由VMware vShield Endpoint想到的安全创新的方向

  最近的一个关于 Trend Micro涉足虚拟化和云计算安全 的消息显示，Trend Micro最新发布了一款产品 Trend Micro Deep Security 7.5，其中一个新的功能是利用了VMware vShield Endpoint API实现了无客户端的防恶意程序模块，挺新奇的，顺便进一步了解一下。

     VMware vShield Endpoint是VMware vShield系列产品中的一部分，在 VMware vShield宣传手册 中是这么介绍VMware vShield Endpoint的：
  VMware vShield Endpoint ：vShield Endpoint provides on-host antivirus and malware protection that reduces performance latency and eliminates the need to maintain individual security agents in each and every virtual machine, helping to simplify security administration while minimizing the risk of malware infections.
   翻译：VMware vShield Endpoint: vShield Endpoint提供了联机防病毒和恶意软件的保护功能，可以减少性能原因导致的延时，也不需要为每个虚拟机维护单独的安全代理客户端，在最小化恶意软件***引起的风险的同时，同时简化了安全管理。

    其中最令笔者感兴趣的是其无需为每个虚拟机安装安全软件的客户端，这就意味着最终用户可以从被杀毒软件或其他安全软件客户端无休止的打扰中解脱出来：比如，当我正在很努力工作的时候，杀毒软件突然启动了全盘扫描，整个系统的速度慢于蜗牛，即使我换上四核的电脑也无济于事；或者当你正在玩游戏，与人PK时，突然防***软件弹出一个框警告你机器上某些文件可能被***感染，将你迅速从游戏中拉了出来，等你再返回游戏，你却发现你游戏中的角色已经被对手秒杀，非常杯具。
如果能不安装防病毒和防恶意程序的软件，但你却能得到类似的保护，那该多好。看起来是有点天方夜谭，好比你不让马儿吃草，又要马儿跑得快，有点完全违背逻辑。但是，计算机技术的创新是永无止境的，很多在当时不可能的事情，随着技术发展，在多年以后却变得很普通。随着虚拟化技术的不断发展，很多原来看时不可能的事情都慢慢成为了可能。最简单的一点就是，多年前，很多人都认为一台计算机上同时只能跑一个操作系统，如果同时运行多个系统，对系统资源控制的争夺将无法调解；但随着虚拟化技术出来以后，现在我们在一台计算机上运行多个操作系统已经习以为常。
     将上述经验引申到计算机安全方面，在传统的防病毒、防恶意程序的安全软件中，一直有一些难以突破的地方，比如如何在恶意软件执行之前获取对系统的控制权；如何实现通过启发式的学习方式自动发现病毒；如何实现更好的主动防御，将病毒和恶意程序扼杀在摇篮中等。为什么会有这些难以突破的地方呢？笔者拙见，这个是受限于传统计算机的软硬件架构，在原有Wintel提供的计算机框架内，要实现安全软件防护技术质的突破，看似不大可能；如果能突围出已有的框架，则将会有一片广阔的天空，将会一片培育创新的沃土。虚拟化技术就是建立这样的沃土的基础。虽然虚拟化技术本身不可避免的会带来新的安全问题，但在提供矛的同时也为盾提供了很好的基础，只需要引导虚拟化技术发展的厂家能正确引导，在设计时多考虑一些安全，即时将可能导致大的安全问题的架构扼杀，笔者相信未来的安全防护软件是有可能更加主动，具有更好的预测性，并很好的对病毒和恶意程序产生很好的威慑作用，好比显示社会中的警察对罪犯的威慑力。另外一方面，Intel收购Mcafee所释放出的信号是Intel将在硬件方面针对计算机安全的需求做创新和改进，我们也有理由相信，在未来结合了Intel硬件安全功能的软件安全方案，将会能很好的将病毒和恶意软件牢牢控制住。

     回到文章前面提到的VMware vShield Endpoint，到底这是一个什么样的基于虚拟化技术的方案呢？笔者也是初次了解，对细节不是很清楚，只是参考其官方的文档 表述一下我的理解。
下图是其架构： 
 
  
     由上图可以看到，在虚拟机监控器之上，有一个专门的虚拟机系统来承担防病毒和恶意程序的任务，也就是只需在此虚拟机(AV OS)中部署防病毒和恶意程序的引擎。在每个虚拟机中有VMware提供的一个驱动，用来切换文件相关的事件（图中为明显标出）；在虚拟机监控器内部，有一个引擎(图上的Introspection)，在VMware vSphere是VMware Endpoint Security(EPSEC) loadable kernel module(LKM)，其负责将前述两个模块连接在一起，是这两个模块相互沟通的桥梁。
按照官方的说法，这个方案能带来的好处有：
       1） 精简的防病毒和防恶意程序方案的部署：只需要部署在一个虚拟机中即可，即使是大片的虚拟机集群。
       2） 增强的虚拟机性能：由于防病毒软件无需运行在执行指定任务的虚拟机中，此虚拟机的性能肯定要比传统模式的虚拟机（安装安全软件来防病毒和防恶意程序）要来得好。
       3） 防止防病毒风暴和瓶颈：这个是可管理性方面的提高，通过虚拟机监控器提供的控制功能和灵活指定的策略，可以让病毒和恶意程序的扫描在最合适的时候进行；这种合适的时机是根据整个虚拟机集群来评估，而不是仅仅更具单个虚拟机。
       4） 保护防病毒安全软件免遭***：防病毒软件运行在指定的虚拟机中，其运行的系统的安全是经过特定加强的，并且一般不会运行其他软件对此虚拟机的修改，因此其本身的安全性能做到很高。

     总的来看，在脱离传统的Wintel的计算机框架后，安全软件的创新将会出现一个新的高潮，个人计算机的信息安全保护也将走向一个方向，这也是笔者对桌面虚拟化抱有比较大的信心的一个原因。另外就是期待Intel基于硬件提供的新的安全加强的功能，同样也是改变目前个人计算机信息安全保护软件格局的一个重要促进因素。

原文:http://www.leadfrenzy.net/comments.php?y=10&m=09&entry=entry100908-093201

由intel工程师撰写