Blandt vores kunder er der virksomheder, der bruger Kaspersky-løsninger som en virksomhedsstandard og selv administrerer antivirusbeskyttelse. Det ser ud til, at de ikke er særligt velegnede til en virtuel desktop-tjeneste, hvor antivirussen overvåges af udbyderen. I dag vil jeg vise dig, hvordan kunder kan administrere deres egen sikkerhed uden at kompromittere sikkerheden på deres virtuelle skriveborde.
В Vi har allerede beskrevet generelt, hvordan vi beskytter kundernes virtuelle desktops. Antivirus inden for VDI-tjenesten er med til at styrke beskyttelsen af maskiner i skyen og uafhængigt styre den.
I første del af artiklen vil jeg vise, hvordan vi styrer løsningen i skyen og sammenligner skybaserede Kasperskys ydeevne med traditionel Endpoint Security. Anden del vil handle om mulighederne for selvstændig ledelse.
Hvordan vi styrer løsningen
Sådan ser løsningsarkitekturen ud i vores sky. Til antivirus allokerer vi to netværkssegmenter:
- kundesegment, hvor brugernes virtuelle arbejdsstationer er placeret,
- ledelsessegment, hvor antivirusserverdelen er placeret.
Ledelsessegmentet forbliver under kontrol af vores ingeniører; kunden har ikke adgang til denne del. Administrationssegmentet omfatter KSC-administrationsserveren, som indeholder licensfiler og nøgler til aktivering af klientarbejdsstationer.
Dette er, hvad løsningen består af i Kaspersky Lab-termer.
- Installeret på brugernes virtuelle skriveborde lysmiddel (LA). Den tjekker ikke filer, men sender dem til SVM og venter på "dommen fra oven." Som et resultat bliver brugerressourcer på skrivebordet ikke spildt på antivirusaktivitet, og medarbejderne klager ikke over, at "VDI er langsom."
- Tjekker separat Sikkerhedsvirtuel maskine (SVM). Dette er en dedikeret sikkerhedsanordning, der er vært for malwaredatabaser. Under kontroller placeres belastningen på SVM'en: gennem den kommunikerer lysagenten med serveren.
- Kaspersky sikkerhedscenter (KSC) administrerer beskyttelse af virtuelle maskiner. Dette er en konsol med indstillinger for opgaver og politikker, der vil blive anvendt på slutenheder.
Denne driftsordning lover at spare op til 30% af hardwareressourcerne på brugerens maskine sammenlignet med et antivirus på brugerens computer. Lad os se, hvad der sker i praksis.
Til sammenligning tog jeg min arbejdscomputer med Kaspersky Endpoint Security installeret, kørte en scanning og så på ressourceforbrug:
Men den samme situation opstår på et virtuelt skrivebord med lignende egenskaber i vores infrastruktur. Hukommelsesforbruget er omtrent det samme, men CPU-belastningen er dobbelt så lav:
KSC selv er også ret ressourcekrævende. Vi bevilger til det
nok til, at administratoren føler sig tryg ved at arbejde. Se selv:
Hvad forbliver under kundens kontrol
Så vi har ordnet opgaverne på udbyderens side, nu vil vi give kunden kontrol med antivirusbeskyttelse. For at gøre dette opretter vi en underordnet KSC-server og flytter den til klientsegmentet:
Lad os gå til konsollen på klient-KSC og se, hvilke indstillinger kunden vil have som standard.
overvågning. På den første fane ser vi overvågningspanelet. Det er straks klart, hvilke problemområder du skal være opmærksom på:
Lad os gå videre til statistik. Et par eksempler på, hvad du kan se her.
Her vil administratoren straks se, om opdateringen ikke er installeret på nogle maskiner
eller der er et andet problem relateret til softwaren på virtuelle skriveborde. Deres
Opdateringen kan påvirke sikkerheden på hele den virtuelle maskine:
På denne fane kan du analysere de trusler, der er fundet, ned til den specifikke trussel, der findes på de beskyttede enheder:
Den tredje fane indeholder alle mulige muligheder for forudkonfigurerede rapporter. Kunder kan oprette deres egne rapporter fra skabeloner og vælge, hvilke oplysninger der skal vises. Du kan konfigurere afsendelse via e-mail efter en tidsplan eller se rapporter lokalt fra serveren
administration (KSC).
Administrationsgrupper. Til højre ser vi alle administrerede enheder: i vores tilfælde virtuelle skriveborde, der administreres af KSC-serveren.
De kan kombineres i grupper for at skabe fælles opgaver og gruppepolitikker for forskellige afdelinger eller for alle brugere på samme tid.
Så snart kunden har oprettet en virtuel maskine i en privat sky, identificeres den straks på netværket, og Kaspersky sender den til ikke-tildelte enheder:
Ikke-tildelte enheder er ikke omfattet af gruppepolitikker. For at undgå manuelt at tildele virtuelle skriveborde til grupper, kan du bruge regler. Sådan automatiserer vi overførslen af enheder til grupper.
For eksempel vil virtuelle skriveborde med Windows 10, men uden administrationsagenten installeret, falde i VDI_1-gruppen, og med Windows 10 og agenten installeret, vil de falde i VDI_2-gruppen. Analogt hermed kan enheder også automatisk distribueres baseret på deres domænetilhørsforhold, efter placering i forskellige netværk og af bestemte tags, som klienten kan indstille baseret på sine opgaver og behov selvstændigt.
For at oprette en regel skal du blot køre guiden til fordeling af enheder i grupper:
Gruppeopgaver. Ved hjælp af opgaver automatiserer KSC udførelsen af visse regler på et bestemt tidspunkt eller på et bestemt tidspunkt, for eksempel: virusscanning udføres i ikke-arbejdstid, eller når den virtuelle maskine er "inaktiv", hvilket igen reducerer belastningen på VM. Denne sektion er praktisk til at køre planlagte scanninger på virtuelle skriveborde inden for en gruppe, samt opdatering af virusdatabaser.
Her er den fulde liste over tilgængelige opgaver:
Gruppepolitikker. Fra den underordnede KSC kan kunden uafhængigt distribuere beskyttelse til nye virtuelle skriveborde, opdatere signaturer og konfigurere undtagelser
til filer og netværk, opbyg rapporter og administrer alle typer scanninger af dine maskiner. Dette inkluderer begrænsning af adgang til specifikke filer, websteder eller værter.
Politikkerne og reglerne for hovedserveren kan slås til igen, hvis noget går galt. I værste fald vil lysagenter, hvis de er konfigureret forkert, miste kontakten med SVM'en og efterlade virtuelle skriveborde ubeskyttede. Vores ingeniører vil straks blive underrettet om dette og vil være i stand til at aktivere policy-arv fra KSC-hovedserveren.
Dette er de vigtigste indstillinger, som jeg ville tale om i dag.
Kilde: www.habr.com