Використання Symantec Endpoint Protection для віртуальних інфраструктур
Автор: Олександр Самойленко
Дата: 08/09/2014

Symantec Endpoint Protection 12.1 вдає із себе корпоративне рішення щодо захисту кінцевих точок від різних загроз: вірусів, мережевих атак і атак нульового дня. До складу технологій захисту входять антивірус, мережевий екран, система запобігання вторгнень, контроль пристроїв і контроль додатків.

Однією з ключових особливостей рішення є підтримка комп'ютерів, що працюють у віртуальних середовищах. У рішенні використовується традиційний агентський підхід, але є безліч механізмів оптимізації продуктивності в віртуальному середовищі. для того, щоб запобігти таким явищам як «скан-шторм» і не викликати одноразову навантаження на віртуальні підсистеми. На цих механізмах зупинимося трохи докладніше.

Virtual Image Exception

У віртуальному середовищі нові машини часто розгортаються з шаблону, наприклад Windows Server 2008 R2, всередині цього шаблону безліч системних файлів, які будуть однаковими для всіх віртуальних машин. Технологія Virtual Image Exception дозволяє виключити всі ці файли з антивірусних сканувань тим самим заощаджуючи ресурси і скорочуючи загальний час сканувань.

При підготовці шаблону Windows Server 2008 R2 ми запускаємо інструмент, який створює індекс хеш-сум всіх файлів на даній системі. Даний індекс завантажується на сервер управління Symantec Endpoint Protection Manager і поширюється на агенти.

Надалі, при запуску сканування на агента, всі співпадаючі файли будуть пропущені, а все невідомі файли просканувати. Це зменшує час сканування і знижує навантаження на віртуальну інфраструктуру. Якщо файл з шаблону змінюється, то змінюється і його хеш-сума і даний файл буде просканований в загальному порядку. Найкраще дана технологія відпрацьовує на однотипних віртуальних машинах і віртуальних декстопов.

Shared Insight Cache (SIC)

Якщо попередня технологія працює тільки для файлів усередині шаблону, то Shared Insight Cache може працювати для всіх файлів. Він представляє з себе сервер кешування результатів антивірусних сканувань всіх систем, пов'язаних з ним. Це дозволяє виключити повторне сканування файлів в межах всієї віртуальної середовища. Працює це таким чином.

Віртуальна машина A просканувала файл 1 і відправила результат сканування на сервер SIC у вигляді «хеш-сума файлу, дата і версія сигнатури, результат».

Віртуальна машина Б починає сканування файлів 1, 2 і 3, звіряє хеш файлів з сервером SIC і отримує результат, що файл 1 був просканований сьогодні, а файл 2 вчора, 3-й файл взагалі ніколи не сканувався. Відповідно, 1-й файл пропускається, а 2 і 3 скануються і інформація відправляється на сервер SIC.

Всі 3 файлу будуть пропущені при наступних скануваннях, але тільки до виходу нових антивірусних сигнатур, потім процес починається знову. Це дозволяє виключити повторні сканування файлів і знизити навантаження на віртуальні підсистеми.

Shared Insight Cache застосуємо як у всіляких віртуальних інфраструктурах (VMware, Hyper-V, Novell, Oracle) так і може застосовуватися на фізичних машинах. Взаємодія агентів з сервером Insight Cache йде або по IP протоколу, або через VMware VShield. В останньому випадку сервер Shared Insight Cache повинен бути встановлений у вигляді віртуальної машини на кожен гипервизор.

Також варто згадати, що в рішенні Symantec Endpoint Protection присутні і базові інструменти для роботи в віртуальному середовищі, такі як технологія запобігання одночасного запуску сканувань і оновлень, розпізнавання агентом типу віртуального середовища, облік ліцензій для VDI. Дані інструменти спрощують життя адміністратора, дозволяючи йому рівномірно розподіляти навантаження у віртуальному середовищі і управляти антивірусним захистом фізичної і віртуальної середовищ з єдиного рішення.

Всі ці технології за замовчуванням включені в ліцензію Symantec Endpoint Protection і не вимагають придбання додаткових ліцензій.

Пара відеороликів про продукт Symantec Endpoint Protection :

Завантажити пробну версію Symantec Endpoint Protection можна по цим посиланням .