Citrix虚拟桌面安全和防病毒最佳实践(中)
编者按:上篇,咱们聊到了Agent 注册,本篇咱们继续讨论其余方案 缓存
签名更新 安全
高效和持续更新的签名是端点安全解决方案最重要的方面之一。大多数供应商使用存储在每一个受保护设备上的本地缓存、增量更新的签名。 性能优化
对于非持久性机器,了解如何更新签名以及签名存储在何处很是重要。这将使您了解恶意软件感染机器的机会窗口。此外,它还将帮助您设计环境以最小化此窗口。 ide
特别是在更新不是增量的而且能够达到很大的规模的状况下,您可能会考虑将持久性存储链接到每一个非持久性计算机上的部署,以在重置和映像更新之间保持更新缓存的完整性。使用这种方法,机会窗口和定义更新的性能影响最小化。 性能
除了为每一个提供的机器更新签名以外,还必须定义更新主映像的策略。建议自动执行此过程,由于使用最新签名按期更新主映像。这对于增量更新尤为重要,在增量更新中,您将最小化每一个虚拟机所需的通讯量。 优化
在虚拟化环境中管理签名更新的另外一种方法是使用集中的扫描引擎彻底替换分散签名的性质,最小化防病毒的性能影响。 设计
建议:询问您的安全供应商如何在防病毒软件中更新签名。预期的大小和频率是多少,更新是增量的吗?对于非持久性环境有什么建议吗? 3d
性能优化 日志
防病毒软件,若是配置不当,会对可扩展性和总体用户体验产生负面影响。所以,了解性能影响很是重要,以便肯定是什么致使了性能影响以及如何将其最小化。 blog
可用的性能优化策略,对于不一样的防病毒供应商和实现是不一样的。最多见和最有效的方法之一是提供防病毒集中扫描功能,代替了以前每台机器负责扫描(一般是相同的)样本,而是集中扫描,只执行一次。此方法针对虚拟化环境进行了优化;可是,请确保您了解它对高可用性的影响。
*Offloading s
对专用设备的扫描在虚拟化环境中很是有效。*
另外一种方法是基于磁盘只读部分的预扫描,一般配置前在主映像上执行,了解这如何影响机会窗口很重要(例如,若是磁盘已经包含受感染的文件,但在预扫描阶段签名不可用怎么办?)。此优化一般与只写日志整合,由于全部读取都未来自预扫描的磁盘部分,或者来自在写入操做期间已扫描的特定于会话的写入缓存/差别磁盘。一般,一个好的折衷办法是将实时扫描(优化)与预约扫描(系统的彻底扫描)结合起来。
最多见的扫描优化是只关注虚拟机之间的差别*
建议:性能优化能够极大改善用户体验。可是,应该注意的是,它们能够被视为安全风险。所以,建议您咨询供应商和您的安全团队。大多数具备虚拟化环境解决方案的防病毒供应商都提供优化的扫描引擎。