1ого марта в Москве проходила конференция посвященная безопасности корпоративных сетей. Увы мне на ней побывать не удалось, но поднятый вопрос я считаю актуальным и предлагаю Вам, мои читатели, высказать свои идеи и решения.
В последнее время большое количество крупных фирм переводят свои системы не просто на виртуальную основу, а делают рабочие места виртуальными машинами-однодневками. И именно у таких машин и возникает нижеописанная проблема с антивирусом.
Но обо всем по порядку. Допустим компания решила перенести сервера в виртуальную среду. Дело обычное, для решения используются самые стандартные средства типа Hiper-V, Xen или VMWare Sphere.Но ведь можно пойти дальше. Возьмем к примеру VMware ESXI. Виртуализовать же можно не только сервера, но и рабочие станции. Чем это удобно? Ну например тем, что настроив одну виртуальную машину ее можно клонировать хоть 100 хоть 1000 раз, соответственно добавление нового рабочего места в сети занимает гораздо меньше времени. А если учесть еще и возможность откатывать виртуальную машину до снепшота, то мы получаем почти «неубиваемое» рабочее место.
Именно этот метод и используют крупные компании. Сотрудник приходит на работу включает компьютер и подсоединяется к созданной специально для него виртуальной машине, я например использую VMWare. Работает используя установленные на ней приложения и в конце рабочего дня при выключении компьютера эта виртуальная машина или уничтожается чтобы на следующий день из образца создать новый клон, или откатывается до последнего снепшота.
А теперь представим, что на момент создания образца виртуальной машины мы установили на нее антивирус. Было это ,допустим, 1-ого марта. Дадим системе поработать, ну например пол года, и вот включаем с утра свежую виртуальную машину, и первое что мы видим — антивирус лезет в интернет за обновлениями. Скачаем обновления за пол года и вечером выключим компьютер, но на следующий день наша снова свежая виртуальная машина снова начнет скачивать эти обновления.
Давайте также вспомним, компания у нас крупная, а соответственно таких виртуальных машин у нас не одна и даже не пять, а сотни и тысячи и все они по утрам полезут обновляться. Проблема действительно актуальна и есть над чем задуматься.
Поэтому предлагаю Вам, мои уважаемые читатели, также поразмыслить над этой проблемой. Виртуальная среда может быть любая, неважно VMware или Oracle, я думаю такая проблема есть у всех. Жду ваших предложений и комментариев.
Если машина откатывается или уничтожается, то стоит ли на ней вообще держать антивирус? Можно использовать корпоративные решения централизованного управления антивирусами и с этих серверов обновлять намного быстрее клиентские машины… Периодически производители антивирусов выпускают новые билды софта и соответственно интегрируют в них базы, которые были актуальны на день выпуска билда…
«Если машина откатывается или уничтожается, то стоит ли на ней вообще держать антивирус?» Разумеется стоит. Ведь с момента заражения и до момента отката мы имеем тогда полностью работающий вирус. Который может попробовать заразить не откатывающиеся машины по сети, накидать гадостей на шару (ведь рабочие станции откатываются, а результаты работы сотрудника должны сохранятся), слить инфу ,пасы, ну и вообще наделать чего-нибудь нехорошего, от чего вы еще не прописали защиту.
Обновлять машины с серверов управления антивирусом, конечно удобнее чем из интернета.. но все равно нагрузка на сеть, причем ежедневная и нехилая. Тогда уж целесообразнее периодически обновлять образа самих рабочих станций. Хотя это тоже довольно трудозатратно.
Вроде бы есть решения, который на уровне хоста виртуализации проверяют память виртуальных машин и их диски как файлы. Но мне пока не довелось пощупать такие решения, поэтому полную логику работы описать затруднюсь.