Ряд производителей безагентских антивирсуных решений для VMware, понимая ограничения возможностей API vShield Endpoint, - выпускают легкие агенты, которые позволяют лучше защищать виртуальные машины. Компания Symantec в данном случае избирает другой подход, тоже используя легкие агенты, но с совершенно другой идеологией.
Большинство проблем с точки зрения безопасности возникают из-за избыточности прав сервисов или программ, которые запускаются в ОС, при этом возможности ограничения этих прав невозможны (если используются привилегированные учетные записи), ограничены функционалом ОС или механизмы регулирования прав сложны у управлении и контроле (например AppArmor, который входит в ряд дистрибутивов Linux).
В случае продукты Symantec используются технологии известные, как песочница, то есть область памяти, в которой находится запущенный процесс контролируется драйвером, работающим на уровне ядра и перехватывающим запросы к ресурсам ОС: файловая система, прямой доступ к диску, запуск других приложений, вызов или модификация системных процессов, доступ к реестру, внешним носителям, сетевое взаимодействие, прямой доступ к памяти, попытки вызвать переполнение буфера. Так как этот контроль происходит на уровне каждой песочницы продукт позволяет эффективно разделять доступ между процессами, находящимися в различных песочницах, включая сетевое взаимодействие.
Например вы можете создать правило, согласно которому к сервису могут подключаться по сети только с определенного IP адреса, при этом подключиться к этому сервису, находясь на локальном хосте вы не сможете. Таким образом, при грамотной настройке продукта можно получить ситуацию, что компрометация одного сервиса, или, даже получение локальной привилегированного логина, не компроментирует весь сервер. Любой запущенный сервис всегда будет находиться в песочнице. С помощью правил вы можете задать условия того, какой сервис и в какую песочницу будет назначен.
Как вы можете видеть параметров у этих правил довольно много, это и имя сервиса, и хэш-сумма файла, и аргументы, и пользователь, из-под которого запускается сервис, а так же publisher name и Signature Flag.
Политики, которые контролируют поведения сервиса в песочницу позволяют настраивать множество параметров, то есть вы можете очень тонко ограничивать работу сервиса, если вам это необходимо. В качестве примера приведен скриншот одной из вкладок политики:
Используя подобные настройки можно значительно снизить риск взлома или компрометации сервиса или хоста и повысить его доступность. Это позволяет, в том числе снизить требования у установке обновлений безопасности на ОС и ПО, устанавливая их в момент обслуживания сервера, а не на момент выхода обновлений. Сам же продукт Symantec Data Center Security: Server Advanced обновлений не требует, и, за счет отсутствия какой-либо эвристики потребляет очень немного ресурсов. По нашим измерениям максимальные значения потребления ресурсов составляют около 2-5 % процессорного времени и до 80МБ оперативной памяти.
Symantec Data Center Security: Server Advanced реализует подобный функционал для большинства актуальных операционных систем, присутствующих в даный момент на рынке. Поддерживаются следующие ОС: Microsoft Windows NT – 2012 R2, RedHat Linux, Suse Linux, Oracle Linux, IBM AIX, Oracle Solaris, HP-UX и т.д. Продукт имеет стандартную клиент-серверную архитектуру.
В дополнение к вышеописанному функционалу продукт Symantec Data Center Security: Server Advanced позволяет контролировать в режиме мониторинга множество событий в системе: например целостность, а так же контролировать определенные события, например выполнение определенных команд пользователями. В качестве примера один из скриншотов политики мониторинга Windows систем:
В дополнение к мониторингу виртуальных или физических машин, продукт позволяет контролировать целостность инфраструктуры VMware. Ниже приведен скриншот политики по контролю гипервизоров ESXi.