Sophos Anti-Virus for VMware vShield: Was die Lösung kann – und was nicht

Verfasst am 31. Jul. 2013 von | Kategorie: Server-Virtualisierung, Sicherheit und Verschlüsselung

Sophos hat vor kurzem sein Portfolio um eine Anti-Virus-Engine für VMware vShield 5.1 erweitert.

Zweck dieser Engine ist es, zentral auf jedem VMware ESXi-Host eine virtuelle Maschine für den AV-Scan bereitzustellen. Dadurch wird die Last des Scans und des Update-Prozesses auf die VM ausgelagert und das eigentliche Gastsystem entlastet.

Für folgende Anwendungsfälle ist ein solches Konzept optimal:

  • Citrix XenDesktop
  • VMware View
  • Citrix Xen App (vor allem mit Citrix Provisioning Services)

Vorteile des Konzepts:

  • Keine Installation eines AV-Agenten im Gastsystem nötig
  • Keine Pflege des Golden-Image für den AV-Agenten
  • Entlastung des Gastes
  • Automatischer Schutz neuer VMs ohne Nacharbeiten: Eine neu bereitgestellte VM kann ohne einen Update-Prozess sofort mit den aktuellen Patterns geschützt werden

Dieses Konzept ist jedoch keinesfalls ein Allheilmittel 

  • Die Bereinigung von Threats ist sehr umständlich
  • Der Schutz-Level ist bei weitem nicht so hoch wie bei einem installierten AV-Agenten (Verhaltensüberwachung, etc.)
  • Overhead durch Anti-Virus ensteht dennoch, allerdings an anderer Stelle
  • Die Verwendung von Zusatz-Plugins ist nicht möglich:
    • Sophos AntiVirus for NetApp
    • Sophos PureMessage for Exchange
    • Sophos PureMessage for Lotus Domino
    • Sophos for SharePoint
  • Sophos-eigene Module außerhalb des reinen AV funktionieren nicht:
    • Application Control
    • Device Control
    • Web Control
    • Data Control

Was benötigen Sie zum Einsatz dieser Lösung?

  • VMware vCenter 5.1
  • VMware ESXi 5.1
  • VMware vShield Manager 5.1
  • Sophos Enterprise Console 5.1
  • Sophos Anti-Virus for Linux 9.2

Welche Gastbetriebssysteme werden unterstützt?

  • Windows 7
  • Windows Server 2008 R2
  • Windows Server 2008
  • Windows Vista
  • Windows Server 2003 R2
  • Windows Server 2003
  • Windows XP

 

Wie sieht das Ganze nun in der Praxis aus?

Hier erst einmal der konzeptionelle Aufbau mit allen relevanten Komponenten:

Aufbau

Wie verwalte ich diese Lösung?

Grundsätzlich muss zwischen den AV-Scan-VMs und den zu schützenden Gästen unterschieden werden.

AV-Scan VMs:

Diese werden wie „normale“ Sophos-Clients übe die Enterprise Console verwaltet.

EC-vShield

Ausschlüsse für Anti-Virus können auch wie gehabt gepflegt werden.

Einzelne Dateitypen:

Ausschluesse-Files

Oder ganze Pfade:

Ausschluesse-Pfade

Sogar ein zentraler Voll-Scan ist möglich:

Full-Scan

Leistungstechnisch stellt sich ein Voll-Scan dann so dar:

Leistung-Uebersicht

lab-sop-01: Sophos Management Server mit Thick Agent
lab-ssv-01: Sophos Scan-VM
Beide test00- VMs: VMs mit Thin-AV Agent

Die beiden geschützten VMs mit Thin-Agent haben nur minimal mehr Last beim Scan, die Scan-VM (rot) arbeitet aber mit Volllast.

Zum Vergleich sehen Sie orange dargestellt eine VM mit klassischem Scan-Agent beim Voll-Scan.

Hier noch einmal im Detail:

CPU-Last der Scan-VM während des Voll-Sans (2 Gäste werden gescannt)

Metric_Graph_147_473

 

Zum Vergleich einer der gescannten Gäste:

Metric_Graph_24_473

 

CPU-Last einer VM mit klassischem AV-Agenten während des Voll-Scans:

Metric_Graph_137_473

 

Festplatten-Nutzung einer VM mit klassischem AV-Agenten während des Voll-Scans:

Metric_Graph_137_423

 

Zum Vergleich einer der durch vShield gescannten Gäste:

 

Metric_Graph_24_423

 

Mein Fazit aus den Leistungdaten:

  • Die CPU-Last wird nahezu vollständig auf die vShield-VM ausgelagert
  • Festplattentechnisch wird zwar mit dem Thin-Agent eine etwas höhere Last erzeugt, der Vorgang ist aber wesentlich schneller abgeschlossen

Ich möchte auch nicht verschleiern, dass die vShield VM natürlich während des Scan-Vorgangs zusätzlich Netzwerklast erzeugt. Diese entsteht aber ausschließlich innerhalb des ESXi Hosts.

Metric_Graph_147_427

 

Diese Leisungswerte kann man in wesentlich kleinerem Maße auch auf dem On-Access Scanner abbilden. Sie sind aber nicht so eindeutig darzustellen.

 

Die zu schützenden VMs:

Grundsätzlich werden die VMs auf einem ESXi-Host automatisch geschützt, wenn folgende Voraussetzungen erfüllt sind:

  • Host wird durch vShield Manager verwaltet
  • vShield Endpoint Agent ist auf dem ESXi Host installiert
  • Sophos Anti-Virus for VMware vShield VM ist registriert

vShield-Hoststatus

In der VM ist der vShield Treiber (Thin-Agent) installiert.

VMware Tools

Ob sich eine VM dann als geschützt meldet, können Sie im vShield Manager selbst einsehen:

vShield-Status

 

Wie gehe ich mit erkannten Threats um?

Als erstes ist es wichtig zu wissen, dass alle erkannten Threats an den Scan-VMs auftauchen:

EC-Threat-Uebersicht

In Detail können Sie dann sehen, welcher Gast betroffen ist:

EC-Threat-Detail

Für den Anwender stellt sich das Ganze wie folgt dar:

No-Access

Der Virus wird dann allerdings weder automatisch bereinigt, noch kann dies aus der Enterprise Console manuell geschehen.

Sie haben folgende Optionen den Threat zu bereinigen:

  1. VM neu provisionieren
  2. Threat manuell bereinigen
    • vShield Endpoint Thin Agent stoppen
    • Threat bereinigen (z.B. mit Sophos Virus Removal Tool)
    • vShield Endpoint Agent starten

 

Für weitere Fragen stehen wir Ihnen sehr gerne zur Verfügung.

 

Update, 21.01.2014:

Update zur Lizenzierung von Sophos

Ab dem 12. Februar ist Sophos Antivirus (SAV) für vShield nicht mehr in den folgenden Lizenzen enthalten: Enduser Protection, Enduser Data Suite und Enduser Web Suite. Diese Änderung betrifft ausschließlich Neukunden und Kunden, die ihre Lizenz verlängern. Wir haben uns zu diesem Schritt entschlossen, um unsere Preise besser an die der Konkurrenz anzupassen, neue Verkaufsgelegenheiten zu schaffen und die Nachfrage nach Sophos Antivirus für vShield besser verfolgen zu können.

In den Lösungen Complete Security Suite und Sophos Server Protection bleibt SAV für vShield auch in Zukunft enthalten. Kunden können SAV für vShield aucheinzeln erwerben, also pro virtuellem Server (d. h. pro Gast) oder pro VDI-Benutzer.

Tags: , , ,

Unser Newsletter informiert Sie über neue Beiträge in unserem Blog.

Ihre E-Mailadresse:

4 Kommentare
Hinterlassen Sie einen Kommentar! »

  1. danke für den Blog

    für unsere VDI Umgebungen klang vShield sehr attraktiv, nach diesem Blog bin ich mir nicht mehr so sicher ob ich es aktuell einem Kunden empfehlen kann.

  2. Hallo Herr Haensch,

    für eine VDI Umgebung ist es definitiv ein sehr interessantes Konzept.

    Woraus schließen Sie genau, dass diese Lösung nicht zu empfehlen ist?
    Unseren Ergebnissen nach gibt es in VDI Lösungen nicht viel, was dagegen spricht es einzusetzen.

    Was für eine VDI Lösung setzten Sie ein, und sind Ihre VDI`s statisch oder stateless?

  3. Hallo Markus,
    wirklich sehr schön bis ins kleinste Detail unter die Lupe genommen und dargestellt. Großes Lob von Herstellerseite für die außerordentliche Arbeit!

    Weiter So!

    Grüße

    Mario

  4. […] AntiVirus Lösung vShield für VMware-Umgebungen wird im Herbst ein Update auf Version 2 bekommen. Diese Version beinhaltet die Möglichkeit, […]

Hinterlassen Sie einen Kommentar!


9 − = zwei