Meie klientide hulgas on ettevõtteid, kes kasutavad Kaspersky lahendusi ettevõtte standardina ja haldavad viirusetõrjet ise. Näib, et virtuaalne töölauateenus, mille teenusepakkuja jälgib viirusetõrjet, pole neile eriti sobiv. Täna näitan, kuidas kliendid saavad oma turvalisust ise hallata, ilma et see kahjustaks virtuaalsete töölaudade turvalisust.
В Oleme juba üldiselt kirjeldanud, kuidas me klientide virtuaalseid töölaudu kaitseme. VDI-teenuse viirusetõrje aitab tugevdada pilves olevate masinate kaitset ja seda iseseisvalt juhtida.
Artikli esimeses osas näitan, kuidas me haldame lahendust pilves ja võrdlen pilvepõhise Kaspersky jõudlust traditsioonilise Endpoint Securityga. Teine osa käsitleb iseseisva juhtimise võimalusi.
Kuidas me lahendust juhime
Selline näeb lahenduse arhitektuur meie pilves välja. Viirusetõrje jaoks eraldame kaks võrgusegmenti:
- kliendi segment, kus asuvad kasutajate virtuaalsed tööjaamad,
- juhtimissegment, kus asub viirusetõrjeserveri osa.
Juhtimissegment jääb meie inseneride kontrolli alla, kliendil puudub juurdepääs sellele osale. Haldussegment sisaldab KSC peamist haldusserverit, mis sisaldab litsentsifaile ja võtmeid kliendi tööjaamade aktiveerimiseks.
Kaspersky Labi mõistes see lahendus seisnebki.
- Installitud kasutajate virtuaalsetele töölaudadele kerge agent (LA). See ei kontrolli faile, vaid saadab need SVM-i ja ootab "ülevalt otsust". Selle tulemusel ei raisata kasutajate töölauaressursse viirusetõrjele ja töötajad ei kurda, et "VDI on aeglane".
- Kontrollid eraldi Turvaline virtuaalmasin (SVM). See on spetsiaalne turvaseade, mis majutab pahavara andmebaase. Kontrollide käigus asetatakse koormus SVM-ile: selle kaudu suhtleb kerge agent serveriga.
- Kaspersky turvakeskus (KSC) haldab virtuaalseid kaitsemasinaid. See on konsool, mis sisaldab lõppseadmetele rakendatavate ülesannete ja poliitikate sätteid.
See tööskeem lubab säästa kuni 30% kasutaja masina riistvararessurssidest võrreldes kasutaja arvutis oleva viirusetõrjega. Vaatame, mis praktikas juhtub.
Võrdluseks võtsin oma töösülearvuti, kuhu oli installitud Kaspersky Endpoint Security, tegin skannimise ja vaatasin ressursitarbimist:
Kuid sama olukord esineb meie infrastruktuuri sarnaste omadustega virtuaalsel töölaual. Mälukulu on ligikaudu sama, kuid protsessori koormus on kaks korda väiksem:
KSC ise on ka üsna ressursimahukas. Me eraldame selle jaoks
piisavalt, et administraator tunneks end töötades mugavalt. Vaata ise:
Mis jääb kliendi kontrolli alla
Niisiis, oleme teenusepakkuja poolel ülesanded lahendanud, nüüd anname kliendile viirusetõrje kontrolli. Selleks loome KSC alamserveri ja teisaldame selle kliendisegmenti:
Läheme kliendi KSC konsooli ja vaatame, millised seaded kliendil vaikimisi on.
Jälgimine. Esimesel vahekaardil näeme seirepaneeli. Kohe on selge, millistele probleemsetele kohtadele peaksite tähelepanu pöörama:
Liigume edasi statistika juurde. Mõned näited sellest, mida siin näete.
Siin näeb administraator kohe, kas mõnele masinale pole uuendust installitud
või on virtuaalse töölaua tarkvaraga seotud mõni muu probleem. Nende
Värskendus võib mõjutada kogu virtuaalmasina turvalisust.
Sellel vahekaardil saate analüüsida leitud ohte kuni kaitstud seadmetes leitud konkreetsete ohtudeni.
Kolmas vahekaart sisaldab kõiki võimalikke eelkonfigureeritud aruannete valikuid. Kliendid saavad mallide põhjal ise aruandeid luua ja valida, millist teavet kuvatakse. Saate seadistada e-posti teel saatmise ajakava alusel või vaadata aruandeid serverist kohapeal
haldus (KSC).
Haldusrühmad. Paremal näeme kõiki hallatavaid seadmeid: meie puhul virtuaalseid töölaudu, mida haldab KSC server.
Neid saab kombineerida rühmadesse, et luua ühiseid ülesandeid ja rühmapoliitikaid erinevatele osakondadele või kõigile kasutajatele korraga.
Niipea kui klient on privaatpilves virtuaalmasina loonud, tuvastatakse see kohe võrgus ja Kaspersky saadab selle määramata seadmetele:
Määramata seadmeid rühmapoliitikad ei hõlma. Virtuaalsete töölaudade käsitsi rühmadesse määramise vältimiseks võite kasutada reegleid. Nii automatiseerime seadmete rühmadesse üleviimise.
Näiteks Windows 10-ga virtuaalsed töölauad, kus pole installitud administraatorit, langevad rühma VDI_1 ning kui Windows 10 ja agent on installitud, siis VDI_2 rühma. Sellega analoogselt saab seadmeid ka automaatselt jaotada lähtuvalt nende domeenikuuluvusest, asukohast erinevates võrkudes ja teatud siltide järgi, mida klient saab oma ülesannetest ja vajadustest lähtuvalt iseseisvalt määrata.
Reegli loomiseks käivitage lihtsalt viisard seadmete rühmadesse jaotamiseks:
Grupiülesanded. Ülesannete abil automatiseerib KSC teatud reeglite täitmist kindlal ajal või kindlal hetkel, näiteks: viirusekontroll toimub töövälisel ajal või virtuaalmasina “jõudeolekul”, mis omakorda vähendab koormust VM-is. See jaotis on mugav grupisiseste virtuaalsete töölaudade ajastatud kontrollide käitamiseks ja viiruste andmebaaside värskendamiseks.
Siin on saadaolevate ülesannete täielik loend:
Grupipoliitikad. Alates alam-KSC-st saab klient iseseisvalt levitada kaitset uutele virtuaalsetele töölaudadele, värskendada allkirju ja konfigureerida erandeid
failide ja võrkude jaoks, koostage aruandeid ja hallake oma masinate igat tüüpi skaneeringuid. See hõlmab juurdepääsu piiramist konkreetsetele failidele, saitidele või hostidele.
Peaserveri poliitikad ja reeglid saab uuesti sisse lülitada, kui midagi läheb valesti. Halvimal juhul, kui need on valesti seadistatud, kaotavad kerged agendid kontakti SVM-iga ja jätavad virtuaalsed töölauad kaitseta. Meie insenere teavitatakse sellest kohe ja nad saavad lubada poliitika pärimise KSC põhiserverist.
Need on peamised seaded, millest tahtsin täna rääkida.
Allikas: www.habr.com