我们经常被问到是否在我们的服务器上安装了防病毒软件,特别是那种按计划运行的基于签名的扫描程序。客户安全调查问卷和 ISMS 经常提到它。
对于长时间运行的服务器,这自然是有道理的。虽然它理论上打开了通过破坏 ClamAV 的签名更新过程进行攻击的窗口,但与定期 AV 扫描可以检测和隔离的其他形式的感染相比,这种可能性要小得多。
然而,现代基础设施通常基于不可变的“机器映像”,例如 Amazon Web Service 的 Amazon 机器映像,它们用作高度瞬态服务器组的基础,这些服务器组在一天内根据整体使用情况进行扩展和缩减。
这些组中的单个服务器可以持续一小时到六个小时,但在我们的案例中很少持续超过一天。在 sysadmin/devops 圈子中询问,共识似乎是不要在这些服务器上使用防病毒软件。
我在此类服务器上听到的一些反对 AV 的观点是:
- 在大多数情况下,服务器会在一天或更短的时间内死掉,因此恶意软件很难持续存在。
- 你什么时候安排扫描?不是在启动时,因为这可能是基础架构最需要新服务器资源的时候,所以即使是
niced 扫描过程也可能是一个问题。 - 新服务器的基础来自不可变的映像,因此自动隔离只是在短时间内修复单个服务器的问题,而不是修复允许感染开始的基础映像中的问题。
但是,我发现自己出于以下原因质疑这种观点:
- 现代病毒通常具有良好的网络传播机制,因此即使在临时服务器上发现恶意软件似乎也很重要。
- 将防病毒扫描与集中式日志记录相结合可以发出恶意软件警报,即使自动隔离在临时、短命的服务器上长期无效。仅让员工了解临时服务器组中是否存在恶意软件至关重要。
- 服务管理器喜欢
systemd允许偏移第一次扫描和之后的调度,因此很容易避免达到启动时间。
这里的一些专家可以对此发表看法吗?我是否仍然希望在此类服务器上安装防病毒扫描程序?