本主题帮助介绍服务插入和 NSX 客户机侦测平台组件(客户机侦测)的重要概念和架构。
注: 在该图中,蓝色块是
NSX 客户机侦测平台组件,绿色块是端点保护使用者组件。
重要概念:
- NSX Manager:NSX 的管理平面设备,可为客户和合作伙伴提供用于配置网络和安全性策略的 API 和图形用户界面。对于客户机侦测,NSX Manager 还会提供用于部署和管理合作伙伴设备的 API 和 GUI。
- 客户机侦测 SDK:VMware 提供的供安全供应商使用的库。
-
服务虚拟机:由安全供应商提供的需使用 VMware 提供的客户机侦测 SDK 的虚拟机。该虚拟机包含用于扫描文件、进程、网络和系统活动,以在客户机上检测病毒或恶意软件的逻辑。扫描请求后,它会针对客户机虚拟机对请求所采取的操作返回结论或通知。
- 客户机侦测主机代理(上下文多路复用器):用于处理端点保护策略的配置。它还会多路复用受保护的虚拟机中的消息并将其转发到服务虚拟机,然后再从服务虚拟机转发回受保护的虚拟机。它会报告客户机侦测平台的运行状况,并在
muxconfig.xml
文件中维护服务虚拟机配置的记录。 - 操作代理(上下文引擎和客户机侦测客户端):可将客户机侦测配置转发到客户机侦测主机代理(上下文多路复用器)。还可以将解决方案的运行状况转发到 NSX Manager。
- EAM:NSX Manager 可使用 ESXi Agent Manager 在配置了保护方案的集群的每个主机上部署合作伙伴服务虚拟机。
-
瘦代理:在客户机虚拟机中运行的文件和/或网络侦测代理。它会截获通过主机代理转发到服务虚拟机的文件和网络活动或事件。在 Windows 上,此代理是 VMware Tools 的一部分。在 Linux 上,此代理存在于 VMware Tools 之外。它为 NSX 提供了客户机内上下文,还可用于替代防病毒或防恶意软件安全供应商提供的传统代理。它是一种通用的轻量级代理,有助于将用于扫描的文件和进程卸载到供应商提供的服务虚拟机。
使用客户机侦测平台保护客户机虚拟机端点具有以下好处:
- 减少计算资源的消耗:客户机侦测会将主机上每个端点中的特征码和安全扫描逻辑卸载到该主机上的第三方合作伙伴服务虚拟机中。由于扫描仅在服务虚拟机上进行,因此,无需在客户机虚拟机上耗费计算资源来运行扫描。
-
改善管理:将扫描卸载到服务虚拟机后,只需要将特征码更新到每个主机上的一个对象。这种机制优于基于代理的解决方案,因为在后者中,需要在所有客户机虚拟机上更新同一个特征码。
- 提供持续不断的防病毒和防恶意软件保护:因为服务虚拟机会持续运行,因此客户机虚拟机无需运行最新的特征码。例如,快照虚拟机可能运行的是较旧版本的特征码,这使传统的端点保护方式很容易受到攻击。而在客户机侦测平台中,服务虚拟机会持续运行最新版本和恶意软件特征码,从而可确保新添加的虚拟机也会得到最新版本特征码的保护。
- 将特征码卸载到服务虚拟机:数据库生命周期超出了客户机虚拟机生命周期,因此服务虚拟机不会受客户机虚拟机中断的影响。