Corporate antivirus voor op servers, ervaringen/tips? - Serversoftware en clouddiensten

vrijdag 6 februari 2015 09:55

Acties:

Verwijderd

Topicstarter

Ik ben op zoek naar een vervanger van ons huidige antivirus voor op onze servers (2003 tot 2012R2). Momenteel draaien we Kaspersky Endpoint Security 10 en Kaspersky For Servers Enterprise Edition 8 (door elkaar). De performance hiervan is op zich redelijk, maar het management via de management console van Kaspersky vinden we r*k. Ook hebben we wat issues gehad met de config waardoor de firewalls aan stonden en bij het uitzetten servers 5 minuten niet bereikbaar waren... Tijd voor een ander AV dus.

Op onze client draaien we NOD32. Beleid is dat we niet het zelfde AV op de servers draaien, die valt dus helaas af

Op AV Comparatives, etc. heb ik allemaal al gezocht. Hele lijsten met mooie abstracte cijfertjes. Soms ook een aanbeveling voor wat betreft het beheersgemak. Jammer genoeg schijnt KAV ook makkelijk te beheren te zijn, terwijl wij die interface/setup gruwelijk omslachtig vinden.

Mijn vraag:

Wat is een goed AV product voor op servers, waarbij vooral van belang is dat het management erg simpel is. We hebben meerlaags beveiliging, dus detectie ratio is niet prio1.

Vereisten:

Mogelijkheid tot het centraal regelen van policies en het ophalen van updates (vanaf een master server).
Mogelijkheid tot het simpel maken van uitzonderingen op de policy op een per server basis (on write scan, i.p.v. on acces, etc.).
On write scan moet mogelijk zijn, in plaats van on access/execute.
Moet draaien op 32 en 64bits Windows (eigenlijk alles na 2003).
Liefst zo min mogelijk overhead (liever geen firewall, ips, etc.).
Bij voorkeur geen antivirus op hypervisor niveau (we gebruiken VMWare).

Ik heb ook in het AV forum gekeken, maar daar gaat het meer om consumer AV oplossingen. Het gaat mij specifiek om een corporate AV oplossing voor op onze servers (ca. 200). Ik hoef dan ook geen "gratis" oplossing, maar een goede met zo min mogelijk beheer!

vrijdag 6 februari 2015 09:58

Acties:

m0nk

16-09-2003 15.15

Kijk eens naar Sophos. Gebruiken wij al jaren en hebben onlangs het contract verlengd met 3 jaar. Beheer is eenvoudig en het product voldoet aan al je eisen. Voordeel is ook dat je het gelijk kunt aanbieden aan de gebruikers voor thuis.

Wellicht eens een afspraak maken met Sophos of een distri voor een uitgebreide demo.

[ Voor 15% gewijzigd door m0nk op 06-02-2015 09:58 ]

13-05-2016 15:00 | 08-11-2017 8:30 | 25-11-2024 13:47

vrijdag 6 februari 2015 10:02

Acties:

Verwijderd

Topicstarter

m0nk schreef op vrijdag 06 februari 2015 @ 09:58:
Kijk eens naar Sophos. Gebruiken wij al jaren en hebben onlangs het contract verlengd met 3 jaar. Beheer is eenvoudig en het product voldoet aan al je eisen. Voordeel is ook dat je het gelijk kunt aanbieden aan de gebruikers voor thuis.

Wellicht eens een afspraak maken met Sophos of een distri voor een uitgebreide demo.

We hebben Sophos gehad op onze clients. Daar vonden we het wel een erg log product. Is dit anders voor de server client?

Op dit moment hebben we trouwens ook BitDefender op het oog. Iemand daar ervaring mee?

vrijdag 6 februari 2015 10:07

Acties:

prutser001

Vaak zit het tegen en soms zi

Ik moet zeggen dat ik goed te spreken ben over Symantec Endpoint Protection, we hebben dit al.... jaaaren (Hiervoor hete het anders, andere versies etc) in gebruik en management is goed te doen, deploy etc is goed, linux en mac support.

http://www.symantec.com/endpoint-protection/

Asus Z390 Maximus IX Hero, Intel 9900K, RTX3080, 64GB DDR4 3000, 2TB NVME, Samsung 850Evo 1TB, 4 x 14TB Toshiba, Be Quiet SB 801, Samsung 34"

vrijdag 6 februari 2015 10:10

Acties:

m0nk

16-09-2003 15.15

Verwijderd schreef op vrijdag 06 februari 2015 @ 10:02:
[...]

We hebben Sophos gehad op onze clients. Daar vonden we het wel een erg log product. Is dit anders voor de server client?

Op dit moment hebben we trouwens ook BitDefender op het oog. Iemand daar ervaring mee?

Valt mee, zeker de nieuwe versie. Zoals bij alle andere oplossingen kan je per policy vanuit de management console alles instellen zoals je wilt. Wij (grote zorgorganisatie) zijn er erg tevreden mee.

Bitdefender geen ervaringen mee zelf.

13-05-2016 15:00 | 08-11-2017 8:30 | 25-11-2024 13:47

vrijdag 6 februari 2015 13:37

Acties:

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Verwijderd schreef op vrijdag 06 februari 2015 @ 09:55:
Bij voorkeur geen antivirus op hypervisor niveau (we gebruiken VMWare).

Even puur uit nieuwsgierigheid, maar mag ik vragen waarom?

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

vrijdag 6 februari 2015 13:42

Acties:

Rolfie

Ook hebben we wat issues gehad met de config waardoor de firewalls aan stonden en bij het uitzetten servers 5 minuten niet bereikbaar waren... Tijd voor een ander AV dus.

Gemakkelijke oplossing is gewoon de firewall er niet bij installeren?
Daarbij geen enkel Antivirus product is bestand tegen admin configuratie fouten......

En als je een paar merken wilt, Symantec, Mcafee, Trendmicro. Allemaal grote leveranciers met goede en slechte eigenschappen.

Er is helaas geen "beste antivirus".

Ik heb diepgaande ervaring met Mcafee, en vind dit product erg fijn werken. Er is zeer veel mogelijk. Zo heb ik hiermee diverse virus uitbraken kunnen stoppen, gewoon door blockeerd / execute rules te detineren. Terwijl het virus nog niet bekend was in de definitie files. Iets wat ik juist heel belangrijk vind. Immers een antivirus product loopt altijd achter de feiten aan.

Trendmicro (cloud versie), vind ik persoonlijk erg licht op de machine. Maar configuratie technisch een stuk minder en lastiger.

Kaspersky heb ik momenteel ook draaien bij een aantal klanten. Vind het inderdaad een wazige console die erg onlogisch is. AntiVirus technisch wel een mooi product. Of ik het nog een keer zou aanschaffen is een tweede.

vrijdag 6 februari 2015 15:21

Acties:

Meekoh

Wij gebruiken op onze servers Trend Micro. Werkt prima ook op high performance web servers.

Computer says no

vrijdag 6 februari 2015 16:57

Acties:

Dennism

Ik denk dat juist op een VMware platform met een hoge dichtheid qua servers een AV oplossing op Hypervisor niveau erg prettig is, alle scanning wordt gedaan door je virtuele appliances waardoor scanning van servers geen directe performance impact meer heeft op die machines. Ook kosten technisch kan het aantrekkelijk zijn. Wij gebruiken Trend Micro deep security binnen onze VMware omgeving en de licentie kosten voor de servers die we op dat moment hadden waren maar iets hoger dan een traditionele AV oplossing met een uitgebreide client op de server. Doordat je met o.a. Trend micro je sockets afkoopt in je hosts ipv losse licenties per server zijn nu echter alle servers die we de komende tijd de lucht in schieten direct afgedekt.zonder meer kosten, terwijl je bij traditionele oplossingen waar constant je licenties moet uitbreiden.

Onze fat clients binnenshuis draaien ook op deep security (dit is een redelijk goedkope losse licentie, wel per client), terwijl onze laptops buiten de deur draaien op de cloud oplossing van Trend Micro. De admin console van Trend ben ik trouwens ook erg tevreden over.

vrijdag 6 februari 2015 19:07

Acties:

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Er zitten voor en nadelen aan een anti-virus oplossing op Vsphere niveau:

Voordelen zijn oa. dat er binnen de vm eigenlijk geen componenten meer geinstalleerd hoeven te worden (de api is namelijk onderdeel van de vmware tools). Elke VM met de vmware tools is dan ook al standaard beschermd. Licentietechnisch kan het inderdaad intressant zijn, en de cpu-load binnen de vm is lager dan bij het gebruik van een traditionele anti-virus oplossing.

Nadelen zijn de iets lagere netwerkdoorvoersnelheid, en overall een wat hoger cpu- en memory-gebruik (op Hypervisor niveau).

Het heeft zijn voor en tegens dus. Vandaar dat ik al even vroeg waarom TS liever geen antivirus oplossing op Hypervisor niveau wil. Is dat onbekendheid met de materie, of heeft TS een specifieke loadset op zijn vm's waarom de genoemde nadelen een issue kunnen zijn?

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

vrijdag 6 februari 2015 19:14

Acties:

Dennism

Lagere netwerk doorvoer is trouwens bij ons niet echt merkbaar al zal het er uiteraard iets zijn, geheugen gebruik heb ik het idee dat juist lager ligt (de appliances gebruiken in totaal minder geheugen dan ons oude traditionele AV pakket als ik het geheugen gebruik van de oude clients optel t.o.v. de load qua memory use op de appliances), cpu gebruik zou inderdaad kunnen, al merk ik het verschil daarin ook niet (we hebben qua cpu een redelijke overcapaciteit op de hosts).

[ Voor 3% gewijzigd door Dennism op 06-02-2015 19:20 ]

vrijdag 6 februari 2015 19:30

Acties:

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Onderstaand is een erg intressant essay. Hier worden drie (VDI) scenario's met elkaar vergeleken door het uitvoeren van een groot aantal benchmarks.

Geen anti-virus
Traditionele anti-virus (Trend Micro WFBS)
Anti-virus op de Hypervisos (Trend Micro DS)

http://essay.utwente.nl/6...sis_Arris_Huijgen_CSC.pdf

De belangrijkste conclusies heb ik hier even aangehaald:

Based on the benchmark results several conclusions can be drawn. Firstly, in this test
environment, WFBS performance-wise matches the transfer speed of an AV-less environment
while DS’s transfer speed was less than half of it.

....

When looking at CPU usage within the Windows 7 VM, DS uses the least CPU power
while WFBS uses all of the VM’s CPU power. However, when looking at ESX’s CPU usage,
DS has significantly more CPU usage although WFBS still uses twice this amount.
Due to DS’s increased transfer time compared to WFBS, both solutions still use a similar
amount of accumulated processing power.

.....

Comparing memory usage, DS uses the most memory by far. While the WFBS software
barely increases the memory usage of the Windows 7 VM, the required DS VAs does
increase the memory usage greatly. Although on a large scale HVD environment the
memory usage might not increase drastically, many VMs can be running WFBS before
it is more efficient in terms of memory to run DS instead of WFBS.

On the other hand looking at CPU usage, because all malware scanning is confined to
a single VM, when on multiple VMs there is a lot of file activity, the server’s CPU will
not be overloaded by all the virus scanning processes running. Instead the DSVA will
be very busy up to the limit of the hardware assigned to that VM while the virtualized
workstations running on that server will be responsive. In case of WFBS this situation
would lead to all VMs using their full CPU each resulting in an excessive amount of
CPU usage on the physical hosts which slows down the system’s overall responsiveness.
A disadvantage of DSVA however is that the DSVA is likely to be a bottleneck in file
transfers.

De uiteindelijke resultaten zullen waarschijnlijk sterk afhankelijk zijn van de loadset en onderliggende hardware. In dit geval ging het om een VDI workload, wat automatisch een hoge vm density per server betekend.

Ik ben eigenlijk wel benieuwd naar andere praktijkervaringen.

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

maandag 9 februari 2015 08:55

Acties:

Verwijderd

Topicstarter

Question Mark schreef op vrijdag 06 februari 2015 @ 13:37:
[...]

Even puur uit nieuwsgierigheid, maar mag ik vragen waarom?

Zijn meerdere redenen voor:

1e reden: ze grijpen in op de hypervisor/netwerk laag van de VM. Als VMWare een zwak punt heeft dan is het wel de networking...

Ook is het in mijn ogen niet echt een "agentless" AV: je vervangt je Antivirus agent simpelweg door de vSphere vShield agent (die we nu niet standaard installeren). Ofwel: je hebt misschien minder load, maar het scheelt lang niet zo veel als ze zeggen. Helemaal als je rekent hoe VMWare met geheugen omgaat over VM's heen scheelt het niet zo veel. Wij hebben een redelijk lage server dichtheid (soms 25 VM's op een host, meestal minder dan 10) waardoor je nog minder profijt hebt van een hypervisor oplossing, helemaal omdat ze ook allemaal een appliance nodig hebben om te kunnen werken. Je verschuift in mijn ogen meer de workload binnen de host dan dat je er nu zo veel profijt van hebt... Tot nu toe werkt onze filosofie om meer (goedkopere) servers te kopen en iets minder te consolideren prima: lekker flexibel

Tot nu toe zijn ze vaak een factor 10 (!) duurder dan bestaande AV oplossingen.

Ervaringen van andere bedrijven. Het is wat volwassener aan het worden, maar we hebben behoorlijk wat negatieve verhalen gehoord over bijvoorbeeld TrendMicro DeepSecurity en de McAfee oplossingen. Vooral het plotseling inzakken van de complete networking stack tot een "drizzle" deed ons wat huiveren.

Dus bij voorkeur niet. Maar ik sta open voor evangelische verhalen en heel andere prijs ervaringen

maandag 9 februari 2015 09:09

Acties:

Verwijderd

Topicstarter

Question Mark schreef op vrijdag 06 februari 2015 @ 19:30:
Onderstaand is een erg intressant essay. Hier worden drie (VDI) scenario's met elkaar vergeleken door het uitvoeren van een groot aantal benchmarks.
Geen anti-virus
Traditionele anti-virus (Trend Micro WFBS)
Anti-virus op de Hypervisos (Trend Micro DS)
http://essay.utwente.nl/6...sis_Arris_Huijgen_CSC.pdf

De belangrijkste conclusies heb ik hier even aangehaald:

[...]

De uiteindelijke resultaten zullen waarschijnlijk sterk afhankelijk zijn van de loadset en onderliggende hardware. In dit geval ging het om een VDI workload, wat automatisch een hoge vm density per server betekend.

Ik ben eigenlijk wel benieuwd naar andere praktijkervaringen.

Super bedankt voor de link, deze had ik nog niet gevonden!

Wij draaien op onze VDI omgeving overigens ESET NOD32. Deze heeft eigenlijk de laagste workload (op webroot na) en de beste resultaten. Ook werkt het erg snel qua updaten en merk je er niets van bij het uitrollen van nieuwe machines.

We hebben ook TrendMicro en Sophos op onze VDI omgeving getest: TM wilde eigenlijk niet goed lukken destijds: te veel gedoe met uitrollen van nieuwe VDI's. Als het werkte was de memory load van TM bijna een keer zo hoog dan die van NOD32. Sophos hebben we ook getest: die was iets meer dan een keer zo hoog.

De hypervisor oplossingen hebben we niet vergelijken, vanwege de slechte verhalen en de nieuwheid van de technologie destijds (4 jaar terug). Heeeeel simpel rekensommetje: ~100MB×50 vm's (meer doen we niet op een host) = 5GB aan overhead. De management appliance heeft als minimum 4GB nodig, dan scheelt het nog maar 1GB. En van de ervaringen van collega's weet ik dat 8GB dichter in de buurt komt. CPU load van NOD32 hebben we eigenlijk niet echt goed gemeten, zo laag is die. Ik heb de load van de TM oplossing wel gezien op een vergelijkbare omgeving: zodra je gewoon wat bestandjes heen en terug schuift krijgt die het héél druk...

Maar goed: daarom vraag ik dus niet voor een AV voor onze VDI omgeving. Zijn echt super tevreden met ESET NOD32

maandag 9 februari 2015 09:15

Acties:

Verwijderd

Topicstarter

Dennism schreef op vrijdag 06 februari 2015 @ 16:57:
Ik denk dat juist op een VMware platform met een hoge dichtheid qua servers een AV oplossing op Hypervisor niveau erg prettig is, alle scanning wordt gedaan door je virtuele appliances waardoor scanning van servers geen directe performance impact meer heeft op die machines. Ook kosten technisch kan het aantrekkelijk zijn. Wij gebruiken Trend Micro deep security binnen onze VMware omgeving en de licentie kosten voor de servers die we op dat moment hadden waren maar iets hoger dan een traditionele AV oplossing met een uitgebreide client op de server. Doordat je met o.a. Trend micro je sockets afkoopt in je hosts ipv losse licenties per server zijn nu echter alle servers die we de komende tijd de lucht in schieten direct afgedekt.zonder meer kosten, terwijl je bij traditionele oplossingen waar constant je licenties moet uitbreiden.

Onze fat clients binnenshuis draaien ook op deep security (dit is een redelijk goedkope losse licentie, wel per client), terwijl onze laptops buiten de deur draaien op de cloud oplossing van Trend Micro. De admin console van Trend ben ik trouwens ook erg tevreden over.

Op dit moment betaal ik voor 150-200 virtuele servers ongeveer 3000 per jaar. De prijsopgaaf die wij kregen voor de TM DS oplossing voor 12 hosts lag de eerste keer een factor 35 (!) hoger: meer dan 100.000. Het jaar er op was dit plots gezakt naar 50.000, maar dat is alsnog meer dan 10 keer zo duur. Misschien als je een heel veel hogere dichtheid hebt van je servers.

De admin interface van TM was (wat jaarjes terug) wel redelijk te doen. Alleen kon ik niet heel simpel per server/groep verschillende scan/detection settings meegeven, ik weet niet of dit nu anders is?

maandag 9 februari 2015 09:20

Acties:

Verwijderd

Topicstarter

Rolfie schreef op vrijdag 06 februari 2015 @ 13:42:
[...]

Gemakkelijke oplossing is gewoon de firewall er niet bij installeren?
Daarbij geen enkel Antivirus product is bestand tegen admin configuratie fouten......

Dat is inderdaad de simpelste oplossing. Hebben we dus ook gedaan.
Jammer genoeg moet je dat bij Kaspersky blijkbaar in een ini file bij de daadwerkelijke installatie meegeven, standaard staat het dingetje aan. Zet je het vinkje uit bij de installatie via de beheersconsole dan wordt het gewoon meegeïnstalleerd om vervolgens te worden uitgeschakeld: downtime. Ofwel: dat is weer die idiote interface van Kaspersky.

En als je een paar merken wilt, Symantec, Mcafee, Trendmicro. Allemaal grote leveranciers met goede en slechte eigenschappen.

Er is helaas geen "beste antivirus".

Ik heb diepgaande ervaring met Mcafee, en vind dit product erg fijn werken. Er is zeer veel mogelijk. Zo heb ik hiermee diverse virus uitbraken kunnen stoppen, gewoon door blockeerd / execute rules te detineren. Terwijl het virus nog niet bekend was in de definitie files. Iets wat ik juist heel belangrijk vind. Immers een antivirus product loopt altijd achter de feiten aan.

Trendmicro (cloud versie), vind ik persoonlijk erg licht op de machine. Maar configuratie technisch een stuk minder en lastiger.

Kaspersky heb ik momenteel ook draaien bij een aantal klanten. Vind het inderdaad een wazige console die erg onlogisch is. AntiVirus technisch wel een mooi product. Of ik het nog een keer zou aanschaffen is een tweede.

McAfee hebben wat collega's dan weer slechte ervaringen mee uit het verleden. Maar misschien kan het geen kwaad om deze ook nog eens naar te kijken.

Ik moet zeggen dat ik op dit moment begin te neigen naar Symantec en BitDefender. Alleen schijnt werkelijk niemand die laatste te gebruiken in NL

maandag 9 februari 2015 09:50

Acties:

Verwijderd

Wij gebruiken hier ook Kaspersky in de organisatie maar persoonlijk vind ik het qua beheer ook een draak van een product. Overigens qua virusdetectie geloof ik wel dat Kaspersky een het erg goed doet.

Hiervoor hadden we Microsoft Forefront Endpoint Protection en dat vond ik qua beheer een veel fijner pakket alleen qua virusdetectie schijnt dat pakket lager te scoren in de praktijk dan bijv. Kaspersky.

maandag 9 februari 2015 10:25

Acties:

furian88

dit is wel een mooi overzicht van alle endpoint protection software.

http://endpoint-protectio...review.toptenreviews.com/

https://pvoutput.org/list.jsp?userid=86006

maandag 9 februari 2015 22:06

Acties:

Dennism

Verwijderd schreef op maandag 09 februari 2015 @ 09:15:
[...]

Op dit moment betaal ik voor 150-200 virtuele servers ongeveer 3000 per jaar. De prijsopgaaf die wij kregen voor de TM DS oplossing voor 12 hosts lag de eerste keer een factor 35 (!) hoger: meer dan 100.000. Het jaar er op was dit plots gezakt naar 50.000, maar dat is alsnog meer dan 10 keer zo duur. Misschien als je een heel veel hogere dichtheid hebt van je servers.

De admin interface van TM was (wat jaarjes terug) wel redelijk te doen. Alleen kon ik niet heel simpel per server/groep verschillende scan/detection settings meegeven, ik weet niet of dit nu anders is?

Weet je zeker dat dit de basis versie van Trend Micro Deep Security betrof en niet de meest uitgebreide met IPS / Host firewall / Auditing / Intergity monitoring / log inspection e.d. ipv enkel AV / Anti malware en Webscanning?

Wij zitten qua kosten namelijk op net iets minder dan 2K per host per 3 jaar, das nogal een verschil met jouw prijzen

Admin interface van Deep Security vind ik een van de beste die ik ooit gehad heb onder mijn beheer, zo niet de beste. Qua policies kun je alle kanten op en zeer fine grained.

dinsdag 10 februari 2015 08:34

Acties:

Question Mark

Moderator SSC/WOS

F7 - Nee - Ja

Verwijderd schreef op maandag 09 februari 2015 @ 09:09:
[...]
Heeeeel simpel rekensommetje: ~100MB×50 vm's (meer doen we niet op een host) = 5GB aan overhead. De management appliance heeft als minimum 4GB nodig, dan scheelt het nog maar 1GB. En van de ervaringen van collega's weet ik dat 8GB dichter in de buurt komt. CPU load van NOD32 hebben we eigenlijk niet echt goed gemeten, zo laag is die. Ik heb de load van de TM oplossing wel gezien op een vergelijkbare omgeving: zodra je gewoon wat bestandjes heen en terug schuift krijgt die het héél druk...

Bovenstaande klopt wel en staat ongeveer ook zo beschreven in de eerder genoemde essay. De totale cpu- en memoryload verschilt eigenlijk niet ten opzichte van traditionele anti-virus oplossingen.

Het grote verschil zit hem echter in wáár de load optreed. Bij traditionele anti-virus oplossingen zit de memory en cpu-load in de VM (je geeft zelf al aan dat je VM 100MB minder memory beschikbaar heeft). Bij anti-virus op Hypervisor niveau zit hem memory- en cpu in de appliance. Één van de conclusies van dat onderzoek is dan ook dat ondanks het iets grotere verbruik van resources, de "snappinness" van de vm's (responsetijden ed) beter zijn bij gebruik van bv. DS.

Ik heb overigens zelf geen ervaring met anti-virus op Hypervisor niveau, dus praktijkervaringen heb ik niet voor je.

MCSE NT4/2K/2K3, MCTS, MCITP, CCA, CCEA, CCEE, CCIA, CCNA, CCDA, CCNP, CCDP, VCP, CEH + zwemdiploma A & B

vrijdag 13 februari 2015 14:33

Acties:

Froggy

...

Iemand misschien ervaringen met G Data Endpoint Protection Business?

Vooral prijstechnisch heel interessant. Maar hoe bevalt het in de praktlijk?

iRacing

Pagina: 1

Reageer