Тестирование антивируса для vmware. McAfee MOVE AntiVirus.

На днях закончил тестирование безагентного антивируса для виртуальной среды vmware — McAfee MOVE AntiVirus.
Редакции VMware vSphere 5.5 начиная с редакции Standard поддерживают vShield Endpoint — модуль, обеспечивающий перенос обработки (проверки) файлов с виртуальных машин, в загружаемый модуль ядра Endpoint Security. vShield Endpoint позволяет сторонним производителям антивирусов интегрироваться с инфраструктурой виртуализации VMware vSphere. Антивирусное решение стороннего производителя, поставляемое в виде виртуального модуля (Virtual Appliance), устанавливается на каждый хост ESXi 5 и обеспечивает проверку виртуальных машин на вирусы.
Взаимодействие между виртуальной машиной защиты и инфраструктурой VMware осуществляется следующим образом:
1. Пользователь открывает, сохраняет ли запускате файл на защищаемой виртуальной машине.
2. Драйвер VMware vShield Endpoint Thin Agent перехватывает информацию об этих событиях и отправляет модулю VMware vShield Endpoint ESX Module, установленному на VMware ESXi.
3. Компонент VMware vShield Endpoint ESX Module передает информацию о полученных событиях библиотеке EPSEC, установленной на виртуальной машине защиты.
4. Виртуальная машина защиты проверяет файлы, с которыми работает пользователь, на наличие в них вирусов и других вредоносных программ.

Преимущества установки безагентного антивируса:
McAfee MOVE AntiVirus является как раз таким продуктом, который интегрируется vShield Endpoint. После его тестирования поделюсь впечатлениями о нем. Сразу скажу — они двойственны. С одной стороны понравилась простота установки и настройки, длительный период оценки полнофункциональной версии — 3 месяца. С другой же — совершенно не понравилась управление антивирусом. В управляющем ПО (ePolicy Orchestrator) видны лишь виртуальные машины защиты т.е. сами MOVE-AV, но совершенно не виды защищаемые объекты. Кроме того, для ознакомления с результатами работы необходимо проводить инициализацию связи ePolicy Orchestrator c клиентами (MOVE-AV) и только после этого становится доступным отчет об обнаруженных угрозах. Сам отчет тоже не впечатлил. Ну и еще один, существенный на мой взгляд недостаток — на данный момент отсутствует поддержка VMware vSphere 5.5.
Для тех же, кто хочет попробовать данный антивирус, затрону порядок его установки.
1. Прежде всего устанавливается vShield Endpoint.

С версии vSphere 5.1 семейство продуктов vShield называется VMware vCloud Networking and Security. По ссылке Download VMware vCloud Networking and Security 5.5.0a  скачивается vShield Manager 5.5.0a в виде шаблона ВМ — файла OVA. Далее он устанавливается (Deploy OVF Template). Для настройки заходим в WEB-интерфейс по адресу, который указали при установке. Стандартный логин/пароль – administrator/default. Подключаем vShield Manager к Vcenter Server, после чего в главном меню Vcenter Server появится раздел vShield. Такая же вкладка появляется и у каждого хоста куда мы заходим и устанавливаем vShield Endpoint на каждый хост. После чего необходимо установить vshield driver из комплекта VMware Tools на каждую ВМ (по умолчанию он не ставится).

2. Порядок установки антивируса, в том числе и управляющего ПО, приведен в документе mva_300_product_guide_en-us, который доступен после скачивания ПО:

Загружаем McAfee MOVE AV Agentless. Также загружаем ePolicy Orchestrator.

ePolicy Orchestrator устанавливается в ОС Windows. McAfee MOVE разворачивается из файла Мove-sva-3.0.0.ovf. Затем в ePolicy Orchestrator устанавливается расширение MOVE-AV-AL_EXT_3.0.0 (файл ZIP). Заходите в консоль Мove-sva и запускается мастер, который регистрирует ВМ защиты в ePolicy Orchestrator и vShield Endpoint Manager. Я смог зарегистрировать лишь при указании IP-адресов. Также хочу отметить, что несмотря на скурпулезное заполнение всех полей при разворачивании McAfee MOVE введенный пароль не сохранился и в консоль пришлось заходить с дефолтным: логин — svaadmin, пароль — admin.

Вызвать мастер всегда можно командой sudo /opt/McAfee/move/bin/sva-config.Затем в ePolicy Orchestrator создаются политики и в принципе все. Куда конкретно жать расписано в документации. Здесь порядок приводится лишь в ознакомительных целях для осознания так сказать объема возможных работ по инсталляции продукта.
Проверить какая на данный момент актуальная версия антивирусной и скачать DAT файл с базами можно по ссылке Обновления безопасности.

 

1 комментарий

  1. Анонимный:

    А не пробовали ли вы тестировать антивирус Bitdefender? Насколько я знаю, он считается единственным конкурентом трендмикро, если использовать лицензирование по процессорам.
    Столкнулся с тем моментом, что только 2 эти антивируса так лицензируются. Все же остальные или по ВМ или по ядрам (как например касперский). Вообще не понятно зачем лицензировать по ядрам, бред какой то.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.

Добро пожаловать в блог IT-пилот

Введите Ваш Email чтобы подписаться

Подписка оформлена!