Symantec Endpoint Protection 12.1 представляет из себя корпоративное решение по защите конечных точек от различных угроз: вирусов, сетевых атак и атак нулевого дня. В состав технологий защиты входят антивирус, сетевой экран, система предотвращения вторжений, контроль устройств и контроль приложений.
Одной из ключевых особенностей решения является поддержка компьютеров, работающих в виртуальных средах. В решении используется традиционный агентский подход, но есть множество механизмов оптимизации производительности в виртуальной среде. для того, чтобы предотвратить такие явления как «скан-шторм» и не вызывать единовременную нагрузку на виртуальные подсистемы. На этих механизмах остановимся чуть подробнее.
Virtual Image Exception
В виртуальной среде новые машины часто разворачиваются из шаблона, например Windows Server 2008 R2, внутри этого шаблона множество системных файлов, которые будут одинаковыми для всех виртуальных машин. Технология Virtual Image Exception позволяет исключить все эти файлы из антивирусных сканирований тем самым экономя ресурсы и сокращая общее время сканирований.
При подготовке шаблона Windows Server 2008 R2 мы запускаем инструмент, который создаёт индекс хэш-сумм всех файлов на данной системе. Данный индекс загружается на сервер управления Symantec Endpoint Protection Manager и распространяется на агенты.
В последствии, при запуске сканирования на агенте, все совпадающие файлы будут пропущены, а все неизвестные файлы просканированы. Это уменьшает время сканирования и снижает нагрузку на виртуальную инфраструктуру. Если файл из шаблона меняется, то меняется и его хэш-сумма и данный файл будет просканирован в общем порядке. Лучше всего данная технология отрабатывает на однотипных виртуальных машинах и виртуальных декстопах.
Shared Insight Cache (SIC)
Если предыдущая технология работает только для файлов внутри шаблона, то Shared Insight Cache может работать для всех файлов. Он представляет из себя сервер кэширования результатов антивирусных сканирований всех систем, связанных с ним. Это позволяет исключить повторное сканирование файлов в пределах всей виртуальной среды. Работает это следующим образом.
Виртуальная машина A просканировала файл 1 и отправила результат сканирования на сервер SIC в виде «хэш-сумма файла, дата и версия сигнатуры, результат».
Виртуальная машина Б начинает сканирование файлов 1, 2 и 3, сверяет хэш файлов с сервером SIC и получает результат, что файл 1 был просканирован сегодня, а файл 2 вчера, 3-й файл вообще никогда не сканировался. Соотвественно, 1-й файл пропускается, а 2 и 3 сканируются и информация отправляется на сервер SIC.
Все 3 файла будут пропущены при последующих сканированиях, но только до выхода новых антивирусных сигнатур, затем процесс начинается по новой. Это позволяет исключить повторные сканирования файлов и снизить нагрузку на виртуальные подсистемы.
Shared Insight Cache применим как во всевозможных виртуальных инфраструктурах (VMware, Hyper-V, Novell, Oracle) так и может применяться на физических машинах. Взаимодействие агентов с сервером Insight Cache идёт либо по IP протоколу, либо через VMware VShield. В последнем случае сервер Shared Insight Cache должен быть установлен в виде виртуальной машины на каждый гипервизор.
Также стоит упомянуть, что в решении Symantec Endpoint Protection присутствуют и базовые инструменты для работы в виртуальной среде, такие как технология предотвращения одновременного запуска сканирований и обновлений, распознавание агентом типа виртуальной среды, учёт лицензий для VDI. Данные инструменты упрощают жизнь администратора, позволяя ему равномерно распределять нагрузку в виртуальной среде и управлять антивирусной защитой физической и виртуальной сред из единого решения.
Все эти технологии по умолчанию включены в лицензию Symantec Endpoint Protection и не требуют приобретения дополнительных лицензий.