четверг, 20 февраля 2014 г.

Тестирование антивируса для vmware. McAfee MOVE AntiVirus.

На днях закончил тестирование безагентного антивируса для виртуальной среды vmware - McAfee MOVE AntiVirus.
Редакции VMware vSphere 5.5 начиная с редакции Standard поддерживают vShield Endpoint - модуль, обеспечивающий перенос обработки (проверки) файлов с виртуальных машин, в загружаемый модуль ядра Endpoint Security. vShield Endpoint позволяет сторонним производителям антивирусов интегрироваться с инфраструктурой виртуализации VMware vSphere. Антивирусное решение стороннего производителя, поставляемое в виде виртуального модуля (Virtual Appliance), устанавливается на каждый хост ESXi 5 и обеспечивает проверку виртуальных машин на вирусы.
Взаимодействие между виртуальной машиной защиты и инфраструктурой VMware осуществляется следующим образом:
1. Пользователь открывает, сохраняет ли запускате файл на защищаемой виртуальной машине.
2. Драйвер VMware vShield Endpoint Thin Agent перехватывает информацию об этих событиях и отправляет модулю VMware vShield Endpoint ESX Module, установленному на VMware ESXi.
3. Компонент VMware vShield Endpoint ESX Module передает информацию о полученных событиях библиотеке EPSEC, установленной на виртуальной машине защиты.
4. Виртуальная машина защиты проверяет файлы, с которыми работает пользователь, на наличие в них вирусов и других вредоносных программ.
Преимущества установки безагентного антивируса:


McAfee MOVE AntiVirus является как раз таким продуктом, который интегрируется vShield Endpoint. После его тестирования поделюсь впечатлениями о нем. Сразу скажу - они двойственны. С одной стороны понравилась простота установки и настройки, длительный период оценки полнофункциональной версии - 3 месяца. С другой же - совершенно не понравилась управление антивирусом. В управляющем ПО (ePolicy Orchestrator) видны лишь виртуальные машины защиты т.е. сами MOVE-AV, но совершенно не виды защищаемые объекты. Кроме того, для ознакомления с результатами работы необходимо проводить инициализацию связи ePolicy Orchestrator c клиентами (MOVE-AV) и только после этого становится доступным отчет об обнаруженных угрозах. Сам отчет тоже не впечатлил. Ну и еще один, существенный на мой взгляд недостаток - на данный момент отсутствует поддержка VMware vSphere 5.5. 

Для тех же, кто хочет попробовать данный антивирус, затрону порядок его установки.
1. Прежде всего устанавливается vShield Endpoint.
С версии vSphere 5.1 семейство продуктов vShield называется VMware vCloud Networking and Security. По ссылке Download VMware vCloud Networking and Security 5.5.0a  скачивается vShield Manager 5.5.0a в виде шаблона ВМ - файла OVA. Далее он устанавливается (Deploy OVF Template). Для настройки заходим в WEB-интерфейс по адресу, который указали при установке. Стандартный логин/пароль – administrator/default. Подключаем vShield Manager к Vcenter Server, после чего в главном меню Vcenter Server появится раздел vShield. Такая же вкладка появляется и у каждого хоста куда мы заходим и устанавливаем vShield Endpoint на каждый хост. После чего необходимо установить vshield driver из комплекта VMware Tools на каждую ВМ (по умолчанию он не ставится).
2. Порядок установки антивируса, в том числе и управляющего ПО, приведен в документе mva_300_product_guide_en-us, который доступен после скачивания ПО: 
Загружаем McAfee MOVE AV Agentless. Также загружаем ePolicy Orchestrator.

ePolicy Orchestrator устанавливается в ОС Windows. McAfee MOVE разворачивается из файла Мove-sva-3.0.0.ovf. Затем в ePolicy Orchestrator устанавливается расширение MOVE-AV-AL_EXT_3.0.0 (файл ZIP). Заходите в консоль Мove-sva и запускается мастер, который регистрирует ВМ защиты в ePolicy Orchestrator и vShield Endpoint Manager. Я смог зарегистрировать лишь при указании IP-адресов. Также хочу отметить, что несмотря на скурпулезное заполнение всех полей при разворачивании McAfee MOVE введенный пароль не сохранился и в консоль пришлось заходить с дефолтным: логин - svaadmin, пароль - admin.
Вызвать мастер всегда можно командой sudo /opt/McAfee/move/bin/sva-config.Затем в ePolicy Orchestrator создаются политики и в принципе все. Куда конкретно жать расписано в документации. Здесь порядок приводится лишь в ознакомительных целях для осознания так сказать объема возможных работ по инсталляции продукта.
Проверить какая на данный момент актуальная версия антивирусной и скачать DAT файл с базами можно по ссылке Обновления безопасности.









1 комментарий:

  1. А не пробовали ли вы тестировать антивирус Bitdefender? Насколько я знаю, он считается единственным конкурентом трендмикро, если использовать лицензирование по процессорам.
    Столкнулся с тем моментом, что только 2 эти антивируса так лицензируются. Все же остальные или по ВМ или по ядрам (как например касперский). Вообще не понятно зачем лицензировать по ядрам, бред какой то.

    ОтветитьУдалить