Μεταξύ των πελατών μας υπάρχουν εταιρείες που χρησιμοποιούν λύσεις Kaspersky ως εταιρικό πρότυπο και διαχειρίζονται ανεξάρτητα την προστασία τους κατά των ιών. Φαίνεται ότι η υπηρεσία εικονικής επιφάνειας εργασίας, στην οποία ο πάροχος παρακολουθεί το πρόγραμμα προστασίας από ιούς, δεν είναι πολύ κατάλληλη γι 'αυτούς. Σήμερα θα σας δείξω πώς οι πελάτες μπορούν να διαχειρίζονται μόνοι τους την προστασία χωρίς να διακυβεύουν την ασφάλεια των εικονικών επιτραπέζιων υπολογιστών.
В Έχουμε ήδη περιγράψει γενικά πώς προστατεύουμε τους εικονικούς επιτραπέζιους υπολογιστές των πελατών. Η προστασία από ιούς εντός της υπηρεσίας VDI συμβάλλει στην ενίσχυση της προστασίας των μηχανών στο cloud και στον ανεξάρτητο έλεγχο της.
Στο πρώτο μέρος του άρθρου, θα δείξω πώς διαχειριζόμαστε τη λύση στο cloud και θα συγκρίνουμε την απόδοση του Kaspersky cloud με το παραδοσιακό Endpoint Security. Το δεύτερο μέρος θα αφορά τη δυνατότητα αυτοδιαχείρισης.
Πώς διαχειριζόμαστε τη λύση
Εδώ είναι πώς φαίνεται η αρχιτεκτονική λύση στο σύννεφο μας. Για το antivirus, επιλέγουμε δύο τμήματα δικτύου:
- τμήμα πελάτη, όπου βρίσκονται οι εικονικοί σταθμοί εργασίας των χρηστών,
- τμήμα διαχείρισης, όπου βρίσκεται το τμήμα διακομιστή του προγράμματος προστασίας από ιούς.
Το τμήμα διαχείρισης παραμένει υπό τον έλεγχο των μηχανικών μας, ο πελάτης δεν έχει πρόσβαση σε αυτό το τμήμα. Το τμήμα διαχείρισης περιλαμβάνει τον κύριο διακομιστή διαχείρισης KSC, ο οποίος περιέχει αρχεία άδειας χρήσης και κλειδιά για την ενεργοποίηση σταθμών εργασίας πελάτη.
Σε αυτό συνίσταται η λύση όσον αφορά το Kaspersky Lab.
- Εγκατεστημένο σε εικονικούς επιτραπέζιους υπολογιστές χρηστών πράκτορας φωτός (LA). Δεν ελέγχει τα αρχεία, αλλά τα στέλνει στο SVM και περιμένει μια «από πάνω ετυμηγορία». Ως αποτέλεσμα, οι πόροι της επιφάνειας εργασίας των χρηστών δεν σπαταλούνται σε δραστηριότητα προστασίας από ιούς και οι εργαζόμενοι δεν παραπονιούνται ότι "το VDI επιβραδύνεται".
- Ελέγχει ένα ξεχωριστό Εικονική μηχανή ασφαλείας (SVM). Αυτή είναι μια αποκλειστική συσκευή ασφαλείας που φιλοξενεί βάσεις δεδομένων κακόβουλου λογισμικού. Κατά τη διάρκεια των ελέγχων, το φορτίο εκχωρείται στο SVM: μέσω αυτού, ο παράγοντας φωτός επικοινωνεί με τον διακομιστή.
- Κέντρο ασφαλείας Kaspersky (KSC) διαχειρίζεται τις εικονικές μηχανές προστασίας. Αυτή είναι μια κονσόλα με ρυθμίσεις για εργασίες και πολιτικές που θα εφαρμοστούν στις τελικές συσκευές.
Αυτό το πρόγραμμα εργασίας υπόσχεται να εξοικονομήσει έως και 30% των πόρων υλικού του μηχανήματος του χρήστη σε σύγκριση με το πρόγραμμα προστασίας από ιούς στον υπολογιστή του χρήστη. Ας δούμε τι ισχύει στην πράξη.
Για σύγκριση, πήρα τον φορητό υπολογιστή εργασίας μου με εγκατεστημένο το Kaspersky Endpoint Security, έκανα σάρωση και εξέτασα την κατανάλωση πόρων:
Και εδώ είναι η ίδια κατάσταση σε μια εικονική επιφάνεια εργασίας με παρόμοια χαρακτηριστικά στην υποδομή μας. Η μνήμη τρώει περίπου το ίδιο, αλλά η χρήση της CPU είναι δύο φορές χαμηλότερη:
Η ίδια η KSC είναι επίσης αρκετά απαιτητική σε πόρους. Διαθέτουμε για αυτό
αρκετά ώστε ο διαχειριστής να αισθάνεται άνετα να εργάζεται. Δες το και μονος σου:
Τι παραμένει υπό τον έλεγχο του πελάτη
Έτσι, καταλάβαμε τις εργασίες από την πλευρά του παρόχου, τώρα θα παρέχουμε στον πελάτη τον έλεγχο της προστασίας από ιούς. Για να γίνει αυτό, δημιουργούμε έναν θυγατρικό διακομιστή KSC και τον μεταφέρουμε στο τμήμα πελάτη:
Ας πάμε στην κονσόλα του πελάτη KSC και ας δούμε τι ρυθμίσεις θα έχει ο πελάτης από προεπιλογή.
Παρακολούθηση. Στην πρώτη καρτέλα βλέπουμε το ταμπλό. Είναι αμέσως σαφές σε ποιες προβληματικές περιοχές πρέπει να προσέξετε:
Ας περάσουμε στα στατιστικά. Μερικά παραδείγματα αυτού που μπορείτε να δείτε εδώ.
Εδώ ο διαχειριστής θα δει αμέσως εάν η ενημέρωση δεν έχει εγκατασταθεί σε ορισμένα μηχανήματα
ή υπάρχει άλλο ζήτημα που σχετίζεται με λογισμικό σε εικονικούς επιτραπέζιους υπολογιστές. Δικα τους
η ενημέρωση μπορεί να επηρεάσει την ασφάλεια ολόκληρης της εικονικής μηχανής:
Σε αυτήν την καρτέλα, μπορείτε να αναλύσετε τις απειλές που βρέθηκαν σε μια συγκεκριμένη απειλή που βρέθηκε σε προστατευμένες συσκευές:
Η τρίτη καρτέλα περιέχει όλες τις πιθανές επιλογές για προδιαμορφωμένες αναφορές. Οι πελάτες μπορούν να δημιουργήσουν τις δικές τους αναφορές από πρότυπα, να επιλέξουν ποιες πληροφορίες θα εμφανίζονται. Μπορείτε να ρυθμίσετε την προγραμματισμένη αποστολή email ή να προβάλετε αναφορές τοπικά από τον διακομιστή
διοίκηση (KSC).
Ομάδες διοίκησης. Στα δεξιά βλέπουμε όλες τις διαχειριζόμενες συσκευές: στην περίπτωσή μας, εικονικοί επιτραπέζιοι υπολογιστές που διαχειρίζονται ο διακομιστής KSC.
Μπορούν να συνδυαστούν σε ομάδες για να δημιουργήσουν κοινές εργασίες και πολιτικές ομάδας για διαφορετικά τμήματα ή για όλους τους χρήστες ταυτόχρονα.
Μόλις ο πελάτης δημιουργήσει μια εικονική μηχανή σε ιδιωτικό σύννεφο, εντοπίζεται αμέσως στο δίκτυο και η Kaspersky τη στέλνει σε μη εκχωρημένες συσκευές:
Οι συσκευές που δεν έχουν εκχωρηθεί δεν υπόκεινται σε πολιτικές ομάδας. Για να μην διασκορπίζονται οι εικονικοί επιτραπέζιοι υπολογιστές σε ομάδες με μη αυτόματο τρόπο, μπορείτε να χρησιμοποιήσετε κανόνες. Αυτός είναι ο τρόπος με τον οποίο αυτοματοποιούμε τη μεταφορά συσκευών σε ομάδες.
Για παράδειγμα, οι εικονικοί επιτραπέζιοι υπολογιστές με Windows 10, αλλά χωρίς εγκατεστημένο τον παράγοντα διαχειριστή, θα εμπίπτουν στην ομάδα VDI_1 και με τα Windows 10 και τον παράγοντα εγκατεστημένο, θα εμπίπτουν στην ομάδα VDI_2. Κατ' αναλογία με αυτό, οι συσκευές μπορούν επίσης να διανεμηθούν αυτόματα με βάση τη συσχέτιση με τον τομέα τους, ανά τοποθεσία σε διαφορετικά δίκτυα και με ορισμένες ετικέτες που μπορεί να ορίσει ο πελάτης με βάση τις εργασίες και τις ανάγκες του μόνος του.
Για να δημιουργήσετε έναν κανόνα, απλώς εκτελέστε τον οδηγό ομαδοποίησης συσκευών:
Ομαδικές εργασίες. Με τη βοήθεια εργασιών, το KSC αυτοματοποιεί την εκτέλεση ορισμένων κανόνων σε μια συγκεκριμένη χρονική στιγμή ή με την έναρξη μιας συγκεκριμένης στιγμής, για παράδειγμα: η εκτέλεση σάρωσης για ιούς εκτελείται κατά τη διάρκεια μη εργάσιμων ωρών ή όταν η εικονική μηχανή είναι "αδρανής". το οποίο, με τη σειρά του, μειώνει το φορτίο στο VM. Σε αυτήν την ενότητα, είναι βολικό να εκτελείτε προγραμματισμένες σαρώσεις σε εικονικούς επιτραπέζιους υπολογιστές εντός μιας ομάδας, καθώς και να ενημερώνετε τις βάσεις δεδομένων ιών.
Ακολουθεί η πλήρης λίστα των διαθέσιμων εργασιών:
Πολιτικές Ομίλου. Από το παιδί KSS, ο πελάτης μπορεί ανεξάρτητα να διανείμει προστασία σε νέους εικονικούς επιτραπέζιους υπολογιστές, να ενημερώσει υπογραφές, να διαμορφώσει εξαιρέσεις
για αρχεία και δίκτυα, δημιουργήστε αναφορές και διαχειριστείτε κάθε είδους ελέγχους στους υπολογιστές σας. Συμπερίληψη - περιορισμός της πρόσβασης σε συγκεκριμένα αρχεία, ιστότοπους ή κεντρικούς υπολογιστές.
Οι βασικές πολιτικές και κανόνες διακομιστή μπορούν να ενεργοποιηθούν ξανά εάν κάτι πάει στραβά. Στη χειρότερη περίπτωση, εάν ρυθμιστούν εσφαλμένα, οι φωτεινοί παράγοντες θα χάσουν την επαφή με το SVM και θα αφήσουν απροστάτευτους τους εικονικούς επιτραπέζιους υπολογιστές. Οι μηχανικοί μας θα λάβουν αμέσως μια ειδοποίηση σχετικά με αυτό και θα μπορούν να ενεργοποιήσουν την κληρονομιά πολιτικής από τον κύριο διακομιστή KSC.
Αυτές είναι οι κύριες ρυθμίσεις για τις οποίες ήθελα να μιλήσω σήμερα.
Πηγή: www.habr.com