Zu unseren Kunden zählen Unternehmen, die Kaspersky-Lösungen als Unternehmensstandard nutzen und ihren Virenschutz selbstständig verwalten. Es scheint, dass der virtuelle Desktop-Dienst, bei dem der Anbieter das Antivirenprogramm überwacht, für sie nicht sehr geeignet ist. Heute zeige ich Ihnen, wie Kunden den Schutz selbst verwalten können, ohne die Sicherheit virtueller Desktops zu beeinträchtigen.
В Wir haben bereits allgemein beschrieben, wie wir die virtuellen Desktops unserer Kunden schützen. Antivirus innerhalb des VDI-Dienstes trägt dazu bei, den Schutz von Maschinen in der Cloud zu stärken und diese unabhängig zu steuern.
Im ersten Teil des Artikels werde ich zeigen, wie wir die Lösung in der Cloud verwalten und die Leistung der Kaspersky Cloud mit der herkömmlichen Endpoint Security vergleichen. Im zweiten Teil geht es um die Möglichkeit des Selbstmanagements.
Wie wir die Lösung managen
So sieht die Lösungsarchitektur in unserer Cloud aus. Für das Antivirenprogramm wählen wir zwei Netzwerksegmente aus:
- Kundensegment, wo sich die virtuellen Arbeitsplätze der Benutzer befinden,
- Managementsegment, wo sich der Serverteil des Antivirenprogramms befindet.
Der Verwaltungsbereich bleibt unter der Kontrolle unserer Ingenieure, der Kunde hat keinen Zugriff auf diesen Teil. Das Verwaltungssegment umfasst den Hauptverwaltungsserver von KSC, der Lizenzdateien und Schlüssel zur Aktivierung von Client-Workstations enthält.
Darin besteht die Lösung im Sinne von Kaspersky Lab.
- Wird auf virtuellen Desktops von Benutzern installiert Lichtagent (LA). Es prüft die Dateien nicht, sondern sendet sie an die SVM und wartet auf ein „Urteil von oben“. Dadurch werden die Desktop-Ressourcen der Benutzer nicht für Antiviren-Aktivitäten verschwendet und die Mitarbeiter beschweren sich nicht darüber, dass „VDI langsamer wird“.
- Prüft ein separates Sicherheitsvirtuelle Maschine (SVM). Dabei handelt es sich um eine dedizierte Sicherheits-Appliance, die Malware-Datenbanken hostet. Bei Prüfungen wird die Last der SVM zugewiesen: Über sie kommuniziert der Light Agent mit dem Server.
- Kaspersky Security Center (KSC) verwaltet die schützenden virtuellen Maschinen. Dabei handelt es sich um eine Konsole mit Einstellungen für Aufgaben und Richtlinien, die auf Endgeräten angewendet werden.
Dieses Arbeitsschema verspricht eine Einsparung von bis zu 30 % der Hardwareressourcen des Computers des Benutzers im Vergleich zum Antivirenprogramm auf dem Computer des Benutzers. Mal sehen, was in der Praxis ist.
Zum Vergleich habe ich meinen Arbeitslaptop mit installiertem Kaspersky Endpoint Security genommen, einen Scan durchgeführt und mir den Ressourcenverbrauch angeschaut:
Und hier ist die gleiche Situation auf einem virtuellen Desktop mit ähnlichen Eigenschaften in unserer Infrastruktur. Der Speicherverbrauch ist ungefähr gleich hoch, die CPU-Auslastung ist jedoch doppelt so hoch:
Auch der KSC selbst ist recht ressourcenintensiv. Wir stellen dafür bereit
genug, damit sich der Administrator bei der Arbeit wohl fühlt. Überzeugen Sie sich selbst:
Was bleibt in der Kontrolle des Kunden
Wir haben also die Aufgaben auf Seiten des Anbieters geklärt und geben dem Kunden nun die Kontrolle über den Virenschutz. Dazu erstellen wir einen untergeordneten KSC-Server und bringen ihn in das Client-Segment:
Gehen wir zur Konsole auf dem Client-KSC und sehen wir uns an, welche Einstellungen der Kunde standardmäßig haben wird.
Überwachung. Auf der ersten Registerkarte sehen wir das Dashboard. Es ist sofort klar, auf welche Problembereiche Sie achten sollten:
Kommen wir zur Statistik. Ein paar Beispiele dessen, was hier zu sehen ist.
Hier sieht der Administrator sofort, ob das Update auf einigen Rechnern nicht installiert wurde
oder es liegt ein anderes Problem im Zusammenhang mit Software auf virtuellen Desktops vor. Ihre
Das Update kann Auswirkungen auf die Sicherheit der gesamten virtuellen Maschine haben:
Auf dieser Registerkarte können Sie die gefundenen Bedrohungen zu einer bestimmten gefundenen Bedrohung auf geschützten Geräten analysieren:
Die dritte Registerkarte enthält alle möglichen Optionen für vorkonfigurierte Berichte. Kunden können ihre eigenen Berichte aus Vorlagen erstellen und auswählen, welche Informationen angezeigt werden. Sie können den geplanten E-Mail-Versand einrichten oder Berichte lokal vom Server aus anzeigen
Verwaltung (KSC).
Verwaltungsgruppen. Rechts sehen wir alle verwalteten Geräte: in unserem Fall virtuelle Desktops, die vom KSC-Server verwaltet werden.
Sie können zu Gruppen zusammengefasst werden, um gemeinsame Aufgaben und Gruppenrichtlinien für verschiedene Abteilungen oder für alle Benutzer gleichzeitig zu erstellen.
Sobald der Kunde eine virtuelle Maschine in einer privaten Cloud erstellt hat, wird diese sofort im Netzwerk erkannt und Kaspersky sendet sie an nicht zugewiesene Geräte:
Nicht zugewiesene Geräte unterliegen keinen Gruppenrichtlinien. Um virtuelle Desktops nicht manuell in Gruppen aufzuteilen, können Sie Regeln verwenden. So automatisieren wir die Übertragung von Geräten an Gruppen.
Beispielsweise fallen virtuelle Desktops mit Windows 10, aber ohne installierten Admin-Agenten, in die Gruppe VDI_1, und wenn Windows 10 und der Agent installiert sind, fallen sie in die Gruppe VDI_2. Analog dazu können Geräte auch automatisch anhand ihrer Domänenzugehörigkeit, ihres Standorts in verschiedenen Netzwerken und anhand bestimmter Tags verteilt werden, die der Kunde je nach Aufgaben und Bedürfnissen selbst festlegen kann.
Um eine Regel zu erstellen, führen Sie einfach den Gerätegruppierungsassistenten aus:
Gruppenaufgaben. Mit Hilfe von Aufgaben automatisiert KSC die Ausführung bestimmter Regeln zu einem bestimmten Zeitpunkt oder bei Eintreten eines bestimmten Zeitpunkts, zum Beispiel: Die Durchführung eines Virenscans wird außerhalb der Arbeitszeit oder wenn die virtuelle Maschine „inaktiv“ ist, durchgeführt. was wiederum die Belastung der VM reduziert. In diesem Abschnitt können Sie bequem geplante Scans auf virtuellen Desktops innerhalb einer Gruppe ausführen und Virendatenbanken aktualisieren.
Hier ist die vollständige Liste der verfügbaren Aufgaben:
Gruppenrichtlinien. Vom untergeordneten KSS aus kann der Kunde den Schutz selbstständig auf neue virtuelle Desktops verteilen, Signaturen aktualisieren und Ausschlüsse konfigurieren
für Dateien und Netzwerke, erstellen Sie Berichte und verwalten Sie alle Arten von Überprüfungen auf Ihren Computern. Einschließlich – Beschränken Sie den Zugriff auf bestimmte Dateien, Websites oder Hosts.
Kernserverrichtlinien und -regeln können wieder aktiviert werden, wenn etwas schief geht. Im schlimmsten Fall verlieren Light Agents bei falscher Konfiguration den Kontakt zur SVM und lassen virtuelle Desktops ungeschützt zurück. Unsere Techniker erhalten darüber umgehend eine Benachrichtigung und können die Richtlinienvererbung vom Haupt-KSC-Server aktivieren.
Dies sind die Haupteinstellungen, über die ich heute sprechen wollte.
Source: habr.com