Перейти к содержанию
AM_Bot

Вышел антивирус Symantec Endpoint Protection с поддержкой безопасности VMware vShield

Recommended Posts

Кирилл Керценбаум
Ваш пост номер 10, с картинкой иллюстрирующей работу доп фичи Симантека, называемой Insight Cache.

Но даже на этой картинке есть слова "Security Virtual Appliance" и VMware vShield, последний причём представлен в ввиде шины передачи данных.

Забавно. А вы знаете откуда эта картинка? Документ называется Symantec Endpoint Protection and Symantec Network Access Control 12.1.2 Installation and Administration Guide, вот и все. И изучил я его, потому что уже почти обрадовался что Symantec наконец-то тоже сделал полноценный продукт, но быстро понял что это не так

Это ключевой момент, если выяснится, что процесс сканирования и обновлений происходит в каждой отдельно взятой машине т.е. классическим способом, то я с вами соглашусь, посыплю голову пеплом и скажу, что не прав:) Правда тогда я в упор отказываюсь понимать, зачем было вообще использовать VirtualAppliance и устанавливать модули vShield'а.

Вот об этом я вам и говорил битые часы. Найдете что это не так - я только обрадуюсь, но только к сожалению не найдете

За сим вопрос считаю закрытым, откланиваюсь :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dr. Faust

Знаю, Кирилл, более того ссылки на него я давал чуть ранее.

Вот об этом я вам и говорил битые часы. Найдете что это не так - я только обрадуюсь, но только к сожалению не найдете

К сожалению, Кирилл, сам факт установки модуля vShield Endpoint, где используется VMware API, тонко намекает, что это не так. Так что вопрос остаётся открытым.

Спокойной ночи:)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Dr. Faust, похоже ваши надежды, что Symantec неправильно поняли, не оправдываются. Обратимся к первоисточнику. Читаем официальный release notes:

http://www.symantec.com/business/support/i...p;id=HOWTO81091

Symantec Endpoint Protection includes the following virtualization improvements:

A VMware vShield-enabled Shared Insight Cache. Delivered in a Security Virtual Appliance, you can deploy the vShield-enabled Shared Insight Cache into a VMware infrastructure on each host. The vShield-enabled Shared Insight Cache makes file scanning more efficient. You can monitor the Security Virtual Appliance and client status in Symantec Endpoint Protection Manager.

See What do I need to do to use a vShield-enabled Shared Insight Cache?.

For managing Guest Virtual Machines (GVMs) in non-persistent virtual desktop infrastructures:

Symantec Endpoint Protection Manager includes a new option to configure the aging period for offline non-persistent GVMs. Symantec Endpoint Protection Manager removes the non-persistent GVM clients that have been offline longer than the specified time period.

Symantec Endpoint Protection clients now have a configuration setting to indicate that they are non-persistent GVMs. You can filter out the offline non-persistent GVMs in the Clients tab view in Symantec Endpoint Protection Manager.

По-моему тут говорится только про Shared Insight Cache, работа с которым и вынесена на уровень Security Virtual Appliance. Все стальное - это домыслы, ничего про это нет. Вероятно, просто не сделали еще по-нормальному поддержку vShield.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dr. Faust

Давайте обратимся.

Вот например там же в прошлых пресс-релизах:

и ещё

Продукт новый, а хорошей документации в открытом доступе у Симантека не было никогда.

По-моему тут говорится только про Shared Insight Cache, работа с которым и вынесена на уровень Security Virtual Appliance. Все стальное - это домыслы, ничего про это нет. Вероятно, просто не сделали еще по-нормальному поддержку vShield.

Возможно и не сделали, надо проверять короче говоря. Shared Insight Cache, это дополнительная и не обязательная фича, и вообще может работать через HTTP, зачем её тогда в аплайнс пихать?

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Олег Шабуров

Друзья,

или враги, если такие тоже читают эту ветку))))))))))))

отвечу от лица Symantec. Можете считать официальным заявлением).

начну с одного момента, который не порадовали мой ранимый слух.

Сказать, что Symantec ничего не делал первые несольколько лет не правильно. У нас уже давно существуют технологии, которые позволяют оптимизировать работу антивирусных технологий в виртуальных средах. В том числе это и возможность не сканировать те файлы, которые уже сканировались на других машинах (технология Shared Insight Cache) и технология Virtual Image Exception. Я лично обожаю первую из этих двух. Мало того, что она позволяет существенно снизить нагрузку на гипервизор, но и вообще на всю инфраструктуру вцелом (т.к. можно и нужно использовать и на физической инфраструктуре...).

но сейчас не об этом. Использование этой технологии позволяет избавиться от повторных сканирований, но все еще требует доставки обновлений на каждую машину и установку агента. Поэтому мы создали дополнительные технологии....

В версии 12.1.2 была выпущена возможность защиты сигнатурными методами через vShield Endpoint. Это и есть возможность использования сигнатурных методов без установки агента на каждую виртуальную машину. т.ч. для тех машин, где присутствует необходимость только в сигнатурных методах, там можно обойтись и без агентов. Другой вопрос: достаточно ли их сейчас? для клиентских машин явно нет. нужны и поведенческие методы, и репутационные и многое другое. Без агента в этом случае не обойтись. Т.ч. для VDI я бы порекомендовал агентов ставить, но использовать возможности, которые предоставляет гипервизор.

т.ч. используйте оптимальные комбинации и будет вам счастье.

С теми, кто все еще считает, что наше решение для виртуальных сред (в том числе VMware) неполноценное и в чем-то уступает конкурентам, готов обсудить в полном масштабе. Только давайте это сделаем после нового года. А то устраивать баталии в самое активное время года не хочтется.

Кирилл, отельное удивление относительно твоего напора))). Всегда был уверен, что это не в твоем стиле рассказывать сказки про конкурентов.

ты действительно веришь, что в версии 12.1.2 обсуждаемый функционал не реализован?))))))

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

Олег, ну наконец-то хоть ты внес ясность. Оптимизация оптимизацией, это дело несомненно хорошее, но ведь не это самое главное

Кирилл, отельное удивление относительно твоего напора))). Всегда был уверен, что это не в твоем стиле рассказывать сказки про конкурентов.

ты действительно веришь, что в версии 12.1.2 обсуждаемый функционал не реализован?))))))

Олег, дай плиз ссылку на документацию, буду только рад если ошибся:

What's new in Symantec Endpoint Protection 12.1.2

http://www.symantec.com/business/support/i...p;id=HOWTO81091

Где функция "agent-less protection for VMware vSphere with vShiled Endpoint technology"? Или какое-то другое название у нее? Зачем ее скрывать если она есть? Наоборот, нужно об этом говорить более широко

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Олег Шабуров
Олег, ну наконец-то хоть ты внес ясность. Оптимизация оптимизацией, это дело несомненно хорошее, но ведь не это самое главное

Олег, дай плиз ссылку на документацию, буду только рад если ошибся

не.... не правильно меня истрактовал.

полноценного продукта для защиты на безагентной технологии сейчас нет ни у кого. сам гипервизор не позволяет перенести все технологии защиты с виртуальной машины на гипервизор.

если называть то, что есть у других полноценными продуктами, то и у нас есть полноценный продукт)))))))).

другое дело, что мы рассцениваем это как недостаточный набор для обеспечения всесторонней защиты.

если хочешь - позвони, расскажу поподробнее.

ты забыл, что наша документация всегда доступна на сайте? да и сам уже ее упоминал:

http://www.symantec.com/business/support/r...e_SEP12.1.2.pdf

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

Олег, давай тогда сформулирую вопрос по другому, более конкретно: есть ли в новой версии Symantec Endpoint Protection 12.1.2 возможность не устанавливать агент Symantec Endpoint Protection 12.1.2 на виртуальные машины, но при этом осуществлять сканирование этих виртуальных машин в режиме реального времени и по запросу, на вирусы?

Да или Нет?

Если Да - то где в документации об этом написано?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Олег Шабуров
What's new in Symantec Endpoint Protection 12.1.2

http://www.symantec.com/business/support/i...p;id=HOWTO81091

Где функция "agent-less protection for VMware vSphere with vShiled Endpoint technology"? Или какое-то другое название у нее? Зачем ее скрывать если она есть? Наоборот, нужно об этом говорить более широко

Никто не скрывает. Почему не кричим на весь рынок? - вопрос хороший. но больше относится не к нам, а маркетинговой политике Symantec))).

Фича называется vSIC - т.е. это и есть виртуальный апплайнс, о котором говорили в этом топике уже много раз.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум

vSIC - это Symantec Virtual Shared Insight Cache? ОК, все понятно :)

И накакого напора нет, я просто провожу конкурентные исследования, хотел поставить Symantec ПЛЮС в графе "agent-less protection for vShield Endpoint", но вынужден оставить МИНУС. Вот и все B)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин
начну с одного момента, который не порадовали мой ранимый слух.

Сказать, что Symantec ничего не делал первые несольколько лет не правильно. У нас уже давно существуют технологии, которые позволяют оптимизировать работу антивирусных технологий в виртуальных средах. В том числе это и возможность не сканировать те файлы, которые уже сканировались на других машинах (технология Shared Insight Cache) и технология Virtual Image Exception. Я лично обожаю первую из этих двух. Мало того, что она позволяет существенно снизить нагрузку на гипервизор, но и вообще на всю инфраструктуру вцелом (т.к. можно и нужно использовать и на физической инфраструктуре...).

Видимо это относится к моему замечанию в начале темы. Поясню мысль. Нельзя говорить, что Symantec ничего не делал для виртуализации, конечно это неправильно. Но все относительно. Если смотреть на стратегию Trend Micro, например, и функционал недавно анонсированного Trend Micro Deep Security 9.0, то в таком контексте усилия Symantec явно выглядят недостаточными.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Олег Шабуров
Олег, давай тогда сформулирую вопрос по другому, более конкретно: есть ли в новой версии Symantec Endpoint Protection 12.1.2 возможность не устанавливать агент Symantec Endpoint Protection 12.1.2 на виртуальные машины, но при этом осуществлять сканирование этих виртуальных машин в режиме реального времени и по запросу, на вирусы?

Да или Нет?

Кирилл, слушай, только сейчас понял, что я сам заблуждался........признаю....... Тебе спасибо за то, что позволил понять это)

Внимание. Клиент нужен в любом случае. Давайте я возьму паузу на пару часов и потом все разложу по полочкам.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dr. Faust

Олег, когда будете раскладывать, ответьте пожалуйста, на два самых важных вопроса:

1. Где выполняеться поиск и детектирование вирусов и соответсвенно кто создаёт вычислительную нагрузку:

а. Только на Virtual Applianсе с использованием технологий vShield, с клиентами (читай виртуальными машинами) взаимодействует через гипервизорную прослойку, без использования стандартных сетевых протоколов доступа.

б. На каждом клиенте стоит антивирусный агент с стандартным антивирусным движком, порождающим вычислительную нагрузку на аппаратные компоненты, при этом нагрузку порождает каждая ВМ.

2. Где хранятся базы сигнатур и обновления для антивируса:

а. В модуле Virtual Appliance.

б. В каждой виртуальной машине обновления происходят отдельно, через стандартные протоколы сетевого доступа.

Насчёт агентов, как я уже говорил ранее коллегам, волшебных пузырьков у VMware нет, для того что бы взаимодействовать с гостевой ОС, в любом случае требуется агент, а как и с чем он устанавливается вопрос десятый.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Олег Шабуров

Итак, финальная раскладка:

1. Без агента обойтись не получится. Защита будет производиться только с установленным агентом.

2. Логичный вопрос: для чего используется интеграция с vShiled Endpoint?

Интеграция используется для взаимодействия агента SEP с сервером vSIC (это Secure Virtual Appliance (SVA), выполняющий функцию Shared Insight Cache, SIC). Если кто-то не знает, то SIC – это технология Symantec, позволяющая не сканировать файлы несколько раз. Серверу SIC поступает от клиента SEP хэш файла, в ответ клиент получает информацию о том, сканировался ли раньше этот файл или нет.

Зачем сделали эту коммуникацию через vShield Endpoint? причин несколько:

1. это задел на будущее, когда через vShield можно будет переносить на SVA больше технологий защиты.

2. это позволяет нам упростить привязку виртуальной машины к гипервизору, следовательно, и уменьшить сетевой трафик. Т.е. весь трафик между клиентом и сервером SIC не будет покидать гипервизор.

3. упрощает управление, мониторинг и контроль над клиентами, использующими технологию SIC.

по мере добавления возможностей у vShield и, естественно, нашего продукта, этот задел будет просто расширять.

Отвечая на вопросы Dr. Faust:

1. Сканирования производятся на виртуальных машинах, где установлены агенты. Нагрузка идет с каждой машины, а не с SVA. Но при этом хочется подчеркнуть, что общий I/O гипервизора будет меньше, чем при использовании безагентных технологий. Достигается это именно за счет использования агента, т.к. файлы не нужно зачитывать. Мы можем взять их хэш без зачитывания, а без использования агентов этого не добиться.

2. Обновления хранятся на агентах. SVA выполняет только функцию SIC. Единократное хранение обновлений для всего гипервизора стоит в роадмэпе, но об этом мне рассказывать подробно нельзя).

Финализируя, могу сказать, что я с уверенностью смотрю в сторону развития наших (т.е. Symantec) отношений с VMware. По тем событиям, что происходят, складывается впечатление, что наш путь - правильное движение, которое мы делаем вместе с VMware.

И на последок: не забывайте, что защита виртуальных сред - не только защита самих виртуальных машин. Куда большая часть стоит за защитой гипервизора и процессов, налаженных в компаниях при работе с гипервизорами.

Уверен, что многие и не слышали, что у нас появился новый продукт Symantec CCS Virtualization Security Manager. По мне, так это БОМБА! из самого сладкого:

- возможность реализации двойного контроля (т.е. дополнительного одобрения действия администратором безопасности или владельцем бизнес-процесса) для важных операций (например, остановка, удаление виртуальных машин)

- возможность использования меток для виртуальных машин (например, виртуальные машины, помеченные меткой PCI можно хранить и запускать только на одном ESXi-сервере, другие можно переностиь на остальные. Или к этим виртуалкам можно подключать только указанные виртуальные сетевые адаптеры и т.д.)

- можно сказать, что подключение по определенным протоколам с указанного диапазона IP требует двойного контоля, а с другого диапазона не требует.

- и много другого интересного.

а совсем, чтобы хорошо спалось: да и другие продукты для защиты гипервизора у нас есть. Если есть вопросы, то пишите или звоните. Расскажу.

спасибо всем, дочитавшим до конца мое сочинение......

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Олег Шабуров, спасибо большое за разъяснения так сказать из первых уст. Хорошо, что подключился к дискуссии.

Зачем сделали эту коммуникацию через vShield Endpoint? причин несколько:

Интеграция используется для взаимодействия агента SEP с сервером vSIC

....

Зачем сделали эту коммуникацию через vShield Endpoint? причин несколько:

1. это задел на будущее, когда через vShield можно будет переносить на SVA больше технологий защиты.

..

Что и требовалось доказать. Подозреваю, что в следующей версии SEP будет все уже по-взрослому, так как технологическая основа для работы на уровне гипервизора уже сделана.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Кирилл Керценбаум
Но при этом хочется подчеркнуть, что общий I/O гипервизора будет меньше, чем при использовании безагентных технологий

Олег, это не так, такого в природе быть не может - чтобы безагентная технология задействовала больший I/O, чем агентная. Иначе, VMware не вкладывала бы столько ресурсов в развитие vShield технологии:

- чтобы снять хеш - тоже нужно произвести операцию чтения файла, каждый раз;

- не все файлы будут пропускаться всегда;

- обновление АВ баз требует огромного I/O.

Но в любом случае, спасибо за то что разобрался и все разложил по полочкам. Ждем следующей версии уже с полным задействованием vShiled Endpoint :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Олег Шабуров

всегда рад поучаствовать в хорошей беседе.

Подозреваю, что в следующей версии SEP будет все уже по-взрослому

да и сейчас по-взрослому. по взрослому - это нормально защищать. а не идти на поводу у красивых слоганов)

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dr. Faust

Ну что ж, как и обещал - посыпаю голову пеплом.

Кирилл, признаю был не прав, касательно возможностей Симантека выносить сканирование в аплайнс.

Олег, вам спасибо, за проведённую работу, разъяснения и комментарии.

В будущем хотелось бы видеть полноценный вынос операций сканирования в отдельный модуль.

Насчёт того, что в текущем состоянии дисковых операций всегда будет на порядки больше, соглашусь с Кириллом.

В случае VDI всё усугубляется применением, например, технологии Linked Clone.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Олег Шабуров
такого в природе быть не может - чтобы безагентная технология задействовала больший I/O, чем агентная. Иначе, VMware не вкладывала бы столько ресурсов в развитие vShield технологии:

- чтобы снять хеш - тоже нужно произвести операцию чтения файла, каждый раз;

- не все файлы будут пропускаться всегда;

- обновление АВ баз требует огромного I/O.

Кирилл, "невозможное возможно". Скучаю по этой рекламе от Адидаса.....

эволюция vShild на самом деле неплохая. От версии к версии становится все лучше и лучше. Может, как-нибудь и научатся получать хэш не зачитывая файлы. а пока не умеют.

а мы умеем)))).

да и вы тоже умеете, когда работаете с агентами). Именно поэтому повторные сканирования файлов происходят быстрее даже после перезагрузки машины. Но делать это можно только на NTFS.

Обновления баз, несмоменно, требуют I/O. Но не огромного. В любом случае не сравнимого с зачитыванием всех файлов при сканировании системы)))). Единственный варинат, когда это актуально - это non-persistent VDI. Поэтому мы работаем над этой темой. В следующей версии у нас будет возможность хранения сигнатур на SVA.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×