无代理安全部署模式日渐流行

2024年5月1日发(作者：)

龙源期刊网

无代理安全部署模式日渐流行

作者：高春燕

来源：《中国计算机报》2012年第23期

Gartner预测，到2015年，企业数据中心40%的安全控制将是虚拟化的，比2010年的5%

有大幅度提高。随着云计算的不断普及，虚拟化技术的应用越来越广，虚拟化环境下的安全防

护问题也日益突显。怎样才能既保证系统安全，又降低安全防护对虚拟机性能的影响？安全厂

商给出的答案是采用无代理安全部署模式。

将虚拟机密度提升两倍

对于虚拟化环境下的安全防护，传统安全的防护策略是在每台虚拟机上安装安全防护产

品，即有代理模式。“有代理模式在每个VMware虚拟机上安装杀毒软件客户端程序。”国家计

算机病毒应急处理中心主任张健在接受本报记者采访时表示，采用有代理模式时，“每个

VMware虚拟机与原来的客户端管理模式基本一致，需要升级杀毒软件、检测扫描杀毒等操

作，这些操作对系统资源消耗比较大，可能影响整个系统的效率”。

传统安全软件并不是专门为虚拟化环境设计的，没有针对虚拟化环境下的资源共享进行优

化。当上百台虚拟机在同一时间开启病毒库自动升级或者自动云查杀，所有虚拟机同时需要网

络资源，那么企业网络资源将面临极大的压力，这就是所谓的“防病毒风暴”。这与企业使用虚

拟化技术节约IT资源的初衷显然是相违背的。

怎样达到安全防护的目的，又能够节约IT资源，降低企业的IT支出？安全厂商给出的解

决方案是部署无代理安全模式的安全解决方案。采用无代理部署模式，用户无需在每个虚拟机

中安装客户端程序，而是将其中一台虚拟机变成安全虚拟机，让这台安全虚拟机去管理虚拟化

环境下的其他所有虚拟机的安全防护。用户只需安装一次安全防护设备，对这台安全虚拟机进

行升级和维护，就能够让其他所有虚拟机得到最新的安全防护。

无代理安全模式可以降低内存和中央处理器的负载，避免“防病毒风暴”。“无代理模式

下，病毒库的升级和签名管理更加灵活，对VMware虚拟机的性能并没有影响。”迈克菲资深

信息安全专家程智力非常看好无代理安全模式。

采用无代理安全模式，用户在扩展虚拟机时，无需再次部署安全解决方案，因此总体上降

低了企业的IT成本。趋势科技中国区业务发展及产品管理高级总监郑弘卿用数字说明了这一

点：“第三方研究数据表明，使用无代理防模式的防病毒解决方案，支持的VDI虚拟机密度与

传统防病毒解决方案相比，提升了两倍。此外，如果客户计划运行1000个虚拟桌面，趋势科

技无代理安全解决方案可以帮助用户节约IT支出350万元。”

基于VMware虚拟化平台

龙源期刊网

不同厂商在虚拟化实现技术、存储架构、备份机制、虚拟交换机之间的隔离等方面仍然存

在很大差异。因此，安全厂商在跟不同虚拟化厂商合作时，针对不同虚拟化厂商和平台架构的

不同，开放接口不同，安全解决方案进行差异化的开发，这可能会导致更多的开发成本和周

期。正如程智力在接受本报记者采访时所言：“安全厂商要针对不同的虚拟化平台进行有针对

性的开发和功能支持，对于一些特殊接口，还要进行有针对性的开发才能够予以支持和集

成。”

由此可见，无代理安全模式需要与虚拟化系统密切结合在一起。这就要求安全厂商必须得

到虚拟化厂家的支持。

尽管安全厂商对无代理安全模式很推崇，但目前已经推出相关产品的却屈指可数，并且这

些无代理安全都基于VMware的虚拟化平台vShield Endpoint，而对Hyper-V、Ctrix却鲜有涉

猎。例如，趋势科技全球十分之一的员工在从事VMware虚拟化安全解决方案的研发、销售工

作。

对于为什么选择VMware，郑弘卿给出的理由是：“VMware的用户最多，管理最完善，客

户对无代理安全的需求相对较多。”相比之下，其他虚拟化平台用户比较少，并且大多对安全

防护水平的要求并不高。

另一个重要的原因是，其他虚拟化平台并没有开放接口给这些安全厂商。“我们也在做准

备，只等对方同意跟我们合作。”趋势科技中国区产品经理钟宇轩说。

对无代理模式的争议

对于无代理安全，业界也存在质疑的声音：由于目前只支持VMware平台下的Windows

操作系统，并不适用于Linux操作系统，因此无代理安全模式在某些情况下可能存在漏杀的情

况。对此，卡巴斯基实验室亚太区董事总经理张立申坦言：“在病毒查杀方面，有代理模式的

分层扫描更细致，病毒查杀能力更强。因此，在无代理模式下，杀毒引擎的性能是否强大、检

测速度是否够快就显得尤为重要。”

对于漏杀之说，钟宇轩并不认同，他认为无代理模式比之前的安全防护策略更加安全，因

为“以前的系统是分散的，病毒库有没有更新到系统中用户可能并不知道，对虚拟化进行集中

管控之后，经过虚拟化平台的数据都会被扫描到”。他告诉记者，趋势科技Deep Security 8.0，

在防病毒的基础上，增加了无代理完整性监控、无代理事件通知等功能。通过VMware的API

接口，用户还可以选择添加入侵检测、Web应用防护、漏洞修补和防火墙等更多功能。这使无

代理模式正在突破功能单一的弊端，实现更全面的安全防护。在钟宇轩眼里，无代理是一对多

的防护，因重要的是保证这个“一”不会成为单点故障点，所以对无代理安全而言，系统的稳定

性相当重要。

龙源期刊网

“无代理模式仅支持VMware平台，并且不能针对同一个Hypervisor中的不同虚拟机设定

不同的扫描防护策略，缺少应用程序管理、HIPS等其他高级防护功能。”因此，用户如果需要

更高等级的防护水准，程智力推荐用户使用有代理的方式。

统一管理两种模式

当前，用户的IT环境复杂，既包括虚拟化环境，又包括物理机环境，还包括混合使用环

境。此外，跨平台的操作系统同时应用在企业网络内部，随着IT消费化趋势，个人设备、移

动终端的应用越来越广泛。

在这种情况下，张立申强调，无代理模式和有代理模式需要相互配合。“如果用户的虚拟

化环境是100台虚拟机，其中5台是Linux虚拟机，95台是Windows虚拟机，用户可选择在

95台Windows虚拟机上安装无代理模式的安全解决方案，在其余5台Linux虚拟机上安装有

代理防护解决方案。这样也可以大大节约虚拟机的资源。”

在混合的系统环境下，关键是如何对有代理模式和无代理模式进行统一管理，并简化管

理。对此，卡巴斯基在其Kaspersky Security for Virtualization中，不仅第一次使用了无代理安

全模式，其Kaspersky Security Center还实现统一虚拟环境、物理环境和移动办公环境进行部

署，实现对虚拟机、物理机的安全进行统一管理。

同样，趋势科技Deep Security 8.0的亮点之一也是简化管理。据趋势科技钟宇轩介绍，升

级版产品能对系统内的无代理和有代理安全进行统一管理，通过一个虚拟机安全管理平台，用

户就可以实现跨越虚拟机、物理机和云计算平台的统一管理，“可以把关有代理安全的命令和

程序，决定扫描每个虚拟机的时间”。

尽管无代理模式还存在平台单一、无法差异化部署防护策略等缺陷，但是在采访中，专家

和业界人士一致认为，未来无代理模式将成为大势所趋。