Tre modi per proteggere le macchine virtuali

Proteggere o non proteggere le macchine virtuali, questo era il problema. La risposta è sempre la stessa: proteggere!

Il problema principale è come proteggere.

In passato vi ho già parlato del concetto di antivirus senza agente per ambienti VMware. Tuttavia, le tecnologie non si fermano mai, si evolvono continuamente. Nella misura in cui si implementano i progetti di virtualizzazione e le aziende ne riconoscono i vantaggi, aumenta il numero delle app pensate a questo scopo e di conseguenza la domanda di protezione specializzata.

Naturalmente esiste un approccio specifico per le macchine virtuali, un altro metodo pensato per i database e un altro ancora per i siti web. Poi bisogna aggiungere il fatto che gli antivirus senza agente non sono gli unici a garantire protezione, così come l’ambiente VMware non è l’unica piattaforma virtuale, sebbene sia la più popolare.

Quindi, quali sono le alternative per proteggere le infrastrutture virtuali?

Senza Agente

Dunque “nelle precedenti puntate del mio Blog” vi ho fornito molte informazioni sull’argomento….

L’approccio senza agente ha bisogno di una macchina virtuale dedicata e di un motore antivirus. Collegandosi alle macchine virtuali attraverso la tecnologia VMware vShield, la macchina realizza una scansione alla ricerca di malware all’interno delle infrastrutture virtuali. vShield interagisce con il sistema di gestione dell’antivirus per conoscere le impostazioni e le politiche applicate, quando attivare o disattivare la protezione, come ottimizzare e così via.

Kaspersky Security for Virtualization - Agentless ImplementationUn’appliance virtuale di sicurezza protegge tutte le altre macchine virtuali

Sembrerebbe la cura di tutti i mali, tuttavia il concetto di “senza agente” ha un’unica difetto caratteristica: limita le funzionalità antivirus. L’interfaccia di vShield permette solo la scansione base dei file. In altre parole, impedisce il funzionamento delle seguenti tecnologie di protezione: Application Control, SystemWatcher, whitelist, l’euristica, device control e web control. Il risultato? L’analisi dei file viene ristretta: non c’è quarantena per i file sospetti, non si può accedere alla memoria né ai processi del computer.

Tuttavia, vShield non è stato disegnato per essere un’interfaccia completa e permettere tutte le funzionalità protettive. Però può essere usato (ne parleremo più avanti), ma c’è un altro modo grazie al quale possiamo applicare tutte le funzioni protettive..

… E qui è dove entra in gioco il Light Agent.

Un Light Agent (piccolo agente o agente leggero, leggero sulle risorse – per questo viene chiamato light agent) viene installato su ogni macchina virtuale protetta. Questo agente sostituisce vShield e collega la macchina virtuale al motore antivirus che si trova all’interno dell’appliance virtuale di sicurezza.

Abbiamo eliminato le limitazioni dell’interfaccia VMware aggiungendo un arsenale completo di tecnologie difensive “made by Kaspersky Lab”. Allo stesso tempo, abbiamo mantenuto i benefici derivanti dall’approccio senza agente: consumo ridotto di risorse, facile da gestire, stabilità nei confronti delle “storm” (inceppamento causato dall’attivazione simultanea degli aggiornamenti del database antivirus o dell’analisi malware su diverse macchine allo stesso tempo).

Kaspersky Security for Virtualization - Light Agent ImplementationUn’appliance virtuale di sicurezza protegge tutte le altre macchine virtuali (come sopra, con agente) + Su ogni macchina virtuale, un piccolo e leggero agente dà accesso a tutte le tecnologie di sicurezza

Nonostante il nome, Light Agent sarà sempre più pesante di una soluzione senza agente, motivo per cui è necessario avere molta memoria su ogni macchina virtuale, potenza del processore e altre risorse. Comunque i computer di oggi, con i suoi “mega-cavalli a vapore”, non danno grossi problemi; Light Agent influisce poco sulla performance del computer. Ma c’è un altro aspetto positivo: alcune operazioni standard dell’antivirus si eseguono più velocemente rispetto alla soluzione senza agente. Tuttavia, la cosa più importante è che Light Agent può rappresentare una valida alternativa ai normali antivirus e alle soluzioni di qualità che offrono sempre più funzionalità ai suoi utenti.

Ma che succede se vogliamo proteggere i dati su di una macchina virtuale non-Windows e sfruttare tutta la gamma delle tecnologie di protezione, tra cui la crittografia? In questo caso abbiamo bisogno di…

… una soluzione tradizionale di Endpoint Security.

Naturalmente sarà complicato installare un’intera infrastruttura virtuale, per non parlare della manutenzione e dei costi; una soluzione di questo tipo ha bisogno di molte persone, tuttavia ci sono situazioni in cui questo approccio è quello giusto.

Kaspersky Security for Virtualization - Full Agent ImplementationOgni macchina virtuale ha la sua propria protezione endpoint installata

Ma basta così: la teoria è finita, è ora di passare alla pratica…

// Ora, con molta modestia, farò un po’ di promozione alla nuova versione del nostro prodotto per ambienti virtuali.

Di recente, abbiamo rilasciato KSV 3.0. E ne andiamo davvero fieri.

In primo luogo, oltre a VMware, supportiamo ora Citrix XenServer e Microsoft Hyper-V.

In secondo luogo, oltre alla soluzione senza agente per VMware, ora esiste anche una soluzione con Ligh Agent per tutte e tre le piattaforme!

Inoltre, tutti i prodotti sono gestiti e controllati da una singola console che è particolarmente importante per ambienti multi-hypervisor.

E così, quali dei tre approcci è il più adeguato?

Beh, in linea di massima, possiamo dire che:

Con sistema operativo Windows, per una protezione ottimale e un’ottimizzazione della performance, è più adatto il Light Agent. Per altri sistemi operativi (Linux, OS X), è meglio un prodotto Endpoint. Tuttavia, tutto dipende dalla produttività e dall’interazione dell’antivirus con le funzionalità dello stesso ambiente virtuale.

Al momento, stiamo lavorando affinché l’approccio Light Agent funzioni anche con altri sistemi operativi. Se la produttività cala, il valore dei dati e del servizio non è alto e l’accesso ai dati “dall’esterno” dell’azienda è limitato, in tal caso si consiglia un approccio senza agente.

Abbiamo analizzato i compiti tipici delle applicazioni che usano la virtualizzazione e abbiamo elaborato la seguente (e curiosa) tabella:

Tavola Comparativa AV

* – Valore dei dati – Dipende dalla somma dei dati personali, finanziari, commerciali o altri dati sensibili

** – Valore dei servizi – Si considera l’importanza per l’azienda di un servizio senza interruzioni

La seguente tabella non è esaustiva, né vuole essere una presentazione chiara e definitiva circa i tre approcci virtuali e quale dei tre si adatta meglio a ogni ambiente. Ci possono essere cambiamenti rispetto all’organizzazione o alle priorità, alla configurazione IT e al budget. Lo scopo di questa tabella è identificare le minacce e gli approcci per definire poi compiti e priorità. Per maggiori informazioni, date uno sguardo a questo post e a questo PDF.

 

LEGGI I COMMENTI 0
Scrivi un commento
  • RT @kaspersky: Yara is an essential tool for every malware researcher. Here's 3 reasons why you need to master it - and now you can from yo…
    20 ore fa