É possível ter um único programa antivírus para muitas VMs?

Navegue suas respostas
6

Desculpe se estou fazendo uma pergunta idiota.

Geralmente usamos um servidor físico e criamos várias máquinas virtuais nisso. (Estou abordando o cenário mais simples) Os sistemas operacionais e as configurações de cada máquina virtual podem ser diferentes. Mas o "Proprietário" real de todos os recursos é a máquina física de base. Como exemplo, cada VM usa a mesma memória física conectada ao servidor físico e apenas cria os discos virtuais no disco rígido do servidor físico.

Agora, minha pergunta é: Por que não podemos implementar um mecanismo antivírus que seja executado apenas no servidor físico? Se assim for, não precisamos ter programas antivírus separados para cada VM. (A máquina física tem acesso à memória, espaço em disco que as VMs estão usando)

    
por Chathuranga Chandrasekara 23.05.2009 / 18:02

6 respostas

5

O principal problema é que o sistema operacional hospedeiro não necessariamente compreende os componentes internos do sistema operacional convidado - ou seja, ele não sabe quais processos estão sendo executados no sistema operacional convidado ou até mesmo no layout do sistema de arquivos. Normalmente, o sistema operacional host vê as máquinas virtuais apenas como uma caixa preta usando uma certa quantidade de memória, uma imagem de disco / partição e alguns ciclos de CPU.

Mas, para implementar um programa antivírus eficaz, você precisará ter acesso aos detalhes do processo e às informações do arquivo (e essas informações só estarão disponíveis dentro da máquina virtual).

    
por 23.05.2009 / 22:09
4

Pouco tarde para essa parte em particular, mas o produto vShield Endpoint da VMWare quando combinado com terceiros específicos Os dispositivos virtuais de terceiros (como o Sophos Endpoint ) permitem que uma única VM central lidar com todas as operações de antivírus para um farm de VM inteiro.

    
por 09.07.2012 / 13:30
2

Os programas antivírus operam no nível do arquivo, ou seja, em todos os acessos ao sistema de arquivos (abertos, lidos, gravados, etc) que intercedem na solicitação e os filtram de acordo com suas diversas regras. Por exemplo, verificar o conteúdo do arquivo para assinaturas virais, se for um executável.

Os hosts da Máquina Virtual operam no nível da CPU, ou seja, intercedem em seu Sistema Operacional Convidado quando o SO faz algo muito baixo e precisa ser emulado para preservar o estado da VM. O software Host VM ignora o funcionamento real do Sistema Operacional Convidado e opera simplesmente para continuar a ilusão de que o Sistema Operacional Convidado está sendo executado em hardware real (isso não é estritamente verdadeiro, existem várias ferramentas para permitir o acesso do SO Convidado ao sistema operacional). Host OS, drivers de ferramentas VMWare, por exemplo).

A única maneira de isso funcionar seria um driver carregado no Sistema Operacional Convidado que delegasse o controle em cada acesso à VM Host e daí para um programa antivírus de espaço do usuário em execução no host. O resultado dessas operações teria que ser propagado de volta para o sistema operacional convidado a ser aplicado pelo sistema operacional para evitar a corrupção do convidado e do host, modificando as estruturas do disco simultaneamente.

Assim, no final do dia, você teria uma cópia do seu software antivírus executado externamente ao sistema operacional convidado, mas precisaria se comunicar com todos eles (em uma propriedade muito complicada) para alcançar o que uma solução antivírus tradicional Faz.

Nem sequer abordamos a execução de vários sistemas operacionais heterogêneos na mesma VM host, atualizações nesse serviço AV compartilhado, migração de VM entre hosts físicos, etc.

Eu duvido que a solução acima mostre ser tão eficiente quanto um serviço AV tradicional executado dentro do sistema operacional convidado. Qual foi a sua motivação para fazer esta pergunta?

    
por 24.05.2009 / 12:53
2

Você não mencionou qual vendedor de tecnologia de VM estava usando, mas isso é algo que surgiu como uma solicitação de produto no lado do VMware, e acredito que esteja pronto para ser arquitetado na próxima versão de seu metal "produto, vSphere.

link

Essa é a página principal do produto para essa tecnologia. Você pode olhar para a pequena demonstração chamativa para ver um pouco mais de como isso funcionaria, mas, como sugeriu, a camada de hipervisor pode permitir que um 'appliance' vmsafe (apenas outra VM no DataCenter) monitore todos os componentes de hardware virtual (rede, CPU, RAM, disco) para evidência de malware e excluir antes que se torne um problema.

Muito legal, mas somente se você estiver executando o VMware, e bem, o produto ainda não está totalmente lançado, de qualquer maneira!

Bons pensamentos.

    
por 26.05.2009 / 23:23
2

Não tenho certeza se isso é uma questão teórica ou prática ...

Teoricamente, é possível, embora não haja fornecedores de antivírus que ofereçam essa funcionalidade. Praticamente, os aplicativos antivírus em nível de arquivo causarão problemas com a capacidade do sistema operacional de acessar arquivos importantes, como os próprios VHDs (essa situação é semelhante ao Exchange ou SharePoint ou muitos outros aplicativos de servidor) e você precisa excluir arquivos específicos. digitalizada por AV.

Para uma resposta oficial, esta pergunta foi respondida por Ben Armstrong (um dos desenvolvedores do Hyper-V) aqui: link

    
por 27.05.2009 / 17:18
0

Não é realmente um verificador de vírus, mas o BlockWatch (baseado em lista branca, verificador de integridade de memória) funciona assim, pesquisando as VMs em execução , capturando instantaneamente ou salvando o estado e validando a memória alocada para esse convidado. Funciona em sistemas operacionais Windows 32 e 64 bits.

    
por 21.04.2011 / 14:11

Tags

Como eu migro de uma micro para uma pequena instância via console ec2 sudo: deve ser root setuid (Mac OS X)