Mezi našimi klienty jsou společnosti, které používají řešení Kaspersky jako firemní standard a spravují si antivirovou ochranu samy. Zdálo by se, že služba virtuální plochy, ve které je antivirus hlídaný poskytovatelem, pro ně není příliš vhodná. Dnes ukážu, jak si zákazníci mohou spravovat vlastní zabezpečení, aniž by ohrozili bezpečnost virtuálních desktopů.
В Jak chráníme virtuální desktopy zákazníků, jsme již obecně popsali. Antivirus v rámci služby VDI pomáhá posílit ochranu strojů v cloudu a samostatně jej ovládat.
V první části článku ukážu, jak spravujeme řešení v cloudu a porovnám výkon cloudového Kaspersky s tradičním Endpoint Security. Druhá část bude o možnostech samostatného řízení.
Jak řešíme řešení
Takto vypadá architektura řešení v našem cloudu. Pro antivirus alokujeme dva síťové segmenty:
- klientský segment, kde se nacházejí virtuální pracovní stanice uživatelů,
- manažerský segment, kde je umístěna část antivirového serveru.
Segment managementu zůstává pod kontrolou našich inženýrů, zákazník do této části nemá přístup. Segment správy zahrnuje hlavní administrativní server KSC, který obsahuje licenční soubory a klíče pro aktivaci klientských pracovních stanic.
V tom spočívá řešení z hlediska společnosti Kaspersky Lab.
- Instalováno na virtuální plochy uživatelů světelný agent (LA). Nekontroluje soubory, ale posílá je do SVM a čeká na „verdikt shora“. Výsledkem je, že zdroje uživatelské plochy nejsou plýtvány antivirovou aktivitou a zaměstnanci si nestěžují, že „VDI je pomalé“.
- Kontroly samostatně Bezpečnostní virtuální stroj (SVM). Toto je vyhrazené bezpečnostní zařízení, které hostí databáze malwaru. Během kontrol je zátěž umístěna na SVM: prostřednictvím něj komunikuje světelný agent se serverem.
- Bezpečnostní centrum Kaspersky (KSC) spravuje ochranu virtuálních strojů. Toto je konzole s nastavením úloh a zásad, které budou aplikovány na koncová zařízení.
Toto schéma provozu slibuje úsporu až 30 % hardwarových zdrojů stroje uživatele ve srovnání s antivirem v počítači uživatele. Podívejme se, co se stane v praxi.
Pro srovnání jsem vzal svůj pracovní notebook s nainstalovaným Kaspersky Endpoint Security, spustil sken a podíval se na spotřebu zdrojů:
Ale stejná situace nastává na virtuálním desktopu s podobnými vlastnostmi v naší infrastruktuře. Spotřeba paměti je přibližně stejná, ale zatížení procesoru je dvakrát nižší:
Samotná KSC je také poměrně náročná na zdroje. Přidělujeme na to
dost na to, aby se správce cítil při práci pohodlně. Podívej se sám:
Co zůstává pod kontrolou zákazníka
Úkoly na straně poskytovatele jsme tedy vyřešili, nyní poskytneme zákazníkovi kontrolu antivirové ochrany. Za tímto účelem vytvoříme podřízený server KSC a přesuneme jej do klientského segmentu:
Pojďme do konzole na klientském KSC a podívejme se, jaké nastavení bude mít zákazník ve výchozím nastavení.
Sledování. Na první záložce vidíme monitorovací panel. Okamžitě je jasné, kterým problematickým oblastem byste měli věnovat pozornost:
Přejděme ke statistikám. Několik příkladů toho, co zde můžete vidět.
Zde se administrátor hned podívá, zda aktualizace nebyla nainstalována na některých strojích
nebo existuje jiný problém související se softwarem na virtuálních plochách. Jejich
Aktualizace může ovlivnit zabezpečení celého virtuálního počítače:
Na této kartě můžete analyzovat nalezené hrozby až po konkrétní hrozby nalezené na chráněných zařízeních:
Třetí záložka obsahuje všechny možné možnosti pro předem nakonfigurované sestavy. Zákazníci si mohou vytvořit vlastní reporty ze šablon a vybrat si, jaké informace se budou zobrazovat. Můžete nastavit odesílání e-mailem podle plánu nebo zobrazit zprávy lokálně ze serveru
administrativa (KSČ).
Administrativní skupiny. Vpravo vidíme všechna spravovaná zařízení: v našem případě virtuální desktopy spravované serverem KSC.
Lze je kombinovat do skupin a vytvářet společné úkoly a skupinové zásady pro různá oddělení nebo pro všechny uživatele současně.
Jakmile zákazník vytvoří virtuální stroj v privátním cloudu, je okamžitě identifikován v síti a Kaspersky jej odešle na nepřiřazená zařízení:
Na nepřiřazená zařízení se nevztahují zásady skupiny. Chcete-li se vyhnout ručnímu přiřazování virtuálních ploch ke skupinám, můžete použít pravidla. Takto automatizujeme přesun zařízení do skupin.
Například virtuální desktopy s Windows 10, ale bez nainstalovaného administračního agenta, budou spadat do skupiny VDI_1 a s Windows 10 a nainstalovaným agentem budou spadat do skupiny VDI_2. Analogicky k tomu mohou být zařízení také automaticky distribuována na základě jejich doménové příslušnosti, podle umístění v různých sítích a podle určitých značek, které si klient může nezávisle nastavit na základě svých úkolů a potřeb.
Chcete-li vytvořit pravidlo, jednoduše spusťte průvodce rozdělením zařízení do skupin:
Skupinové úkoly. Pomocí úloh KSC automatizuje provádění určitých pravidel v určitou dobu nebo v určitý okamžik, například: antivirová kontrola se provádí mimo pracovní dobu nebo když je virtuální stroj „nečinný“, což zase snižuje zatížení na VM. Tato část je vhodná pro spouštění naplánovaných kontrol na virtuálních plochách v rámci skupiny a také pro aktualizaci virových databází.
Zde je úplný seznam dostupných úkolů:
Zásady skupiny. Z podřízeného KSC může zákazník nezávisle distribuovat ochranu na nové virtuální plochy, aktualizovat signatury a konfigurovat výjimky
pro soubory a sítě, sestavujte sestavy a spravujte všechny typy prověřování vašich počítačů. To zahrnuje omezení přístupu ke konkrétním souborům, webům nebo hostitelům.
Zásady a pravidla hlavního serveru lze znovu zapnout, pokud se něco pokazí. V nejhorším případě, pokud jsou nakonfigurováni nesprávně, ztratí lehcí agenti kontakt s SVM a nechají virtuální plochy nechráněné. Naši inženýři o tom budou okamžitě informováni a budou moci povolit dědění zásad z hlavního serveru KSC.
Toto jsou hlavní nastavení, o kterých jsem dnes chtěl mluvit.
Zdroj: www.habr.com