Entre nuestros clientes hay empresas que utilizan las soluciones de Kaspersky como estándar corporativo y gestionan de forma independiente su protección antivirus. Parecería que el servicio de escritorio virtual, en el que el proveedor supervisa el antivirus, no es muy adecuado para ellos. Hoy le mostraré cómo los clientes pueden administrar la protección por sí mismos sin comprometer la seguridad de los escritorios virtuales.
В ya hemos descrito en general cómo protegemos los escritorios virtuales de los clientes. El antivirus dentro del servicio VDI ayuda a fortalecer la protección de las máquinas en la nube y controlarlas de manera independiente.
En la primera parte del artículo, mostraré cómo administramos la solución en la nube y compararemos el rendimiento de la nube de Kaspersky con Endpoint Security tradicional. La segunda parte versará sobre la posibilidad de autogestión.
Cómo gestionamos la solución
Así es como se ve la arquitectura de la solución en nuestra nube. Para el antivirus, seleccionamos dos segmentos de red:
- segmento de clientes, donde se encuentran las estaciones de trabajo virtuales de los usuarios,
- segmento de gestión, donde se encuentra la parte del servidor del antivirus.
El segmento de gestión queda bajo el control de nuestros ingenieros, el cliente no tiene acceso a esta parte. El segmento de administración incluye el servidor de administración principal de KSC, que contiene archivos de licencia y claves para activar las estaciones de trabajo de los clientes.
En esto consiste la solución en términos de Kaspersky Lab.
- Instalado en los escritorios virtuales de los usuarios agente ligero (LA). No verifica los archivos, sino que los envía a la SVM y espera un "veredicto desde arriba". Como resultado, los recursos del escritorio del usuario no se desperdician en la actividad antivirus y los empleados no se quejan de que "VDI se ralentiza".
- Comprueba por separado Máquina virtual de seguridad (SVM). Este es un dispositivo de seguridad dedicado que aloja bases de datos de malware. Durante las comprobaciones, la carga se asigna a la SVM: a través de ella, el agente de luz se comunica con el servidor.
- Centro de seguridad de Kaspersky (KSC) administra las máquinas virtuales de protección. Esta es una consola con configuraciones para tareas y políticas que se aplicarán en los dispositivos finales.
Este esquema de trabajo promete ahorrar hasta un 30% de los recursos de hardware de la máquina del usuario en comparación con el antivirus en la computadora del usuario. Veamos qué hay en la práctica.
A modo de comparación, tomé mi computadora portátil de trabajo con Kaspersky Endpoint Security instalado, ejecuté un análisis y observé el consumo de recursos:
Y aquí está la misma situación en un escritorio virtual de similares características en nuestra infraestructura. La memoria consume casi lo mismo, pero el uso de la CPU es dos veces menor:
KSC en sí también es bastante exigente con los recursos. Asignamos para ello
suficiente para que el administrador se sienta cómodo trabajando. Ver por ti mismo:
Lo que queda bajo el control del cliente
Entonces, descubrimos las tareas del lado del proveedor, ahora le daremos al cliente control sobre la protección antivirus. Para hacer esto, creamos un servidor KSC secundario y lo llevamos al segmento de clientes:
Vayamos a la consola en el cliente KSC y veamos qué configuraciones tendrá el cliente por defecto.
Monitoreo. En la primera pestaña vemos el tablero. Inmediatamente queda claro a qué áreas problemáticas debe prestar atención:
Pasemos a las estadísticas. Algunos ejemplos de lo que se puede ver aquí.
Aquí el administrador verá inmediatamente si la actualización no se ha instalado en algunas máquinas
o hay otro problema relacionado con el software en los escritorios virtuales. Su
la actualización puede afectar la seguridad de toda la máquina virtual:
En esta pestaña, puede analizar las amenazas encontradas para una amenaza específica encontrada en los dispositivos protegidos:
La tercera pestaña contiene todas las opciones posibles para los informes preconfigurados. Los clientes pueden crear sus propios informes a partir de plantillas, elegir qué información se mostrará. Puede configurar el envío de correo electrónico programado o ver informes localmente desde el servidor
administración (KSC).
Grupos de administración. A la derecha vemos todos los dispositivos administrados: en nuestro caso, escritorios virtuales administrados por el servidor KSC.
Se pueden combinar en grupos para crear tareas comunes y políticas de grupo para diferentes departamentos o para todos los usuarios al mismo tiempo.
Tan pronto como el cliente crea una máquina virtual en una nube privada, se detecta inmediatamente en la red y Kaspersky la envía a los dispositivos no asignados:
Los dispositivos no asignados no están sujetos a políticas de grupo. Para no dispersar escritorios virtuales en grupos manualmente, puede usar reglas. Así es como automatizamos la transferencia de dispositivos a grupos.
Por ejemplo, los escritorios virtuales con Windows 10, pero sin el agente de administración instalado, se incluirán en el grupo VDI_1, y con Windows 10 y el agente instalado, se incluirán en el grupo VDI_2. Por analogía con esto, los dispositivos también se pueden distribuir automáticamente en función de su afiliación de dominio, por ubicación en diferentes redes y por ciertas etiquetas que el cliente puede configurar en función de sus tareas y necesidades por su cuenta.
Para crear una regla, simplemente ejecute el asistente de agrupación de dispositivos:
Tareas de grupo. Con la ayuda de tareas, KSC automatiza la ejecución de ciertas reglas en un momento determinado o con el inicio de un momento determinado, por ejemplo: la realización de un análisis de virus se realiza fuera del horario laboral o cuando la máquina virtual está "inactiva", lo que , a su vez, reduce la carga en la máquina virtual. En esta sección es conveniente ejecutar escaneos programados en los escritorios virtuales dentro de un grupo, así como actualizar las bases de datos de virus.
Aquí está la lista completa de tareas disponibles:
Políticas de grupo. Desde el KSS secundario, el cliente puede distribuir la protección de forma independiente a nuevos escritorios virtuales, actualizar firmas, configurar exclusiones
para archivos y redes, cree informes y administre todo tipo de controles en sus máquinas. Incluyendo: restrinja el acceso a archivos, sitios o hosts específicos.
Las políticas y reglas del servidor central se pueden volver a activar si algo sale mal. En el peor de los casos, si se configura incorrectamente, los agentes ligeros perderán contacto con la SVM y dejarán los escritorios virtuales desprotegidos. Nuestros ingenieros recibirán inmediatamente una notificación al respecto y podrán habilitar la herencia de políticas desde el servidor principal de KSC.
Estas son las configuraciones principales de las que quería hablar hoy.
Fuente: habr.com