伺服器端防毒與否?
我們的數據中心有基本的伺服器端病毒掃描,但價格昂貴,佔用大量 CPU 週期,而且維護起來很煩人。我不是在尋找關於“更好”的 AV 軟體的銷售宣傳,我更多的是在社區中尋找脈搏,看看其他人在他們的數據中心做什麼。
以下是我們數據中心的快速概覽 - 主要是一家 Windows 商店,擁有少量 Web 伺服器和大量 SQL Server。在 Web 伺服器中,只有少數是面向公眾的,並且埠限制非常嚴格 - 埠 80 和 443。沒有一個 SQL Server 是面向公眾的。
在“內部”威脅(使用者做傻事)方面,我們對權限非常嚴格,因此只有極少數公司可以在伺服器端安裝任何東西。其他人都使用網站或客戶端工具來訪問伺服器。
因此,在這種“受保護”的私有數據中心場景中,95% 的使用者通過客戶端工具訪問伺服器,幾乎沒有公開曝光,是否有充分的理由在我們所有的後台執行 A/V 客戶端?終端伺服器與否?
因此,在這種“受保護”的私有數據中心場景中,95% 的使用者通過客戶端工具訪問伺服器,幾乎沒有公開曝光,是否有充分的理由在我們所有的後台執行 A/V 客戶端?終端伺服器?
不是真的,不。不過,這通常歸結為“合規性”問題,或者因為足夠高的人認為在您的所有私人伺服器上執行 AV 是創建“安全性”的方式。
話雖如此,至少偶爾在所有機器上進行防病毒掃描並不是一個壞主意,無論您認為它們的保護或隔離程度如何,並且有充分的理由支持這種做法。
巧合的是,在所有機器上實現定期 AV 掃描的最簡單方法是在所有機器上安裝輕量級 AV 客戶端。(同樣,“全部”表示“全部”,包括您提到的“受保護”、“私有”伺服器。)一旦您接受所有機器都應該有一個 AV 客戶端,就歸結為一個配置問題,以防止 AV 客戶端免於乾擾您的伺服器。
就個人而言,我更喜歡通過在我的所有伺服器上安裝一個 AV 客戶端來處理這個問題,並在所有伺服器上禁用實時保護/訪問時掃描部分,這樣可以安全地這樣做,同時保持預定的病毒掃描完整(或根據需要調整時間表)。這在伺服器性能和病毒防護之間取得了平衡。當然,與使用者進行大量互動或連接到 Internet 的伺服器會獲得完整的 AV 策略。