So in this sort of "protected" private datacenter scenario where 95% of the users access the servers from client tools, and there is little to no public exposure, is there a strong case for running A/V clients on all of our back-end servers?
Não é verdade, não. No entanto, geralmente se resume a uma questão de "conformidade" ou porque alguém que acredita que executar AV em todos os seus servidores particulares é como a "segurança" é criada.
Dito isto, não é uma má ideia ter pelo menos análises anti-vírus ocasionais em todas as suas máquinas, independentemente da forma como bem protegido ou isolado você pensa eles são, e há um strong argumento a ser feito para esta prática.
Por coincidência, a maneira mais fácil de obter verificações AV regulares em todas as suas máquinas é ter um cliente AV leve instalado em todas as suas máquinas. (Novamente, "all" significa "all" e inclui os servidores "protected", "private" que você menciona.) Depois de aceitar que todas as suas máquinas devem ter um cliente AV, é necessário configurar os clientes antivírus. de interferir com seus servidores.
Pessoalmente, prefiro lidar com isso tendo um cliente AV em todos os meus servidores e desabilitando a parte de verificação em tempo real de proteção / acesso em todos os servidores para os quais é seguro fazer isso, enquanto deixo as verificações de vírus agendadas intacto (ou ajustar o horário conforme necessário). Isso estabelece um equilíbrio entre o desempenho do servidor e a proteção contra vírus. Servidores que são strongmente interagidos com os usuários ou conectados à internet obtêm a política antivírus completa, é claro.