随着云计算的不断普及，虚拟化技术的应用越来越广，虚拟化环境下的安全防护问题也日益突显。怎样才能既保证系统安全，又降低安全防护对虚拟机性能的影响?安全厂商给出的答案是采用无代理安全部署模式。

将虚拟机密度提升两倍

对于虚拟化环境下的安全防护，传统安全的防护策略是在每台虚拟机上安装安全防护产品，即有代理模式。采用有代理模式时，每台虚拟机与原来的客户端管理模式基本一致，需要升级杀毒软件、检测扫描杀毒等操作，这些操作对系统资源消耗比较大，也可能影响整个系统的效率。

采用无代理部署模式，用户无需在每个虚拟机中安装客户端程序，而是将所有安全策略集中于宿主机底层，进而接管虚拟化环境下的其他所有虚拟机的安全防护。用户只需安装一次底层驱动，可对这台物理界实现其上所有虚拟机得到全面安全防护。

“采用无代理安全模式，用户在扩展虚拟机时，无需再次部署任何系统，因此总体上降低了企业的IT成本”。360安全专家用数字说明了这一点：“第三方研究数据表明，使用无代理防模式的防病毒解决方案，支持的VDI虚拟机密度与传统防病毒解决方案相比提升了两倍。此外，如果客户计划运行1000个虚拟桌面，360无代理安全解决方案可以帮助用户节约IT支出350万元。”

基于Xen和KVM的虚拟化平台

不同厂商在虚拟化实现技术、存储架构、备份机制、虚拟交换机之间的隔离等方面仍然存在很大差异。因此，安全厂商在跟不同虚拟化厂商合作时，针对不同虚拟化厂商和平台架构的不同，开放接口不同，安全解决方案进行差异化的开发，这可能会导致更多的开发成本和周期。安全厂商要针对不同的虚拟化平台进行有针对性的开发和功能支持，对于一些特殊接口，还要进行有针对性的开发才能够予以支持和集成。由此可见，无代理安全模式需要与虚拟化系统密切结合在一起。这就要求安全厂商必须得到虚拟化厂家的支持。

尽管安全厂商对无代理安全模式很推崇，但目前已经推出相关产品的却屈指可数，并且这些无代理安全都基于VMware的虚拟化平台vShield Endpoint，而对Xen、KVM却鲜有涉猎，而日前，360正式发布了基于Xen、KVM虚拟化平台的无代理安全解决方案。

对于为何选择支持Xen、KVM虚拟化平台，360虚拟化安全专家谈到，“目前，大部分国产虚拟化平台都是基于Xen和KVM而进行开发，满足国产虚拟化平台用户对无代理安全的需求也是我们的业务目标。”

对Linux无代理模式的争议

对于无代理安全，业界也存在质疑的声音：由于大多产品只支持VMware平台下的Windows操作系统，并不适用于Linux操作系统，因此无代理安全模式在某些情况下可能存在漏杀的情况。

360在全球范围内率先宣布支持Linux系统的无代理防护，其系统杀毒引擎的性能更为强大，检测速度更为迅速，分层扫描更细致。对于漏杀之说，360虚拟化安全专家表示，无代理模式比之前的安全防护策略更加安全，因为以前的系统是分散的，病毒库有没有更新到系统中，用户可能并不知道，对虚拟化进行集中管控之后，经过虚拟化平台的数据都会被扫描到。在整套无代理解决方案中，可以在防病毒的基础上，用户还可以选择添加入侵检测、漏洞修补和防火墙等更多功能，这使无代理模式正在突破功能单一的弊端，实现更全面的安全防护。

统一管理两种模式

当前，用户的IT环境复杂，既包括虚拟化环境，又包括物理机环境，还包括混合使用环境。此外，跨平台的操作系统同时应用在企业网络内部，随着IT消费化趋势，个人设备、移动终端的应用越来越广泛。

在这种情况下，无代理模式和轻代理模式需要相互配合。360安全专家强调，“如果用户的数据中心环境是100台服务器，其中5台是物理服务器，95台是虚拟机，用户可选择在95台虚拟机上安装无代理模式的安全解决方案，在其余5台物理机上安装有代理防护解决方案，并且通过控制中心实现对虚拟机、物理机的统一管理和策略下发。同样，360整套虚拟化安全管理系统中的设计原则之一也是简化管理。通过一个安全控制中心，用户就可以实现跨越虚拟机、物理机和云计算平台的统一管理，任何管理行为遵循三键可达为目标。

尽管360在企业数据中心的安全产品起步较晚，但是云计算已为大势所趋，国产虚拟化平台在中国的发展速度会更快，而无代理安全模式也将随着云计算的发展快速得到推广，360将利用其庞大的数据资源和专利技术为依托，奏响虚拟化安全全新乐章。