仮想化プラットフォームのウイルス対策保護に関する簡単な説明

この記事では、仮想化されたウイルス対策保護について説明します。仮想化ウイルス対策と仮想化バックアップには、機能上大きな違いがあります。これら 2 つの製品はそれぞれ異なるセキュリティ レベルの保護を担当しますが、技術的な実装には多くの類似点があります。

まず、仮想化にウイルス対策ソフトウェアを導入する必要がある理由を理解しましょう。

[[230898]]

仮想化を初めて使用するユーザーは、次のような誤解を抱くことがよくあります。「仮想化の目的はセキュリティです。たとえば、仮想マシンがウイルスに感染した場合、仮想マシンのスナップショットを通じて直接過去の状態にロールバックできます。ウイルス対策ソフトウェアは役に立ちません。仮想マシンにウイルス対策ソフトウェアを導入すると、仮想マシンのリソースが過剰に消費されます。まったく不要です。」

しかし、そうではありません。

著者は自身の個人的な経験から2つの出来事を分析の例として挙げています。

ケース 1: 昨年、友人から連絡があり、ある企業が Hyper-V 仮想化プラットフォームを使用していたところ、仮想マシン ディスクの VHD ファイルがランサムウェア ウイルスによって暗号化されたと聞きました。仮想マシンを起動できず、スナップショットを使用できませんでした。分析の結果、Hyper-V ホストがランサムウェアに感染しており、後続のストレージ デバイス内のすべての VHD 仮想ディスク ファイルも感染していることが判明しました。

ちょうどこの記事を公開しようとしていたとき、寧夏の顧客が同じ問題に遭遇しました。仮想マシンのファイルが暗号化されていたのです。下の写真は昨日（5月8日）にお客様が感染した時のスクリーンショットです。

事例 2: 昨年、VMware 仮想化プラットフォーム上の大学の仮想マシンが EternalBlue の攻撃を受けました。仮想マシンの 1 つが攻撃を受けた後、ウイルスは VMware 仮想ネットワークを介して他の仮想マシンに拡散し、仮想マシン上で大規模なブルー スクリーンが発生しました。同時に、仮想マシンのリソース消費量が非常に高く、ESXi ホストのリソースがすぐに枯渇しました。お客様はVMwareデスクトップ仮想化を使用しており、問題発生後、スナップショットを数回リセットしたが効果がなく、短期間のうちに再び大規模なブルースクリーンが発生しました。

上記の 2 つの事例から、仮想化ウイルスの伝播特性は交差感染であることがわかります。交差感染には主に 2 つの種類があります。1 つは、ホスト マシンの最下層を介して仮想マシンのディスク ファイルに直接感染する方法です。もう 1 つは、仮想ネットワークを通じて拡散することです。

基盤となるホスト マシンを介して仮想マシンに感染するのは、主に準仮想化アーキテクチャを使用する仮想化プラットフォームで発生します。準仮想化プラットフォームは、オペレーティング システム + 仮想化レイヤー (例: Windows + Hyper-V、Linux + KVM) で構成されます。ウイルスは基盤となるオペレーティング システムに直接感染し、仮想マシンのディスク ファイルに大規模な損傷を与える可能性があります。

つまり、仮想化された環境でも、元の物理環境のリスクはすべて依然として存在します。同時に、以前の物理環境と比較して、基盤となるホスト マシンからの追加のリスクがあり、このリスクが企業に壊滅的な災害をもたらす可能性があります。問題は特定のサーバーだけの問題ではなく、すべてのサーバーに関係します。

また、仮想ネットワークを介したウイルスの拡散は、主に VMware に代表されるベアメタル展開アーキテクチャを備えた仮想化環境 (例: ESXI\Citrix の XEN など) で発生します。仮想化自体の特性上、ネットワーク構造がフラット化され、従来の境界防御デバイスでは仮想ネットワーク層内の脅威を検知することができません。したがって、従来のネットワーク セキュリティ デバイスは、仮想化ネットワークにおけるセキュリティの脅威に対処するのに基本的に効果がありません。仮想化ネットワークのセキュリティを保護するには、仮想化ネットワーク内から始めて脅威を認識する必要があります。

つまり、米国国立標準技術研究所のフレーズを借りれば、「セキュリティ上の脅威のある仮想マシンは、多くの場合、仮想化アーキテクチャ全体に影響を及ぼす」ということです。

仮想化システムの場合、多くのユーザーは現在、仮想化プラットフォームのセキュリティを保護するために、仮想マシンにウイルス対策ソフトウェアをインストールするという従来の方法を使用しています。

この方法は比較的簡単なようです。仮想マシンを従来の物理マシンとして扱い、ウイルス対策ソフトウェアのすべての機能を実現できます。同時に、顧客が仮想化にどのプラットフォームを使用するかを考慮する必要もありません。仮想化された仮想マシンが使用するオペレーティング システムを確認するだけで済みます。

しかし、実際には、従来のウイルス対策ソフトウェアは、仮想化などの新しいプラットフォームには適していません。主な理由は次のとおりです。

1. 「ウイルス対策ストーム」問題

ウイルス対策ソフトウェアがファイルのウイルス対策スキャンを実行すると、コンピューターのメモリと CPU の消費量が大幅に増加し、コンピューターの動作が遅くなる可能性があることは誰もが知っています。その理由は、ウイルス対策ソフトウェアがディスク上のすべてのファイルを走査し、ウイルス データベースと比較してウイルス ファイルを確認するためです。そのため、仮想化プラットフォームには多数の仮想マシンが存在します。多数の仮想マシンが同時にファイルウイルス対策スキャン タスクを実行すると、リソースの競合が発生し、ESXi ホストと仮想マシンのコンピューティング リソースの負荷が増加します。スキャン期間中にリソース消費の急増が発生し、仮想マシンとビジネスのパフォーマンスに影響を及ぼします。

2. 「保護ギャップ」問題

仮想化プラットフォームには多数の仮想マシンが存在します。各仮想マシンにウイルス対策ソフトウェアがインストールされている場合、導入が困難になります。仮想マシンがシャットダウンまたは一時停止されると、従来のウイルス対策ソフトウェアは役割を果たさなくなり (アクティブ防御が停止)、ウイルス データベースの更新が遅延されます。仮想マシンのロードが開始されてから、起動後にウイルス対策ソフトウェアが起動するまでの間、仮想マシンは実際には保護されていない状態にあり、セキュリティに時間的な抜け穴があり、保護が断続的に行われるという問題が発生します。

3. その他の問題。

従来のモードでは、各仮想マシンにウイルス対策プログラムとウイルス データベースをインストールする必要があり、スキャンと更新中に大量のコンピューティング リソース (CPU とメモリを含む) が消費されるだけでなく、大量のディスク領域も消費されます。また、仮想化の密度と効率が低下し、管理が不便になります。

近年、仮想化メーカーは、仮想化プラットフォームのセキュリティ問題がますます顕著になっていることにも気づきました。主流の仮想化メーカーは、ウイルス対策やファイアウォールなどの一連のセキュリティ機能について、サードパーティのセキュリティメーカー向けにセキュリティインターフェイスを次々とオープンしてきました。

現在市場で主流となっている技術は、エージェントレスウイルス対策技術です（これは、前回の記事で説明したエージェントレスバックアップ技術と非常によく似ています）。エージェントレス ウイルス対策は、実際にはエージェントレス バックアップと非常によく似ています。

VMware を例に挙げると、vsphere 6.0 より前、VMware はユーザーに vshield manager セキュリティ スイートを提供していました (VMware vsphere 6.0 は VMware NSX ネットワーク スイートに統合されていました)。ユーザーは、VMware 仮想化プラットフォームに vshield を導入した後、ESXi ホストでエンドポイント ウイルス対策プラグインを有効にすることができます。このプラグインは、サードパーティのセキュリティ ベンダー向けのウイルス対策インターフェイスを提供します。サードパーティのセキュリティ ベンダーは、各仮想マシンにウイルス対策クライアントをインストールすることなく、クラスタ内の各 ESXi に SVM (セキュリティ エージェント仮想マシン) を展開するだけで済みます。以下のように表示されます。

エージェントレスウイルス対策図

仮想化エージェントレスウイルス対策の利点は非常に明白です。まず、ウイルス対策ストームの問題を解決します。多数の仮想マシンでウイルス対策スキャンが必要な場合、主なスキャン負荷圧力が SVM 仮想マシンに集中するため、各業務仮想マシンのリソース負荷と ESXI ホストのリソース負荷が大幅に軽減されます。

エージェントレス アンチウイルスと従来のアンチウイルスのリソース消費の比較 (VMware より)

第二に、エージェントレスのウイルス対策の運用と保守方法は、各仮想マシンにクライアント プログラムをインストールする必要がなく、よりシンプルで導入が比較的容易です。同時に、すべての仮想マシンで使用するために各 SVM に一元化されたウイルス データベース エンジンが提供され、保護の中断がなくなり、ウイルス データベースの更新の問題が解決されます。最後に、仮想マシンの vmotion ドリフト テクノロジーもサポートされます。つまり、仮想マシンがドリフトした場合でも、それに応じて保護が行われます。

最後に、ほとんどのサードパーティ セキュリティ ベンダーは、ネットワーク仮想化保護テクノロジを統合し、仮想化ネットワーク内に IPS\IDS 仮想デバイスを展開し、仮想ネットワークの内部トラフィックをクリーンアップしてフィルタリングします。

そのため、エージェントレス モードは発売以来、多数の仮想化ユーザーに支持され、仮想化ユーザーにとって好ましいソリューションとなっています。ただし、エージェントレス モードでも、実際の操作では特定の欠点があります (エージェントレス バックアップの場合と同様)。

1. エージェントレスウイルス対策テクノロジーは、仮想化メーカーのウイルス対策インターフェイスに依存しており、実装される保護機能は限られています。それらのほとんどは、ファイルウイルス対策のみを実装できます。たとえば、アクティブ防御やネットワーク攻撃対策技術など、ウイルス対策ソフトウェアのもう 1 つの主要機能は、使用できません (仮想化メーカーのインターフェイス制限のため)。 (個人的な意見: アクティブ防御は非常に重要であり、未知のウイルスの検出とブロックはアクティブ防御メカニズムの保護に完全に依存します)。

2. エージェントレスウイルス対策ソフトウェアのバージョンアップは、仮想化メーカーに依存します。仮想化プラットフォームが更新されると (たとえば、ESXI5.5 から 6.0 に)、エージェントレス ウイルス対策ソフトウェアを再展開する必要がある場合があります。その理由は、仮想化プラットフォームの基盤となるセキュリティ インターフェイスが変更され、新しいインターフェイスが古いバージョンのウイルス対策ソフトウェアをサポートしていないためです。仮想化ベンダーが新しいバージョンをリリースすると、ウイルス対策ベンダーは新しいプラットフォーム用の新しいウイルス対策システムを開発できます。時差がかなりあります。そのため、エージェントレス モードのバージョン更新は従来のモードよりも遅くなります。できるだけ早く最新の VM バージョンにアップグレードしたが、対応するエージェントレス ウイルス対策システムの起動が遅れてインストールおよび展開できず、古いバージョンが新しいバージョンの仮想化プラットフォームをサポートできず、結果として仮想化プラットフォーム全体が保護されないというお客様によく遭遇します。

3. エージェントレス ウイルス対策の導入では、vShield プラグインのインストールが遅いなどの問題など、仮想化プラットフォーム上でウイルス対策インターフェイスが不安定になることがよくあります。

4. エージェントレスウイルス対策は VMware Tools に大きく依存します。多くのユーザーは、VMware Tools コンポーネントをインストールするときに標準インストールを選択します。エージェントレス ウイルス対策を使用する場合、VMware Tools をインストールするときに、仮想マシンで VMware Tools を完全にカスタマイズまたはインストールする必要があります。 VMware Tools の標準インストールのデフォルト コンポーネントには、エンドポイント ウイルス対策プラグインは含まれていません。したがって、以前に通常の方法で VMware Tools をインストールしたすべての仮想マシンを変更して再度インストールする必要があります。そうしないと、エージェントレス ウイルス対策は機能しません。

5. エージェントレス ウイルス対策 VMware の新しいバージョンの場合、エージェントレス ウイルス対策を使用するには、VMware に追加料金を支払う必要があります。 VMware vSphere 6.0 以降でエージェントレス ウイルス対策を導入するには、VMware NSX ネットワーク スイートのサポートが必要です。これは VMware から別途購入する必要があり、安価ではありません。

エージェントレス保護のこれらの欠点を解決するために、サードパーティのセキュリティ メーカーは、「ライト エージェント保護」と呼ばれる仮想化プラットフォーム向けの新しいウイルス対策保護ソリューションを提案しました。ライト エージェント ウイルス対策は、エージェントレス保護の低いリソース消費と従来のエンドポイント保護の広範な保護範囲を活用し、パフォーマンスと保護のバランスがより取れています。

ライト エージェント保護は、セキュリティ エージェント仮想マシンとライト エージェント クライアントで構成されます。従来のエンドポイント保護やエージェントレス保護に比べて優れている点は、ライト エージェント ウイルス対策では、ファイル ウイルス対策、電子メール ウイルス対策、Web ウイルス対策などのリソースを大量に消費するモジュールがセキュリティ エージェント仮想マシンに統合されていることです。ビジネス仮想マシン上のクライアントには、制御機能とホスト HIPS およびネットワーク攻撃対策機能のみを含む軽量エージェント プログラムのみがインストールされます。クライアントは軽量で、リソースをほとんど消費しません。また、セキュリティエージェント仮想マシンのモジュールと組み合わせることで、幅広い保護を提供します。

仮想化ライトエージェントウイルス対策図

エージェントレスと比較すると、ライトエージェントはパフォーマンスと保護の間の妥協点となるソリューションです。リソース消費量はエージェントレスよりもわずかに高くなりますが、従来のエンドポイント保護ソリューションよりも低くなります。保護範囲は、基本的に従来のエンドポイント セキュリティ製品の機能と同じです。同時に、仮想化メーカーのウイルス対策インターフェースに依存せず、仮想化プラットフォームのあらゆるバージョンをサポートでき、互換性も良好です。また、仮想化ベンダーから独立したセキュリティ スイートを購入する必要がないため、コスト効率が向上します。ただし、軽量プロキシ保護ソリューションにも欠点があり、主に軽量プロキシ クライアントの展開が比較的面倒であり、保護された仮想マシンに軽量クライアント プログラムをインストールする必要があるという点が挙げられます。ライトエージェントプログラムは小さいですが、大規模な仮想化システムにインストールして展開するのは比較的面倒です。

したがって、実際のプロジェクトでは、大規模な仮想化環境では、エージェントレス展開とライトエージェント展開を組み合わせて使用​​することが一般的に推奨されます。たとえば、サーバー仮想化ではエージェントレス保護が使用されます。これはパフォーマンスのリソースをあまり消費せず、実稼働ビジネスに役立ちます。デスクトップ仮想化環境では、保護範囲が広く、端末作業のシナリオに適したライトエージェント保護を使用できます。さらに、ライト エージェントを仮想マシン イメージ テンプレートとともにパッケージ化して生成し、バッチによる迅速な展開を完了することもできます。

従来のモード、ライトエージェント、エージェントなしの比較:

上記の紹介に基づいて、ユーザーは仮想化ウイルス対策製品を選択する際に次の側面を考慮することができます。

1. もちろん、ウイルス対策ソフトウェアを選択する際の基礎となるのは、ウイルス対策機能です。結局のところ、ウイルス対策ソフトウェアはウイルスを殺すために使用されます。ここで考慮すべき要素としては、ウイルスデータベースのサイズ、更新速度、未知のウイルスを防ぐ能力、新しいウイルスを発見した後の対応能力などが挙げられます。私たちのような一般ユーザーにとっては、ウイルス対策機能について正確な判断ができない可能性があるため、いくつかの国際的に有名な評価機関の評価レポートを参照することができます。例: AV-TEST、VB100、AV-Comparatives など。ウイルス対策ソフトウェアは他のアプリケーション ソフトウェアとは異なります。機能が多ければ良いというものではありません。代わりに、ウイルス対策機能の強さに依存します。これは、将来的にウイルスを防止できるかどうかの重要な指標です。

2. 仮想化には特別なソリューションが必要です。仮想化ウイルス対策製品は、エージェントレスとライトエージェントの両方をサポートし、認証はユニバーサルである必要があります。ユーザーは、非普遍的な認証によるユーザーによる二次消費を回避するために、実際の状況に応じていつでも展開モードを調整できます。

3.マルチプラットフォームのサポート。仮想化製品は、一般的な VMWARE\CTRIX\HYPER-V\KVM などのさまざまな仮想化プラットフォームをサポートする必要があり、将来仮想化プラットフォームが変更されたときに無効な認証による二次消費を回避するために、認証ファイルは汎用的である必要があります。

4. ローカライズされたサービス機能。諺にあるように、聖人より一歩先を行く悪魔は常に存在する。ウイルス対策ソフトウェアの技術的原理から、まずウイルスがあり、その後にウイルス対策ソフトウェアがあることがわかります。すべてのウイルスを除去できることを保証するウイルス対策ソフトウェアはありません。そのため、ユーザーのセキュリティを最大限に高めるためには、サービスを組み合わせる必要があります。

5. 費用対効果。上記のウイルス対策機能と性能を満たすことに基づいて、価格要因を比較します。上記の要素を考慮せずに単純に価格を比較しても意味がありません。