Virtuele desktops vereisen aparte AV-software

In de praktijk zijn volgens de auteurs gevallen gemeten waarin de prestaties gedrukt werden met wel 40 procent - en dat dwingt tot aanzienlijke investeringen in servers en opslag om de gebruikers van de virtuele desktops een aanvaardbare performance te bieden.

De onderzoekers besloten het effect van antivirussoftware te meten. Dat deden ze in het kader van Project Virtual Reality Check, waarin Login Consultants en PQR met behulp van de Login VSI Benchmark de performance van virtuele desktopconfiguraties meten. Er werden tests uitgevoerd met Microsofts Forefront Endpoint Protection 2010 (tegenwoordig System Center Endpoint Protection 2012 geheten), Enterprise 8.8.0, MOVE Multiplatform AV 2.x en MOVE Agentless AV 2.5 van McAfee en Symantecs Endpoint Protection 12.1.

Pre-scan van master image blijkt een aanrader

Tussen die oplossingen bleken inderdaad verschillen te bestaan. Maar de belangrijkste bevinding van het onderzoek is een generieke: het bleek van cruciaal belang om vooraf een scan te maken van het image dat gekopieerd wordt naar de verzameling virtuele desktops. Dat bleek bij een eerste proef met de testconfiguratie, die werd uitgevoerd met Microsofts Forefront. Inschakelen van deze antivirusoplossing bleek tot abominabele responstijden te leiden, en anders dan gebruikelijk in virtuele configuraties werd het effect na verloop van tijd eerder negatiever dan positiever. Nadat fouten in de opzet waren uitgesloten, bleek het maken van een pre-scan van de master image een dramatische verbetering in de prestaties teweeg te brengen.

Dat effect bleek zo groot, dat de onderzoekers er zelfs vanaf zagen om de andere AV-suites te testen zonder zo'n pre-scan. Op zich een verdedigbare beslissing: het zal ook bij andere oplossingen verschil maken als er al een database is opgebouwd met scangegevens van de basisconfiguratie van de desktops. Of het nalaten van die procedure bij de andere oplossingen net zo'n dramatisch effect heeft als bij Forefront, blijft nu echter wel onduidelijk.

Heuristische module heeft weinig impact

Ook met andere ingrepen is winst te halen. Het blijkt bijvoorbeeld in alle oplossingen een positief verschil te maken als men alleen bij schrijfoperaties scant. Opmerkelijk genoeg maakt uitschakelen van de heuristische functie gemiddeld maar weinig verschil, hoewel dat zoeken naar malware op basis van algemene kenmerken in plaats van een 'vingerafdruk' wèl de naam heeft resources te vreten. Maar configuraties die gebruikmaken van de standaard firewall in WIndows - die weinig impact op de prestaties in een virtuele omgeving heeft - kunnen met het uitschakelen van de ingebouwde firewall wel weer winst boeken.

Daarbij waarschuwen de onderzoekers wel dat het op die manier verminderen van de belasting van de AV-oplossing ongewenste gevolgen kan krijgen voor de beveiliging van de virtuele desktops. In principe raden ze dat soort ingrepen dan ook af.

Forefront qua impact als beste getest

Van de geteste oplossingen blijkt Microsofts Forefront in een virtuele testomgeving de minste overhead uit te lokken: zo'n 5 procent. Bij de andere oplossingen gaat het richting 20 procent. Move Multiplatform 2.0 van McAfee scoort bijna net zo goed als Forefront; die oplossing gebruikt dan echter een aparte host voor het draaien van de AV-engine, zodat de vergelijking met de andere oplossingen mank gaat. De Symantec-oplossing scoort overall niet veel slechter dan de andere McAfee-oplossingen, maar opmerkelijk is wel de hoeveelheid verkeer met de schijven die Symantec uitlokt.

Ook hier benadrukken de onderzoekers nog eens, dat de kwaliteit van de AV-oplossing belangrijker is dan het effect op de prestaties in een virtuele omgeving.

Het volledige rapport is in te zien via de website van Project Virtual Reality Check.