VMware vCenter и VMware NSX Manager:
- На виртуальной машине установлен и включен драйвер VMware Guest Introspection Thin Agent.
- Виртуальная машина входит в состав группы безопасности NSX (NSX Security Group), настроенной в консоли VMware vSphere Web Client. Для этой группы назначена политика безопасности NSX (NSX Security Policy), в которой настроено использование службы защиты файловой системы (Kaspersky File Antimalware Protection).
- В профиле защиты, который назначен виртуальной машине, включена защита.
-
Виртуальная машина не отключена и не приостановлена.
Kaspersky Security может проверять выключенные виртуальные машины при выполнении задач проверки.
- Виртуальная машина не отключена и не приостановлена.
- На виртуальной машине установлен и включен драйвер VMware Guest Introspection Thin Agent.
- В профиле защиты, который назначен виртуальной машине, включена защита.
Если хотя бы одно из перечисленных условий не выполняется, Kaspersky Security не защищает виртуальную машину.
Когда пользователь или программа обращается к файлу виртуальной машины, Kaspersky Security проверяет этот файл.
- Если в файле не обнаружены вирусы или другие программы, представляющие угрозу, Kaspersky Security разрешает доступ к этому файлу.
- Если в файле обнаружены вирусы или другие программы, представляющие угрозу, Kaspersky Security присваивает файлу статус Зараженный. Если в результате проверки невозможно однозначно определить, заражен файл или нет (возможно, в файле присутствует последовательность кода, свойственная вирусам или другим программам, представляющим угрозу, или модифицированный код известного вируса), Kaspersky Security также присваивает файлу статус Зараженный.
После этого Kaspersky Security выполняет над файлом то действие, которое указано в профиле защиты этой виртуальной машины, например, лечит или блокирует файл.
Если на виртуальной машине установлена программа, выполняющая сбор и отправку информации на обработку, Kaspersky Security может классифицировать такую программу как вредоносную. Чтобы избежать этого, вы можете исключить программу из защиты. Список исключений настраивается в параметрах профилей защиты.
Во время защиты виртуальных машин используются сигнатурный и эвристический анализ. При сигнатурном анализе используются базы Kaspersky Security, содержащие информацию об известных угрозах и о методах их устранения. Защита с использованием сигнатурного анализа обеспечивает минимально допустимый уровень безопасности. В соответствии с рекомендациями специалистов "Лаборатории Касперского" этот метод анализа всегда включен.
Эвристический анализ – это технология обнаружения угроз, которые невозможно определить с помощью баз программ "Лаборатории Касперского". Эвристический анализ позволяет находить файлы, которые, возможно, содержат вредоносную программу, не указанную в базах, или новую модификацию известного вируса. Файлам, в которых во время эвристического анализа обнаружена угроза, присваивается статус Зараженный.
Уровень эвристического анализа зависит от выбранного уровня безопасности:
- Если установлен уровень безопасности Низкий , применяется поверхностный уровень эвристического анализа. Эвристический анализатор выполняет не все инструкции исполняемых файлов во время проверки исполняемых файлов на наличие вредоносного кода. При таком уровне эвристического анализа вероятность обнаружить угрозу снижена по сравнению со средним уровнем эвристического анализа. Проверка требует меньше ресурсов SVM и проходит быстрее.
- Если установлен уровень безопасности Рекомендуемый , Высокий или Пользовательский , применяется средний уровень эвристического анализа. Во время проверки файлов на наличие вредоносного кода эвристический анализатор выполняет то количество инструкций в исполняемых файлах, которое рекомендовано специалистами "Лаборатории Касперского".
Информация обо всех событиях, произошедших во время защиты виртуальных машин, записывается в отчет.
Рекомендуется периодически просматривать список файлов, заблокированных в результате защиты виртуальных машин, и выполнять действия с этими файлами. Например, вы можете сохранить копии файлов в недоступном для пользователя виртуальной машины месте и удалить файлы. Информацию о заблокированных файлах вы можете просмотреть в отчете о вирусах или в выборке событий по событию Файл заблокирован (см. в документации Kaspersky Security Center).
Чтобы получить доступ к файлам, заблокированным в результате защиты виртуальных машин, требуется временно выключить защиту этих виртуальных машин.
Все больше компаний используют технологии виртуализации, и постепенно ИТ инфраструктура уходит в облако. И это не только размещение своих приложений в облаке, но и сокращение своих физических серверов за счет виртуальных.
- 56% компаний уже используют;
- 8% планируют внедрение в течение ближайшего года.
Виртуальные рабочие станции:
- 25% компаний используют
- 14% планируют внедрение в течение года.
В основном на виртуальных серверах размещают базы данных и другие критичные для компании приложения, следовательно, защита этих серверов от взлома и потери корпоративной информации становится немаловажной задачей.
Но основной принцип виртуализации – экономия физических ресурсов, становится не выполним, когда на виртуальные машины устанавливается такое же защитное решение, как и на физические серверы или компьютеры.
- 82% внедрили лишь частичную защиту отдельных элементов своей виртуальной среды.
- среди тех 18%, что приняли все возможные меры для защиты, 47% использует защитные решения для физических устройств.
Выбор защиты для виртуальных сред
С точки зрения виртуальной машины традиционный антивирус потребляет ресурсы системы крайне неэффективно.
Плюс сложности с распространением централизованных политик на виртуальных рабочих станциях, отсутствие поддержки специфичных технологий, например, функций контроля программ и устройств и веб-контроля.
Поэтому с появлением технологий виртуализации возникла потребность в другом подходе к защите. И сейчас уже существует несколько способов защищать виртуальные машины.
Безагентская защита.
Этот подход уже лучше, чем традиционные решения для защиты от вирусов – как специализированное решение для виртуализации, безагентский антивирус лишен перечисленных выше проблем.
При использовании безагентского антивируса администратору достаточно развернуть одну выделенную виртуальную машину безопасности, которая будет защищать все остальные виртуальные машины в рамках своего хоста.
Поэтому производители антивирусов ограничены в данном подходе интеграционными технологиями VMware, которые не позволяют, например, осуществлять глубокое сканирование и проверку памяти.
Плюс данное решение не поддерживает технологии контроля программ, устройств и веб-ресурсов на виртуальных рабочих станциях.
Его присутствие не требует лишних ресурсов, но позволяет детально сканировать машину и применять дополнительные технологии, такие как контроль приложений и веб-ресурсов.
Внедрение защиты
При установке защиты Kaspersky Security для виртуальных сред | Без агента сначала устанавливается консоль администрирования Kaspersky Security Center. Через нее (подключившись к vCenter Server) на хост устанавливается выделенная виртуальная машина защиты, которая и будет защищать все виртуальные машины в рамках этого хоста.
После этого требуется внедрить легкий агент на постоянные виртуальные машины, либо, в случае непостоянных виртуальных машин, установить агент на шаблон.
Если же говорить об управлении и настройке, то для этого в решении существует общая консоль администрирования - Kaspersky Security Center, через которую Вы сможете легко управлять защитой, если Вы уже знакомы с управлением защитным решением Kaspersky Security для бизнеса.
Более того, Вам будет удобно совмещать управление антивирусной защитой сразу в нескольких средах – например, на физических серверах и виртуальных рабочих станциях, общая логика и подход к настройкам будет совпадать.
Специфичных знаний по виртуализации Вам не потребуется. Но при установке Kaspersky Security для виртуальных сред понадобится специалист, умеющий работать с виртуализацией.
Kaspersky Security для виртуальных сред 5.0 Защита без агента (далее также "Kaspersky Security") представляет собой интегрированное решение, обеспечивающее защиту виртуальных машин на гипервизоре VMware ESXi от вирусов и других вредоносных программ, а также от сетевых угроз.
Kaspersky Security позволяет настраивать защиту виртуальных машин на любом уровне иерархии объектов управления VMware: сервер VMware vCenter, объект Datacenter, кластер VMware, ресурсный пул, объект vApp, виртуальная машина. Программа поддерживает защиту виртуальных машин во время их миграции в рамках DRS-кластера VMware.
В состав Kaspersky Security входят следующие компоненты:
- Файловый Антивирус. Компонент позволяет избежать заражения объектов файловой системы виртуальной машины. Компонент запускается при старте Kaspersky Security и выполняет функции защиты виртуальных машин и проверки объектов файловой системы виртуальных машин.
- Обнаружение сетевых угроз. Компонент позволяет обнаруживать и блокировать активность, характерную для сетевых атак, и другую подозрительную сетевую активность, а также проверять веб-адреса, к которым обращается пользователь, по базам вредоносных и фишинговых веб-адресов и блокировать доступ к вредоносным и фишинговым веб-адресам.
- Сервер интеграции. Компонент осуществляет взаимодействие между компонентами программы Kaspersky Security и виртуальной инфраструктурой VMware.
Kaspersky Security предоставляет следующие возможности:
- Защита . Kaspersky Security проверяет все файлы, которые пользователь или какая-либо программа открывает, сохраняет или запускает на виртуальной машине.
- Если в файле не обнаружены вредоносные программы, программа Kaspersky Security разрешает доступ к этому файлу.
- Если в файле обнаружены вредоносные программы, программа Kaspersky Security выполняет то действие, которое указано в ее параметрах, например удаляет файл или блокирует доступ к файлу.
Kaspersky Security защищает только включенные виртуальные машины, для которых выполняются все условия защиты виртуальных машин.
Проверка . Программа позволяет выполнять антивирусную проверку файлов виртуальных машин. Требуется периодически проверять файлы виртуальной машины с использованием новых антивирусных баз, чтобы предотвратить распространение вредоносных объектов. Вы можете выполнять проверку по требованию или задать расписание проверки.
Kaspersky Security проверяет только виртуальные машины, для которых выполняются все условия проверки виртуальных машин. Kaspersky Security может проверять выключенные виртуальные машины с файловыми системами NTFS, FAT32, EXT2, EXT3, EXT4, XFS, BTRFS, а также шаблоны виртуальных машин.
- Защита от вторжений . Kaspersky Security позволяет анализировать сетевой трафик защищенных виртуальных машин и обнаруживать сетевые атаки и подозрительную сетевую активность, которая может быть признаком вторжения в защищаемую инфраструктуру. Обнаружив попытку сетевой атаки на виртуальную машину или подозрительную сетевую активность, Kaspersky Security может прерывать соединение и блокировать трафик с IP-адреса, который является источником сетевой атаки или подозрительной сетевой активности.
- Проверка веб-адресов . Kaspersky Security позволяет проверять по базам вредоносных и фишинговых веб-адресов веб-адреса, к которым пользователь или программа, установленная на виртуальной машине, обращается по протоколу HTTP. В случае обнаружения веб-адреса в базе вредоносных или в базе фишинговых веб-адресов программа может блокировать доступ к этому веб-адресу.
- Хранение резервных копий файлов . Программа позволяет хранить резервные копии тех файлов, которые были удалены или изменены в процессе лечения. Резервные копии файлов хранятся в резервном хранилище в специальном формате и не представляют опасности. Если вылеченный файл содержал информацию, которая в результате лечения стала полностью или частично недоступна, вы можете сохранить файл из его резервной копии.
- Обновление баз программы . Загрузка обновленных баз программы обеспечивает актуальность защиты виртуальной машины от вирусов и других вредоносных программ. Вы можете запускать обновление баз программы вручную или задать расписание обновления баз программы.
Управление Kaspersky Security осуществляется через систему удаленного централизованного управления программами "Лаборатории Касперского" Kaspersky Security Center.
Используя возможности Kaspersky Security Center, вы можете:
- настраивать параметры работы программы;
- управлять работой программы:
- управлять защитой виртуальных машин;
- управлять задачами проверки;
- управлять ключами для программы;
- обновлять базы программы;
- работать с резервными копиями файлов в резервном хранилище;
- формировать отчеты о событиях, которые произошли во время работы программы.
Kaspersky Security отправляет на Сервер администрирования Kaspersky Security Center информацию обо всех событиях, произошедших во время антивирусной защиты и проверки виртуальных машин, а также о событиях, произошедших во время защиты от вторжений и проверки веб-адресов.
Современные процессоры настолько мощны, что позволяют эмулировать самих себя
практически без тормозов. В области системного администрирования это находит
большое практическое применение. Но не все так просто, и прежде, чем возводить
виртуальную систему, следует взвесить все аргументы за и против.
Двери в виртуальный мир
Тем не менее, играться с виртуальными машинами можно и нужно! Есть все
основания ожидать, что в ближайшие несколько лет разработчики вылижут баги и
доведут эмуляторы до ума, а потому осваивать их надо прямо сейчас, чтобы потом
не разворачивать виртуальную инфраструктуру впопыхах.
Естественно, за повышение скорости приходится платить. Во-первых, необходимо
приобрести процессор с поддержкой аппаратной виртуализации (ладно, это не
проблема, приобретем в ходе очередного планового апгрейда). Во-вторых (а вот это
уже действительно серьезно) — процессоры содержат кучу дефектов, позволяющих
воздействовать на основную операционную систему из гостевых виртуальных машин.
Исправить ошибку в процессоре намного сложнее, чем в полностью программном
эмуляторе! И что самое неприятное – спонтанные падения основной системы
происходят даже без всякой атаки со стороны вредоносного кода! Словом,
аппаратная виртуализация до сих пор остается плохо отлаженной игрушкой, не
готовой к промышленному внедрению. Несмотря на это, Microsoft уже включила
эмулятор с поддержкой аппаратной виртуализации в состав Win2k8, конкурирующий с
бесплатным проектом XEN.
Виртуальные сервера
Как можно использовать виртуальную машину в корпоративной или офисной сети?
Например, поднять виртуальный сервер. А что? Допустим, нам нужен публичный WEB и
приватный SQL. По соображениям безопасности, публичный сервер должен быть
расположен в так называемой демилитаризованной (DMZ) зоне, а приватный SQL –
внутри локальной сети, обнесенной по периметру глубоким защитным рвом
(брандмауэром). Что требует двух машин. А как быть, если в наличии имеется
только одна?
Загон для вирусов
Важно: по умолчанию VMware автоматически распознает все подключаемые
USB-устройства и дает виртуальным машинам к ним полный доступ. Допустим, мы
подключаем FLASH, внешний жесткий диск с USB-интерфейсом или другой девайс
подобного рода, на котором тут же поселяется вирус, вырвавшийся из застенков
виртуальной машины. Чтобы предотвратить вторжение, достаточно отключить
USB-контроллер в свойствах виртуальной машины.
Однако проблемы на этом не заканчиваются. Руткиты уже давно научились
распознавать виртуальные машины, отказываясь от заражения в их присутствии,
что ломает весь концепт. Мы устанавливаем программное обеспечение с руткитом на
виртуальную машину, сравниваем образы, ничего не находим и, довольные собой,
запускаем руткита в основную систему. Выходит, гарантировано обнаружить
современных руткитов при помощи виртуальных машин невозможно! А если еще учесть
большое количество дыр в эмуляторах, то руткит имеет все шансы заразить основную
систему из гостевой машины. Выход? Либо использовать выделенную живую машину,
либо надежную виртуальную машину с полной эмуляцией (например, Bochs). Это
предотвратит вирусное вторжение, но, увы, не спасет от детекции виртуальной
машины руткитом. Bochs содержит множество мелких дефектов эмуляции (ведет себя
не как настоящий процессор), которые не препятствуют работе нормальных программ,
но могут быть использованы для детекта эмулятора. К тому же, ЛЮБОЙ эмулятор
несет на своем борту довольно специфический набор виртуального железа, по
которому его легко опознать. И хотя при наличии исходных текстов мы можем
воспрепятствовать этому — купить живой компьютер намного дешевле, чем корежить
виртуальное железо.
Резюмируя вышесказанное, делаем вывод: виртуальные машины – не слишком-то
надежный загон для вирусов, хотя если не быть параноиком, то (с учетом низкого
качества подавляющего большинства вирусов и руткитов) лучше использовать
виртуальную машину, чем всецело полагаться на антивирусы.
Инструмент выявления сетевых атак
Офисные сети обычно не испытывают необходимости в сенсорах и датчиках,
детектирующих вторжение, а если и испытывают, то дело обычно ограничивается
приобретением коммерческой IDS/IPS-системы, встраиваемой в брандмауэр и спокойно
работающей на шлюзе в интернете или на одном из узлов локальной сети.
С ростом сети появляется желание установить специализированную систему
обнаружения вторжений, например, Snort (бесплатный) или AMP (коммерческий). И
разместить ее на выделенном узле, поскольку для установки того же AMP
администратор должен предоставить его поставщикам удаленный shell на свою
машину. Причем, AMP будет не только автоматом скачивать свежие сигнатуры из
Сети, но и отправлять весь подозрительный трафик для анализа на серверы компании
Endeavor, которая и является его разработчиком.
Доверие — это прекрасно, но отдавать свой трафик в чужие руки… Нет, лучше
размесить эту штуку на отдельном узле, отключенном от основной локальной сети,
но запитанном от того же самого ISP – то есть ловящего тех же вирусов и червей,
что и основные узлы локальной сети. Можно ли использовать для этой цели
виртуальную машину? Конечно! Главное, надежно изолировать ее от корпоративной
сети.
Наибольшую проблему представляют виртуальные сетевые карты, через
которые гостевая операционная система легко доберется до основной. Все
виртуальные карты в обязательном порядке должны быть отключены! Но… если у нас
нет сети, как же тогда общаться с внешним миром и ловить трафик? Вариантов
много. Вот только один из них: ADSL-модем с USB-интерфейсом, подключенный к
виртуальной машине с выдернутой сетевой картой и заблокированными шарами.
Какую именно виртуальную машину следует использовать? VMware очень известна и
слишком дырява. Bochs невероятно медленно работает. Virtual PC – неплохой выбор,
но учитывая большое количество дыр в процессорах, его использование крайне
небезопасно. Реально остается только VirtualBox, XEN или QEMU, хотя первый из
них все еще достаточно сырой и до сих пор не отлаженный.
Зеркальный сервер
Вредоносная природа червей и вирусов вполне объяснима. Они как раз для этого
и писались. Увы, честное программное обеспечение зачастую наносит намного
больший урон. Взять хотя бы обновления безопасности или новые версии. Всем
администраторам хорошо известно, что их установка порой приводит к
трудноразрешимым конфликтам, потерям данных, а то и полному краху операционной
системы!
Аналогичным образом дела обстоят с кручением настроек, смысла которых
администратор до конца не понимает и действует методом тыка. Одно неверное
движение руки — и система отказывается загружаться, а чтобы поднять ее,
требуются знания и квалификация, вырабатываемые только в борьбе с вот такими
взлетами и падениями. По книжкам всего не выучишь… И здесь виртуальные машины –
незаменимы.
Просто устанавливаем систему со всеми приложениями и сервисными службами на
VMware/Virtual PC/VirtualBox/etc, и все новые заплатки, обновления, настройки, в
первую очередь, обкатываем на гостевой операционной системе, наблюдая за ее
реакцией. Если полет нормальный — переносим изменения на основную машину. Если
же нет — соображаем, что здесь не так, и где косяк.
Итого
Виртуальные машины открывают практически неограниченные возможности для
экспериментов. Главное — правильно ими воспользоваться, предусмотрев максимум
возможных побочных эффектов и разработав план по их устранению.
Полную версию статьи
читай в октябрьском номере
Хакера!
Биология и Медицина, Экономика и Финансовая Математика, Гуманитарные науки
| Вход Регистрация | Donate FAQ Правила Поиск |
Лучшая защита от вирусов - одноразовые компьютеры? (про VM)
| На страницу 1 , 2 След. |
|
| | ||
VM может быть одним из эшелонов обороны. Но, поскольку VM обычно общается со средой функционирования, нет гарантии ее невыхода. Конечно, если VM отформатирует виртуальный диск, вреда не много. Но уповать только на VM я бы не стал. Например, у Вас могут украсть регистрационную информацию, даваемую на вполне законных сайтах. В том числе, и достаточно конфиденциальную. |
| Заслуженный участник |
 |
695
Ярославль
| Заслуженный участник |
 |
Спасибо еще раз, незваный гость , за оперативную реакцию. Воспользоваться, конечно, может, только вряд ли он рассчитывал на это (ну не будет вирусописатель отдельно разбирать случай, когда вирус попал на VM - они же непопулярны). Все-таки интереснее случай, когда вирус пользуется какими-нибудь командами/вызовами, на которые производитель не рассчитывал, и при выполнении обычного "боевого задания" случайно вылазит из VM в реальный мир. Принципиально ли это невозможно? То есть существует ли последовательность команд (по моимHO , очень низкоуровневых), которые выведут программу на соответствующий объект в реальной системе, а не в виртуальной? Короче, я много хОчу, видимо.
А и еще мысль - та же VMware позволяет ведь машинам работать на реальных дисках (есть такой вариант, с пометкой "для опытных пользователей")
| Заслуженный участник |
|
Я не очень понимаю, что именно Вы имеете в виду.
Может ли последовательность команд дать доступ к внешним объектам? Вероятно, да, но эта последовательность ищет дыру в VM. Нормально программа не должна ощущать разницы между VM и реальным железом — при условии, что она работает в ОС. Но сам ОС — дело другое. В частности, на VM часто устанавливают специализированные драйверы, которые (через специализированный интерфейс супервизора/хапервизора) общаются со своими протагонистами несущей системы.
Использование реальных дисков: это тоже форма виртуализации. Доступ к диску все равно виртуализируется, но убирается слой ПО, превращающий работу с диском в файловые операции хозяина, и, потом, опять в дисковые операции. Просто хозяин позволяет транслировать запросы в операции с реальным диском (обычно не монтированном в хозяине, иначе выйдет чепуха).
Короче понятно что ничего не понятно.
Ну я пытаюсь понять как это работает, как пишут такие программы. То есть на каком уровне сидит VM между запущенными в ней <ОС или процессами>и реальной системой.
Добавлено спустя 23 минуты 34 секунды:
То есть чем процессы внутри VM отличаются от процессов снаружи?
| Заслуженный участник |
|
Вооо, спасибо, незваный гость . Вот примерно то, про что я спрашивал:
(из первой ссылки)
То есть вылезание за VM обычно реализуется на железе, но при отсутствии железа ничего нет лучше, чем просто пытаться предусмотреть все возможные методы вылазинья и следить, какие команды исполняются и корректировать их. И теоретически, стало быть, можно представить, что некий вирус привык пользоваться некой командой, которая случайно оказалась непредусмотренной.
Или нет? Или там все схвачено? Но это уже никто не ответит, поскольку это вопрос типа "допустили ли разработчики ошибку".
Спасибо, буду дальше разбираться.
 |
322
Буково
 |
179
Хижина дяди Тома
