Сярод нашых кліентаў ёсць кампаніі, якія выкарыстоўваюць рашэнні Kaspersky як карпаратыўны стандарт і самастойна кіруюць антывіруснай абаронай. Здавалася б, ім не вельмі падыходзіць сэрвіс віртуальных працоўных сталоў, у якім за антывірусам сочыць правайдэр. Сёння пакажу, як заказчыкі могуць самі кіраваць абаронай без шкоды для бяспекі віртуальных працоўных сталоў.
В мы ўжо расказалі ў цэлым, як абараняем віртуальныя працоўныя сталы заказчыкаў. Антывірус у рамках сэрвісу VDI дапамагае ўзмацніць абарону машын у воблаку і самастойна яе кантраляваць.
У першай частцы артыкула пакажу, як мы кіруем рашэннем у воблаку, і параўнаю паказчыкі "хмарнага" Kaspersky з традыцыйным Endpoint Security. Другая частка будзе пра магчымасці самастойнага кіравання.
Як мы кіруем рашэннем
Вось як выглядае архітэктура рашэння ў нашым воблаку. Для антывіруса мы вылучаем два сеткавых сегмента:
- кліенцкі сегмент, дзе знаходзяцца віртуальныя працоўныя месцы карыстальнікаў,
- менеджмент-сегмент, дзе знаходзіцца серверная частка антывіруса.
Мэнэджмент-сегмент застаецца пад кантролем нашых інжынераў, заказчык не мае доступу да гэтай часткі. Мэнэджмент-сегмент уключае ў сябе галоўны сервер адміністравання KSC, які ўтрымоўвае файлы ліцэнзій, ключы для актывацыі кліенцкіх працоўных месцаў.
Вось з чаго складаецца рашэнне ў тэрмінах "Лабараторыі Касперскага".
- На віртуальныя працоўныя сталы карыстальнікаў ставіцца лёгкі агент (LA). Ён не займаецца праверкамі файлаў, а адпраўляе іх на SVM і чакае "вердыкта зверху". У выніку рэсурсы карыстацкага працоўнага стала не марнуюцца на антывірусную актыўнасць, а супрацоўнікі не скардзяцца, што "VDI тармозіць".
- Правярае асобная віртуальная машына абароны (Security virtual machine, SVM). Гэта вылучаная прылада бяспекі, на якім размяшчаюцца базы дадзеных шкоднаснага ПЗ. Падчас праверак нагрузка ўскладаецца на SVM: праз яе лёгкі агент мае зносіны з серверам.
- Касперскі бізнес-цэнтр (KSC) кіруе віртуальнымі машынамі абароны. Гэта кансоль з наладамі задач і палітык, якія будуць прымяняцца на канчатковых прыладах.
Гэтая схема працы абяцае эканомію да 30% апаратных рэсурсаў карыстацкай машыны ў параўнанні з антывірусам на кампутары карыстача. Паглядзім, што на практыцы.
Для параўнання ўзяў свой працоўны наўтбук з усталяваным Kaspersky Endpoint Security, запусціў праверку і паглядзеў на спажыванне рэсурсаў:
А вось тая ж самая сітуацыя на віртуальным працоўным стале са падобнымі характарыстыкамі ў нашай інфраструктуры. Памяці есць прыкладна аднолькава, але загрузка ЦП ніжэй у два разы:
Сам KSC таксама даволі патрабавальны да рэсурсаў. Мы вылучаем пад яго
дастаткова, каб і адміністратару было камфортна працаваць. Глядзіце самі:
Што застаецца пад кантролем замоўца
Такім чынам, з задачамі на баку правайдэра разабраліся, зараз падамо замоўцу кіраванне антывіруснай абаронай. Для гэтага мы ствараем даччыны сервер KSC і выносім яго ў кліенцкі сегмент:
Зойдзем у кансоль на кліенцкім KSC і паглядзім, якія налады будуць у заказчыка па дэфолце.
Маніторынг. На першай укладцы бачым панэль маніторынгу. Адразу зразумела, на якія праблемныя месцы варта звярнуць увагу:
Пяройдзем далей да статыстыкі. Некалькі прыкладаў, што тут можна паглядзець.
Тут адміністратар адразу ўбачыць, калі на нейкіх машынах не ўсталявалася абнаўленне
ці ўзнікла іншая праблема, звязаная з ПЗ на віртуальных працоўных сталах. Іх
абнаўленне можа адбіцца на бяспецы ўсёй віртуальнай машыны:
У гэтай укладцы можна прааналізаваць знойдзеныя пагрозы да канкрэтнай знойдзенай пагрозы на прыладах, якія абараняюцца:
У трэцяй укладцы ёсць усе магчымыя варыянты пераднастроеных справаздач. Заказчыкі могуць стварыць свае справаздачы са шаблонаў, выбраць, якая інфармацыя будзе адлюстроўвацца. Можна наладзіць адпраўку на пошту па раскладзе або праглядаць справаздачы лакальна з сервера
адміністравання (KSC).
Групы адміністравання. Справа бачым усе кіраваныя прылады: у нашым выпадку - віртуальныя працоўныя сталы пад кіраваннем сервера KSC.
Іх можна аб'ядноўваць у групы, каб стварыць агульныя задачы і групавыя палітыкі для розных падраздзяленняў або для ўсіх карыстальнікаў адначасова.
Як толькі заказчык стварыў віртуальную машыну ў прыватным воблаку, яна адразу вызначаецца ў сетцы, і Kaspersky адпраўляе яе ў неразмеркаваныя прылады:
На неразмеркаваныя прылады не распаўсюджваюцца групавыя палітыкі. Каб не раскідваць віртуальныя працоўныя сталы па групах уручную, можна выкарыстоўваць правілы. Так мы аўтаматызуем перанос прылад у групы.
Напрыклад, віртуальныя працоўныя сталы з Windows 10, але без усталяванага агента адміністравання патрапяць у групу VDI_1, а з Windows 10 і ўсталяваным агентам, патрапяць у групу VDI_2. Па аналогіі з гэтым, прылады можна таксама аўтаматычна размяркоўваць на аснове іх даменнай прыналежнасці, па размяшчэнні ў розных сетках і па пэўных тэгах, якія кліент можа задаць зыходзячы са сваіх задач і запатрабаванняў самастойна.
Для стварэння правіла проста запускаем майстар размеркавання прылад па групах:
Групавыя задачы. З дапамогай задач KSC аўтаматызуе выкананне вызначаных правіл у вызначаны час або з надыходам вызначанага моманту, да прыкладу: выкананне праверкі на вірусы выконваецца ў непрацоўны час ці пры «простым» віртуальнай машыне, што, у сваю чаргу, змяншае нагрузку на ВМ. У гэтым раздзеле зручна па раскладзе запускаць праверкі на віртуальных працоўных сталах усярэдзіне груп, а таксама абнаўляць вірусныя базы.
Вось поўны спіс даступных задач:
Групавыя палітыкі. З даччынага KSС заказчык можа самастойна распаўсюджваць абарону на новыя віртуальныя працоўныя сталы, абнаўляць сігнатуры, наладжваць выключэнні
для файлаў і сетак, будаваць справаздачы, а таксама кіраваць усімі відамі праверак сваіх машын. У тым ліку - абмяжоўваць доступ да канкрэтных файлаў, сайтаў ці хастоў.
Палітыкі і правілы галоўнага сервера можна ўключыць зваротна, калі нешта пойдзе не так. У самым дрэнным выпадку пры няслушнай наладзе лёгкія агенты страцяць сувязь з SVM і пакінуць віртуальныя працоўныя сталы без абароны. Нашы інжынеры тут жа атрымаюць апавяшчэнне аб гэтым і змогуць уключыць атрыманне ў спадчыну палітык з галоўнага сервера KSC.
Гэта асноўныя наладкі, пра якія я хацеў расказаць сёння.
Крыніца: habr.com