In questo articolo sono riportate le procedure consigliate per la configurazione del software con il numero di scanner consigliato.
Definizioni
Richiedente:
|
Qualsiasi archivio appliance nodo, fisico o virtuale, che trasmette le richieste di scansione direttamente a ENSSP.
|
Scanner:
|
Un programma di scansione ENSSP.
|
Conteggio programma di scansione fisico
Il conteggio programma di scansione minimo = 1 x richiedenti + 1
Esempi:
Numero di
Richiedenti |
Minimo
Numero di
Scanner ENSSP
|
2
|
3
|
4 |
5 |
8 |
9 |
12 |
13 |
NOTA: È possibile seguire questa formula in un ambiente di laboratorio, ma è necessario integrare la formula in base alle esigenze in produzione.
Conteggio programma di scansione procedure consigliate
Le procedure consigliate programma di scansione conteggio = 2 x richiedenti
Esempi:
Numero di
Richiedenti
|
Minimo
Numero di
Scanner ENSSP
|
2
|
4
|
4
|
8
|
8
|
16
|
12
|
24
|
NOTE:
- Il carico reale che si è verificato determina in ultima analisi il programma di scansione di protezione.
- Un'infrastruttura che gestisce solo il carico medio è insufficiente.
- Deve esistere un'infrastruttura che gestisca il picco del carico oppure si verificano periodici problemi DoS (Denial-of-Service) con un carico di picco.
- Se uno scanner fisico viene sostituito con gli scanner delle macchine virtuali, consultare la sezione Scanner delle macchine virtuali riportata di seguito.
AVVISO per gli scanner
VM: sia appliance produttori di dispositivi di archiviazione che antivirus non consigliano di utilizzare gli scanner vm. Le VM sono soggette a molti più fattori di limitazione rispetto ai nodi autonomi. Il motivo è la loro interazione con e la presenza sull'hypervisor con molti altri nodi. Tutti i nodi sono in concorrenza per le risorse. Gli scanner vm possono essere costruiti in modo che non vi siano differenze tra le loro prestazioni o nessuna differenza rispetto agli scanner fisici per qualsiasi scenario specifico. Ma questa costruzione richiede pianificazione e monitoraggio diligente. Le appliance di storage sono alcune delle risorse più costose di un'organizzazione IT. Poiché sono incaricati di proteggere i dati più sensibili e importanti di un'azienda, ciò li rende un'area non sensibile per la riduzione dei costi. Se è necessario utilizzare gli scanner vm, è necessario osservare le indicazioni riportate di seguito.
Procedure consigliate per i sistemi VM:
- Quando un programma di scansione VM con una scheda di interfaccia di rete (NIC, Network Interface Card) hardware dedicata nell'hypervisor sostituisce un programma di scansione fisico, 1.5x è necessario fornire la possibilità di un numero di scanner fisici.
- Se un programma di scansione VM con una scheda di interfaccia di rete virtuale sostituisce un programma di scansione fisico, è necessario creare una quantità di scanner 2x .
Fattori di virtualizzazione da prendere in considerazione
L'elenco seguente descrive le funzioni sensibili alle prestazioni che è necessario prendere in considerazione quando si utilizzano gli scanner VM:
- Fattori di virtualizzazione ICAP e RPC
- Può verificarsi un attacco DoS (Denial of Service) quando vengono soddisfatte entrambe le condizioni seguenti:
- La scansione obbligatoria è attivata sulle appliance di archiviazione.
- Gli scanner vm non sono in grado di eseguire il caricamento.
- Acquistare meno scanner fisici è meno costoso (ciascuno dei quali richiede licenze per sistema operativo, ENSSP ed ENSSP). Costa di più per gli scanner VM (ciascuno dei quali richiede l'hypervisor, il sistema operativo, le licenze ENSSP ed ENSSP).
- Le prestazioni possono degradare asimmetria con un carico pesante con gli scanner VM, anche con NIC fisiche dedicate per programma di scansione nell'hypervisor: sebbene il carico, l'hardware di rete, l'hardware hypervisor, l'hardware virtualizzato e altri fattori ambientali possano fornire prestazioni accettabili, McAfee Enterprise sconsiglia l'uso di scanner VM se si aspettative sia un'equivalenza chiavi in mano per gli scanner fisici.
- Il numero di richieste di scansione e la relativa complessità possono comportare un carico pesante.
- Anche l'accesso alla CPU, l'accesso al disco e la l'insodità di risorse nella larghezza di banda della rete tra gli scanner delle vm può causare un carico pesante.
- Fattori di virtualizzazione specifici di ICAP
- Al ricevimento di una richiesta di scansione da un appliance di archiviazione ICAP, il appliance di archiviazione ICAP deve inviare l'intero file al programma di scansione prima dell'inizio della scansione. Pertanto, le appliance di archiviazione ICAP richiedono un utilizzo più efficace della larghezza di banda di rete.
- Le prestazioni influiscono negativamente sugli scanner VM che dispongono di appliance di archiviazione ICAP, più che con le appliance di storage RPC.
- Fattori di virtualizzazione specifici di RPC
- Al ricevimento di una richiesta di scansione da un appliance di archiviazione RPC, ENSSP richiede solo parti del file effettivo che il motore programma di scansione deve esaminare. Questa azione consente di ridurre i problemi di latenza delle prestazioni associati agli scanner delle macchine virtuali.
- Gli scanner fisici possono prevedere tempi di evasione delle richieste di scansione media da 1 a 5 ms. Questa volta rientra nei parametri previsti.
- Gli scanner vm con NIC fisiche dedicate in un hypervisor non sovraccarico potrebbero avere tempi di evasione delle richieste di scansione fino a 5 ms o più in media. Se si verifica questo tempo di evasione, potrebbe essere necessario un numero maggiore di risorse.
- Gli scanner vm con NIC virtualizzate su un hypervisor non sovraccarico potrebbero richiedere fino a 7 ms o più di tempo medio di evasione delle richieste di scansione. Se si verifica questo tempo di evasione, potrebbe essere necessario un numero maggiore di risorse.