A menudo nos preguntan si instalamos software antivirus en nuestros servidores, específicamente el tipo de escáneres basados en firmas que se ejecutan de forma programada. Los cuestionarios de seguridad del cliente y los SGSI a menudo lo mencionan.
Para servidores de larga ejecución esto naturalmente tiene sentido. Aunque en teoría abre la ventana a los ataques a través del compromiso del proceso de actualización de la firma de ClamAV, por ejemplo, es mucho menos probable que otras formas de infecciones que las exploraciones AV periódicas pueden detectar y poner en cuarentena.
Sin embargo, la infraestructura moderna a menudo se basa en "imágenes de máquina" inmutables, como Amazon Machine Service de Amazon Web Service, que se utilizan como base para grupos de servidores altamente transitorios que aumentan o disminuyen a lo largo del día en función del uso general .
Los servidores individuales en estos grupos pueden durar desde una hora hasta seis horas, pero rara vez duran más de un día en nuestro caso. Al preguntar en los círculos sysadmin / devops, el consenso parece ser no preocuparse por el antivirus en estos servidores.
Algunos de los puntos que he escuchado contra AV en dichos servidores son:
- Los servidores mueren en un día o menos en la mayoría de los casos, por lo que el malware tendrá dificultades para persistir.
- ¿Cuándo programas el escaneo? No en el inicio, ya que es de suponer que la infraestructura necesita más recursos del nuevo servidor, por lo que incluso un proceso de escaneo
nice
d podría ser un problema. - La base de los nuevos servidores es desde una imagen inmutable, por lo que la cuarentena automática solo soluciona el problema de un solo servidor por un corto período de tiempo, no solucionando el problema en la imagen base que permitió comenzar con la infección.
Sin embargo, me encuentro cuestionando esta vista por estos motivos:
- Los virus modernos a menudo tienen buenos mecanismos de propagación de la red, por lo que es importante detectar malware incluso en servidores transitorios.
- La combinación de la exploración antivirus con el registro centralizado permite alertar sobre malware, incluso si la cuarentena automática no es efectiva a largo plazo en un servidor transitorio y de corta duración. El simple hecho de permitir que el personal sepa sobre la presencia de malware en un grupo transitorio de servidores es crítico.
- Los administradores de servicios como
systemd
permiten compensar el primer análisis y la programación después de eso, por lo que es fácil evitar el tiempo de inicio.
¿Podrían algunos de los expertos aquí dar su opinión sobre esto? ¿Tengo derecho a seguir queriendo escáneres antivirus en dichos servidores?