من بين عملائنا ، هناك شركات تستخدم حلول Kaspersky كمعيار مؤسسي وتدير بشكل مستقل الحماية من الفيروسات. يبدو أن خدمة سطح المكتب الافتراضية ، التي يراقب فيها الموفر برنامج مكافحة الفيروسات ، ليست مناسبة جدًا لهم. سأوضح لك اليوم كيف يمكن للعملاء إدارة الحماية بأنفسهم دون المساس بأمن أجهزة الكمبيوتر المكتبية الافتراضية.
В لقد وصفنا بالفعل بشكل عام كيف نحمي أجهزة الكمبيوتر المكتبية الافتراضية للعملاء. تساعد برامج مكافحة الفيروسات في خدمة VDI على تعزيز حماية الأجهزة في السحابة والتحكم فيها بشكل مستقل.
في الجزء الأول من المقالة ، سأوضح كيف ندير الحل في السحابة ومقارنة أداء سحابة Kaspersky مع Endpoint Security التقليدي. الجزء الثاني سيكون حول إمكانية الإدارة الذاتية.
كيف ندير الحل
إليك ما تبدو عليه بنية الحل في السحابة الخاصة بنا. بالنسبة لمكافحة الفيروسات ، نختار شريحتين للشبكة:
- شريحة العميل، حيث توجد محطات العمل الافتراضية للمستخدمين ،
- جزء الإدارة، حيث يوجد جزء الخادم من برنامج مكافحة الفيروسات.
يظل قطاع الإدارة تحت سيطرة مهندسينا ، ولا يستطيع العميل الوصول إلى هذا الجزء. يتضمن قطاع الإدارة خادم إدارة KSC الرئيسي ، والذي يحتوي على ملفات الترخيص والمفاتيح لتنشيط محطات عمل العميل.
هذا ما يتكون منه الحل فيما يتعلق بـ Kaspersky Lab.
- مثبتة على أجهزة سطح المكتب الافتراضية للمستخدمين عامل خفيف (LA). لا يقوم بفحص الملفات ، ولكنه يرسلها إلى SVM وينتظر "حكمًا من أعلى". نتيجة لذلك ، لا تُهدر موارد سطح المكتب للمستخدم في نشاط مكافحة الفيروسات ، ولا يشتكي الموظفون من "تباطؤ VDI".
- الشيكات منفصلة الجهاز الظاهري للأمان (SVM). هذا هو جهاز أمان مخصص يستضيف قواعد بيانات البرامج الضارة. أثناء عمليات التحقق ، يتم تعيين الحمل إلى SVM: من خلاله ، يتواصل وكيل الضوء مع الخادم.
- مركز أمان Kaspersky (KSC) يدير أجهزة الحماية الافتراضية. هذه وحدة تحكم ذات إعدادات للمهام والسياسات التي سيتم تطبيقها على الأجهزة الطرفية.
يعد مخطط العمل هذا بتوفير ما يصل إلى 30 ٪ من موارد الأجهزة لجهاز المستخدم مقارنةً بمضاد الفيروسات على كمبيوتر المستخدم. دعونا نرى ما هو عملي.
للمقارنة ، أخذت الكمبيوتر المحمول الخاص بالعمل مع تثبيت Kaspersky Endpoint Security ، وأجريت فحصًا ونظرت في استهلاك الموارد:
وهنا نفس الموقف على سطح مكتب افتراضي بخصائص مماثلة في بنيتنا التحتية. تستهلك الذاكرة نفس الشيء تقريبًا ، لكن استخدام وحدة المعالجة المركزية أقل مرتين:
شركة KSC نفسها تتطلب الكثير من الموارد. نخصص لها
بما يكفي لجعل المسؤول يشعر بالراحة في العمل. انظر بنفسك:
ما يبقى تحت سيطرة العميل
لذلك ، اكتشفنا المهام من جانب المزود ، والآن سنوفر للعميل إمكانية التحكم في الحماية من الفيروسات. للقيام بذلك ، نقوم بإنشاء خادم KSC فرعي وإحضاره إلى قطاع العميل:
دعنا نذهب إلى وحدة التحكم على العميل KSC ونرى الإعدادات التي سيكون لدى العميل افتراضيًا.
رصد. في علامة التبويب الأولى نرى لوحة القيادة. من الواضح على الفور ما هي مجالات المشاكل التي يجب الانتباه إليها:
دعنا ننتقل إلى الإحصائيات. بعض الأمثلة على ما يمكن رؤيته هنا.
هنا سيرى المسؤول على الفور ما إذا لم يتم تثبيت التحديث على بعض الأجهزة
أو هناك مشكلة أخرى تتعلق بالبرامج الموجودة على أجهزة سطح المكتب الافتراضية. هُم
قد يؤثر التحديث على أمان الجهاز الظاهري بالكامل:
في علامة التبويب هذه ، يمكنك تحليل التهديدات التي تم العثور عليها لتهديد معين تم العثور عليه على الأجهزة المحمية:
تحتوي علامة التبويب الثالثة على جميع الخيارات الممكنة للتقارير المكونة مسبقًا. يمكن للعملاء إنشاء تقاريرهم الخاصة من القوالب ، واختيار المعلومات التي سيتم عرضها. يمكنك إعداد إرسال بريد إلكتروني مجدول أو عرض التقارير محليًا من الخادم
الإدارة (KSC).
مجموعات الإدارة. على اليمين نرى جميع الأجهزة المدارة: في حالتنا ، أجهزة الكمبيوتر المكتبية الافتراضية التي يديرها خادم KSC.
يمكن دمجها في مجموعات لإنشاء مهام مشتركة وسياسات المجموعة لأقسام مختلفة أو لجميع المستخدمين في نفس الوقت.
بمجرد أن ينشئ العميل جهازًا افتراضيًا في سحابة خاصة ، يتم اكتشافه على الفور على الشبكة ، وترسله Kaspersky إلى أجهزة غير مخصصة:
لا تخضع الأجهزة غير المخصصة لسياسات المجموعة. من أجل عدم تشتيت أسطح المكتب الافتراضية في مجموعات يدويًا ، يمكنك استخدام القواعد. هذه هي الطريقة التي نقوم بها بأتمتة نقل الأجهزة إلى المجموعات.
على سبيل المثال ، أجهزة الكمبيوتر المكتبية الافتراضية التي تعمل بنظام التشغيل Windows 10 ، ولكن بدون تثبيت وكيل المسؤول ، ستندرج في مجموعة VDI_1 ، ومع تثبيت Windows 10 والوكيل ، ستندرج في مجموعة VDI_2. بالتشابه مع هذا ، يمكن أيضًا توزيع الأجهزة تلقائيًا بناءً على الانتماء للمجال الخاص بهم ، حسب الموقع في شبكات مختلفة وبواسطة علامات معينة يمكن للعميل تعيينها بناءً على مهامهم واحتياجاتهم الخاصة.
لإنشاء قاعدة ، ما عليك سوى تشغيل معالج تجميع الجهاز:
مهام المجموعة. بمساعدة المهام ، يقوم KSC بأتمتة تنفيذ قواعد معينة في وقت معين أو مع بداية لحظة معينة ، على سبيل المثال: يتم إجراء فحص فيروسات في غير ساعات العمل أو عندما يكون الجهاز الظاهري "خاملاً" ، والذي بدوره يقلل من الحمل على الجهاز الظاهري. في هذا القسم ، من الملائم إجراء عمليات مسح مجدولة على أجهزة كمبيوتر سطح مكتب افتراضية داخل مجموعة ، بالإضافة إلى تحديث قواعد بيانات الفيروسات.
فيما يلي القائمة الكاملة للمهام المتاحة:
سياسات المجموعة. من KSS الطفل ، يمكن للعميل توزيع الحماية بشكل مستقل على أجهزة الكمبيوتر المكتبية الافتراضية الجديدة ، وتحديث التواقيع ، وتكوين الاستثناءات
للملفات والشبكات ، وإنشاء التقارير ، وإدارة جميع أنواع عمليات الفحص على أجهزتك. بما في ذلك - تقييد الوصول إلى ملفات أو مواقع أو مضيفين معينين.
يمكن إعادة تشغيل سياسات وقواعد الخادم الأساسي إذا حدث خطأ ما. في أسوأ الحالات ، إذا تم تكوينه بشكل غير صحيح ، سيفقد وكلاء الإضاءة الاتصال بـ SVM ويتركون أجهزة سطح المكتب الافتراضية بدون حماية. سيتم إخطار مهندسينا بهذا فورًا وسيكونون قادرين على تمكين توريث السياسة من خادم KSC الرئيسي.
هذه هي الإعدادات الرئيسية التي أردت التحدث عنها اليوم.
المصدر: www.habr.com