Cet article présente les meilleures pratiques relatives à la configuration du logiciel avec le nombre recommandé d’analyseurs.
Définitions
Demandeur:
|
Nœud d’appliance de stockage, physique ou virtuel, qui transmet les demandes d’analyse directement à ENSSP.
|
Scanner:
|
Un analyseur ENSSP.
|
Nombre de analyseur physiques
Nombre minimum de analyseur = 1 x demandeurs + 1
Exemples :
Nombre de
Demandeurs |
Absolute minimum
Nombre de
Analyseurs ENSSP
|
2
|
3
|
4 |
5 |
8 |
9 |
12 |
13 |
NOTE: Vous pouvez suivre cette formule dans un environnement de laboratoire, mais vous devez compléter la formule selon les besoins en production.
Nombre de analyseur meilleures pratiques
Les meilleures pratiques analyseur nombre = 2 x demandeurs
Exemples :
Nombre de
Demandeurs
|
Minimum
Nombre de
Analyseurs ENSSP
|
2
|
4
|
4
|
8
|
8
|
16
|
12
|
24
|
REMARQUES :
- La charge réelle rencontrée détermine le nombre de analyseur.
- Une infrastructure qui ne gère que la charge moyenne est insuffisante.
- Une infrastructure qui gère la charge maximale doit exister ou des problèmes de déni de service périodiques au cours de la charge maximale se produisent.
- Si des analyseurs physiques sont remplacés par des analyseurs de machine virtuelle, consultez la section Analyseurs de machine virtuelle ci-dessous.
Analyseurs de machine
virtuelle AVERTISSEMENT: les fournisseurs d’appliance de stockage et les fournisseurs d’antivirus ne recommandent pas les analyseurs de machine virtuelle.
Les VM sont soumises à des facteurs de limitation bien plus nombreux que les nœuds autonomes. Cela est dû à leur interaction avec l’hyperviseur et à sa présence sur de nombreux autres nœuds. Tous les nœuds sont en concurrence pour obtenir des ressources. Les analyseurs VM peuvent être générés de sorte qu’il y ait peu ou pas de différence entre leurs performances par rapport aux analyseurs physiques pour un scénario donné. Toutefois, cette construction requiert une planification et une surveillance minutieuse. Les appliances de stockage sont les actifs les plus coûteux d’une organisation informatique. Etant donné qu’ils sont chargés de protéger les données les plus sensibles et importantes d’une entreprise, cela en fait un domaine de première importance pour la réduction des coûts. Si des analyseurs VM doivent être utilisés, les indications ci-dessous doivent être respectées.
Meilleures pratiques pour les systèmes VM:
- Lorsqu’une machine virtuelle analyseur avec une carte d’interface réseau (NIC) matérielle dédiée dans l’hyperviseur et génère un analyseur physique, vous devez expliquer le nombre 1.5x possible d’analyseurs physiques.
- Si une machine virtuelle analyseur avec une carte d’interface réseau virtualisée lance une analyseur physique, vous devez déterminer la nécessité possible d’utiliser 2x le nombre d’analyseurs physiques.
Facteurs de virtualisation à prendre en compte
La liste suivante décrit les fonctions sensibles aux performances que vous devez prendre en compte lors de l’utilisation d’analyseurs VM:
- Facteurs de virtualisation ICAP et RPC
- Un déni de service peut se produire lorsque les deux conditions suivantes sont remplies:
- L’analyse obligatoire est activée sur les appliances de stockage.
- Les analyseurs VM ne peuvent pas effectuer la charge.
- L’acquisition d’un nombre moindre d’analyseurs physiques est moins coûteuse (chaque système d’exploitation, ENSSP et licences ENSSP requis). Le coût des analyseurs VM est plus élevé (chaque hyperviseur, système d’exploitation, ENSSP et licences ENSSP requis).
- Les performances peuvent se dégrader de manière asymptomatique avec des analyseurs VM, même avec des cartes d’interface réseau physiques dédiées par analyseur dans l’hyperviseur: bien que la charge, le matériel réseau, le matériel hyperviseur, le matériel virtualisé et d’autres facteurs environnementaux puissent fournir des performances acceptables, McAfee Entreprise déconseille l’utilisation d’analyseurs VM si votre attente est l’équivalence de clé à clé pour les analyseurs physiques.
- Le nombre de demandes d’analyse et leur complexité peuvent entraîner une charge importante.
- L’utilisation du processeur, l’accès au disque et la contention des ressources de bande passante réseau entre les analyseurs VM peuvent également entraîner une charge importante.
- Facteurs de virtualisation propres à ICAP
- Après réception d’une demande d’analyse d’une appliance de stockage ICAP, l’appliance de stockage ICAP doit envoyer l’intégralité du fichier au analyseur avant le début de l’analyse. Les appliances de stockage ICAP requièrent donc une utilisation plus efficace de la bande passante réseau.
- Les performances sont affectées par les analyseurs de machine virtuelle dotés d’appliances de stockage ICAP, plus qu’avec les appliances de stockage RPC.
- Facteurs de virtualisation propres à RPC
- Dès réception d’une demande d’analyse d’une appliance de stockage RPC, ENSSP ne demande que des parties du fichier réel que le moteur analyseur doit examiner. Cette action peut contribuer à atténuer les problèmes de latence des performances associés aux analyseurs VM.
- Les analyseurs physiques peuvent s’attendre à un à cinq ms de temps moyen d’exécution des demandes d’analyse. Cette durée se situe dans les paramètres attendus.
- Les analyseurs VM équipés de cartes d’interface réseau physiques dédiées dans un hyperviseur non surchargé peuvent connaître jusqu’à 5 ms ou plus de temps moyen d’exécution des demandes d’analyse. Si cette durée de réalisation est remplie, cela peut indiquer que davantage de ressources sont nécessaires.
- Les analyseurs de machine virtuelle équipés de cartes d’interface réseau virtualisées sur un hyperviseur non bloqué peuvent connaître jusqu’à 7 ms ou plus de temps moyen d’exécution des demandes d’analyse. Si cette durée de réalisation est remplie, cela peut indiquer que davantage de ressources sont nécessaires.