McAfee MOVE Platform & SAP

Bir çoğumuz denetimler geçiriyoruz. Özellikle SAP gibi kritik sunucuların denetimlerinde hepimiz “Bu sunucularda neden antivirus yazılımı yok?” yada “Bu sistemlere virus bulaşmaması için aldığımız önlemler nelerdir?” gibi sorularla karşı karşıya kalıyoruz. Belki risk alıp antivirus yazılımını SAP sunucuları da kuranlarımız vardır. Bunun da bazen performans sıkıntısı veya makinenin işlem yapamaz hale gelmesi gibi çok ciddi sonuçları olabiliyor. Aslında en önemli sonuçlarından biri de SAP ‘den destek alırken yaşanıyor. Çünkü SAP sunucu üzerinde antivirüs yazılımının çalıştığını gördüğünde size verdiği desteği sonlandırabiliyor.

Ne kadar işletim sistemi yamalarını ve üzerindeki SAP güncellemelerini takip etseniz de, aslında hepimiz bu makinelerde de diğer makinelerde yaptığımız gibi antivirus yazılımını yükleyip, bu konuyu kapatmak istiyoruz. Çünkü SAP sunucusu da olsa sonuçta network üzerinde erişiliyor ve bundan dolayı tüm güvenlik riskleri bu sunucular içinde geçerli. Ama SAP sisteminin çalışamaması ,yani şirketin belli fonksiyonlarının durması göz önüne gelince bu makinelerden uzak durmayı seçebiliyoruz yada virüs riskini almaya değer diyerek bu işten belki de vazgeçiyoruz.

İşte bu noktada McAfee ‘in geliştirdiği MOVE ürünü bizi bu dertten kurtaran bir çözüm olarak karşımıza çıkıyor.

SAP sunucularına kurulan küçük bir Move client ile tüm tarama taleplerini ortamdaki scan sunucusuna gönderiyorsunuz yani offload scanning işlemi yapılıyor. Scan server da McAfee VirusScan Enterprise yazılımı yüklü ve bu yazılım güncel DAT dosyasını da kullanarak hızlıca gelen tarama talebini gerçekleştiriyor ve eğer dosya temiz ise erişime izin veriyor, yok dosya virüslü ile gerekli aksiyonu alıyor(temizleme, silme gibi). Bazı kriterlerde mevcut. Örneğin taranacak dosya 40 MB’tan büyük ise bu dosya taranmıyor. Bu tip ayarlarda yapılabiliyor.

En önemlisi SAP ve veritabanı dosyalarını da tarama operasyonunun dışında tuttuğunuz için SAP sistem performansı bu durumdan hiç etkilenmiyor. İsterseniz dahil de edebilirsiniz, buradaki konfigürasyon ve neyin taranıp taranmayacağı kararı size ait. Bu işlemleri de tüm ortamı yöneten McAfee ePolicy Orchestrator yazılımı ile yapabiliyorsunuz. McAfee MOVE sayesinde SAP sistemi üzerindeki işletim sistemi veya diğer dosyalarda böylelikle virus taramasından geçmiş oluyor.

Tarama işlemi iki aşamalı :

  • On-Accessing scan, sunucu üzerindeki herhangi bir dosyaya erişmeyi denediğinizde bu dosya scan server’a gönderiliyor ve tarama işleminden geçiriliyor. Ama bu bir kez yapılıyor, siz aynı dosyaya tekrar erişmeye çalıştığınızda scan server bu dosyaya ait bilgiyi kendi cache’inde tuttuğu için onu tekrar taramıyor ve erişime izin veriyor.
  • On-demand scan; sizin isteğinize bağlı olarak yaptırdığınız tarama işlemidir. Örneğin hafta sonu Cumartesi gece 01:00 ile Pazar akşam 18:00 arası tüm SAP sunucularının taranması için bir job oluşturduğunuzda, tüm SAP sistemleri move client sayesinde scan serverlar tarafından kontrol edilir. Bu işlemde scan server cache ‘inin oluşması açısından önemli. Dolayısıyla Pazartesi kullanıcılar işbaşı yaptı sistemler aktif kullanılmaya başlandı, bir gün önce tüm sistem taraması yapıldığı için cache ‘teki bilgi güncel böylelikle tekrardan aynı dosyaları (değişmedikçe) taramaya gerek yok. Sonuç olarak sistemin antivirus operasyonundan dolayı yavaşlaması söz konusu değil.

Scan server cache ‘inde tutulduğu bir süre var, önerilen 48 saatte bir RAM ‘de tutulan cache’in temizlenmesi. Çünkü bir dosya taranıp hash id’si oluşturulup cache ‘e bu id kaydedildiğinde aynı dosya farklı bir sistemden bile gelse McAfee scan server bu dosyayı taramıyor çünkü cache ‘te daha önce bu dosyanın temiz olduğuna dair bilgi var, ama ya dosyaya son taramadan sonra virus bulaştıysa! İşte bu riskin seviyesini biraz düşürmek için süreyi çok uzun tutmamak gerekiyor.

Bunu bir antivirüs servisi olarak ele alırsak, bu servisi oluşturan parçaları aşağıdaki gibi listeleyebiliriz.

McAfee Move Client
à McAfee MOVE AV platformunun temel yapıtaşı. Üzerinde antivirus olmayan Windows sunucularına kuruluyor.

McAfee Scan server
à Windows bir sunucuya üzerinde yüklü olan McAfee VSE ‘ye bir add-on olarak kuruluyor. Yeni kurulmuş bir sunucu olursa ve üzerinden başka bir rol olmazsa daha iyi olur. Çünkü tarama işlemi sadece bir SAP sunucusundan gelmeyecek, ortamdaki tüm MOVE clientlar bu sunucuyla konuşacak. Mümkünse bir yedeğininde bulundurulması tavsiye edilir. Yani primary scan server, backup scan server.

McAfee EPO server
à Tüm McAfee ürünlerinin merkezi bir noktadan yönetilmesini sağlıyor. Client deployment, policy assignment ve daha birçok işlemi bu yazılım üzerinden yapıyoruz.

SVA Manager à Linux tabanlı bir virtual appliance. MOVE client’lar hangi scan server ile bağlantı kuracağını otomatik olarak söyleyen yazılım.

Bu servisi “McAfee MOVE AntiVirus Agentless” ile karıştırmayın. Agentless olan versiyonu sanal ortamlar için aynı işlemi yapan bir koruma yazılımıdır. Benim bu yazımda bahsettiğim yazılım topluluğu ise “McAfee MOVE AntiVirus Multi-Platform”. Ürünün detaylı dökümanını da inceleyebilirsiniz. (Link)

Bu ürünü sadece SAP server’lar için de düşünmeyin, ortamda bulunan ve üzerine McAfee VSE kuramayacağınız yada kurulması riskli olan diğer sistemler içinde düşünebilirsiniz.

Şimdilik bu kadar!

tolgaasik

Share