Onder ons kliënte is daar maatskappye wat Kaspersky-oplossings as 'n korporatiewe standaard gebruik en hul antivirusbeskerming onafhanklik bestuur. Dit wil voorkom asof die virtuele lessenaardiens, waarin die verskaffer die antivirus monitor, nie baie geskik is vir hulle nie. Vandag sal ek jou wys hoe kliënte self beskerming kan bestuur sonder om die sekuriteit van virtuele rekenaars in te boet.
В ons het reeds in die algemeen beskryf hoe ons kliënte se virtuele rekenaars beskerm. Antivirus binne die VDI-diens help om die beskerming van masjiene in die wolk te versterk en dit onafhanklik te beheer.
In die eerste deel van die artikel sal ek wys hoe ons die oplossing in die wolk bestuur en die prestasie van Kaspersky-wolk vergelyk met tradisionele Endpoint Security. Die tweede deel gaan oor die moontlikheid van selfbestuur handel.
Hoe ons die oplossing bestuur
Hier is hoe die oplossingsargitektuur in ons wolk lyk. Vir die antivirus kies ons twee netwerksegmente:
- kliënt segment, waar gebruikers se virtuele werkstasies geleë is,
- bestuursegment, waar die bedienergedeelte van die antivirus geleë is.
Die bestuursegment bly onder die beheer van ons ingenieurs, die kliënt het nie toegang tot hierdie deel nie. Die bestuursegment sluit die hoof KSC-administrasiebediener in, wat lisensielêers en sleutels bevat vir die aktivering van kliëntwerkstasies.
Dit is waaruit die oplossing bestaan in terme van Kaspersky Lab.
- Geïnstalleer op virtuele rekenaars van gebruikers ligmiddel (LA). Dit kontroleer nie lêers nie, maar stuur dit na die SVM en wag vir 'n "uitspraak van bo". As gevolg hiervan word gebruikersrekenaarhulpbronne nie op antivirusaktiwiteite vermors nie, en werknemers kla nie dat "VDI stadiger word nie."
- Kontroleer 'n aparte Sekuriteit virtuele masjien (SVM). Dit is 'n toegewyde sekuriteitstoestel wat wanware-databasisse huisves. Tydens kontrole word die las aan die SVM toegewys: daardeur kommunikeer die ligagent met die bediener.
- Kaspersky-sekuriteitsentrum (KSC) bestuur die beskerming virtuele masjiene. Dit is 'n konsole met instellings vir take en beleide wat op eindtoestelle toegepas sal word.
Hierdie werkskema beloof om tot 30% van die hardewarehulpbronne van die gebruiker se masjien te bespaar in vergelyking met die antivirus op die gebruiker se rekenaar. Kom ons kyk wat is in die praktyk.
Ter vergelyking, ek het my werkskootrekenaar geneem met Kaspersky Endpoint Security geïnstalleer, 'n skandering uitgevoer en na hulpbronverbruik gekyk:
En hier is dieselfde situasie op 'n virtuele lessenaar met soortgelyke eienskappe in ons infrastruktuur. Geheue eet omtrent dieselfde, maar SVE-gebruik is twee keer laer:
KSC self is ook baie veeleisend op hulpbronne. Ons bewillig daarvoor
genoeg om die administrateur gemaklik te laat werk. Kyk vir jouself:
Wat bly onder die beheer van die kliënt
So, ons het die take aan die verskaffer se kant uitgepluis, nou sal ons die kliënt beheer oor anti-virusbeskerming bied. Om dit te doen, skep ons 'n kinder KSC-bediener en bring dit na die kliëntsegment:
Kom ons gaan na die konsole op die kliënt KSC en kyk watter instellings die kliënt by verstek sal hê.
Monitering. Op die eerste oortjie sien ons die dashboard. Dit is onmiddellik duidelik aan watter probleemareas jy moet aandag gee:
Kom ons gaan aan na statistieke. 'n Paar voorbeelde van wat hier gesien kan word.
Hier sal die administrateur dadelik sien of die opdatering nie op sommige masjiene geïnstalleer is nie
of daar is 'n ander probleem wat verband hou met sagteware op virtuele rekenaars. Hulle
die opdatering kan die sekuriteit van die hele virtuele masjien beïnvloed:
In hierdie oortjie kan jy die gevind bedreigings vir 'n spesifieke gevind bedreiging op beskermde toestelle ontleed:
Die derde oortjie bevat alle moontlike opsies vir vooraf gekonfigureerde verslae. Kliënte kan hul eie verslae van sjablone skep, kies watter inligting vertoon sal word. U kan geskeduleerde e-posversending opstel of verslae plaaslik vanaf die bediener bekyk
administrasie (KSC).
Administrasie groepe. Aan die regterkant sien ons alle bestuurde toestelle: in ons geval, virtuele rekenaars wat deur die KSC-bediener bestuur word.
Hulle kan in groepe gekombineer word om gemeenskaplike take en groepbeleide vir verskillende departemente of vir alle gebruikers gelyktydig te skep.
Sodra die kliënt 'n virtuele masjien in 'n private wolk geskep het, word dit onmiddellik op die netwerk bespeur, en Kaspersky stuur dit na nie-toegewysde toestelle:
Toegewysde toestelle is nie onderhewig aan groepbeleide nie. Om nie virtuele rekenaars met die hand in groepe te versprei nie, kan jy reëls gebruik. Dit is hoe ons die oordrag van toestelle na groepe outomatiseer.
Virtuele tafelrekenaars met Windows 10, maar sonder die admin-agent geïnstalleer, sal byvoorbeeld in die VDI_1-groep val, en met Windows 10 en die agent geïnstalleer, sal hulle in die VDI_2-groep val. In analogie hiermee kan toestelle ook outomaties versprei word op grond van hul domein-affiliasie, volgens ligging in verskillende netwerke en deur sekere etikette wat die kliënt op hul eie kan stel op grond van hul take en behoeftes.
Om 'n reël te skep, voer eenvoudig die toestelgroeperingstowenaar uit:
Groeptake. Met behulp van take outomatiseer KSC die uitvoering van sekere reëls op 'n sekere tyd of met die aanvang van 'n sekere oomblik, byvoorbeeld: die uitvoer van 'n virusskandering word uitgevoer gedurende nie-werksure of wanneer die virtuele masjien "ledig" is, wat op sy beurt die las op die VM verminder. In hierdie afdeling is dit gerieflik om geskeduleerde skanderings op virtuele lessenaars binne 'n groep uit te voer, sowel as om virusdatabasisse op te dateer.
Hier is die volledige lys van beskikbare take:
Groepbeleide. Vanaf die kind KSS kan die kliënt onafhanklik beskerming versprei na nuwe virtuele rekenaars, handtekeninge opdateer, uitsluitings konfigureer
vir lêers en netwerke, bou verslae en bestuur allerhande tjeks op jou masjiene. Insluitend - beperk toegang tot spesifieke lêers, werwe of gashere.
Kernbedienerbeleide en -reëls kan weer aangeskakel word as iets verkeerd loop. In die ergste geval, as dit verkeerd gekonfigureer is, sal ligagente kontak met die SVM verloor en virtuele werkskerms onbeskerm laat. Ons ingenieurs sal onmiddellik 'n kennisgewing hieroor ontvang en sal polisoorerwing vanaf die hoof KSC-bediener kan aktiveer.
Dit is die belangrikste instellings waaroor ek vandag wou praat.
Bron: will.com