Parmi nos clients, il y a des entreprises qui utilisent les solutions Kaspersky comme standard d'entreprise et gèrent de manière indépendante leur protection antivirus. Il semblerait que le service de bureau virtuel, dans lequel le fournisseur surveille l'antivirus, ne leur convienne pas très bien. Aujourd'hui, je vais vous montrer comment les clients peuvent gérer eux-mêmes leur protection sans compromettre la sécurité des postes de travail virtuels.
В nous avons déjà décrit en général comment nous protégeons les postes de travail virtuels des clients. L'antivirus au sein du service VDI permet de renforcer la protection des machines dans le cloud et de la contrôler en toute autonomie.
Dans la première partie de l'article, je montrerai comment nous gérons la solution dans le cloud et comparerons les performances du cloud Kaspersky avec Endpoint Security traditionnel. La deuxième partie portera sur la possibilité d'autogestion.
Comment nous gérons la solution
Voici à quoi ressemble l'architecture de la solution dans notre cloud. Pour l'antivirus, nous sélectionnons deux segments de réseau :
- segment de clientèle, où se trouvent les postes de travail virtuels des utilisateurs,
- partie gestion, où se trouve la partie serveur de l'antivirus.
Le segment de gestion reste sous le contrôle de nos ingénieurs, le client n'a pas accès à cette partie. Le segment de gestion comprend le serveur d'administration principal du KSC, qui contient les fichiers de licence et les clés d'activation des postes de travail clients.
C'est en quoi consiste la solution en termes de Kaspersky Lab.
- Sur les bureaux virtuels des utilisateurs est placé agent léger (LA). Il ne vérifie pas les fichiers, mais les envoie au SVM et attend un "verdict d'en haut". Par conséquent, les ressources du poste de travail des utilisateurs ne sont pas gaspillées par l'activité antivirus, et les employés ne se plaignent pas du "ralentissement de la VDI".
- Vérifie un séparé Machine virtuelle de sécurité (SVM). Il s'agit d'une appliance de sécurité dédiée qui héberge des bases de données de logiciels malveillants. Lors des vérifications, la charge est affectée à la SVM : par son intermédiaire, l'agent léger communique avec le serveur.
- Centre de sécurité Kaspersky (KSC) gère les machines virtuelles de protection. Il s'agit d'une console avec des paramètres pour les tâches et les politiques qui seront appliquées sur les appareils finaux.
Ce schéma de travail promet d'économiser jusqu'à 30% des ressources matérielles de la machine de l'utilisateur par rapport à l'antivirus sur l'ordinateur de l'utilisateur. Voyons ce qui est en pratique.
À titre de comparaison, j'ai pris mon ordinateur portable de travail avec Kaspersky Endpoint Security installé, j'ai effectué une analyse et j'ai examiné la consommation de ressources :
Et voici la même situation sur un bureau virtuel avec des caractéristiques similaires dans notre infrastructure. La mémoire consomme à peu près la même chose, mais l'utilisation du processeur est deux fois inférieure :
KSC lui-même est également très exigeant en ressources. Nous lui allouons
suffisamment pour que l'administrateur se sente à l'aise de travailler. Voir par vous-même:
Ce qui reste sous le contrôle du client
Donc, nous avons déterminé les tâches du côté du fournisseur, nous allons maintenant fournir au client le contrôle de la protection antivirus. Pour ce faire, nous créons un serveur KSC enfant et le déplaçons vers le segment client :
Allons à la console sur le client KSC et voyons quels paramètres le client aura par défaut.
Surveillance. Sur le premier onglet, nous voyons le tableau de bord. Il est immédiatement clair à quels problèmes vous devez prêter attention:
Passons aux statistiques. Quelques exemples de ce que l'on peut voir ici.
Ici, l'administrateur verra immédiatement si la mise à jour n'a pas été installée sur certaines machines
ou un autre problème lié au logiciel avec les bureaux virtuels. Leur
la mise à jour peut affecter la sécurité de l'ensemble de la machine virtuelle :
Dans cet onglet, vous pouvez analyser les menaces détectées pour une menace détectée spécifique sur les appareils protégés :
Le troisième onglet contient toutes les options possibles pour les rapports préconfigurés. Les clients peuvent créer leurs propres rapports à partir de modèles, choisir les informations à afficher. Vous pouvez configurer l'envoi programmé d'e-mails ou afficher des rapports localement à partir du serveur
administrative (KSC).
Groupes administratifs. À droite, nous voyons tous les appareils gérés : dans notre cas, les bureaux virtuels gérés par le serveur KSC.
Ils peuvent être combinés en groupes pour créer des tâches communes et des stratégies de groupe pour différents services ou pour tous les utilisateurs en même temps.
Dès que le client a créé une machine virtuelle dans un cloud privé, celle-ci est immédiatement détectée sur le réseau et Kaspersky l'envoie aux appareils non affectés :
Les appareils non attribués ne sont pas soumis aux stratégies de groupe. Afin de ne pas disperser manuellement les bureaux virtuels en groupes, vous pouvez utiliser des règles. C'est ainsi que nous automatisons le transfert d'appareils vers des groupes.
Par exemple, les bureaux virtuels avec Windows 10, mais sans l'agent d'administration installé, tomberont dans le groupe VDI_1, et avec Windows 10 et l'agent installé, ils tomberont dans le groupe VDI_2. Par analogie avec cela, les appareils peuvent également être automatiquement distribués en fonction de leur affiliation au domaine, de leur emplacement dans différents réseaux et de certaines balises que le client peut définir en fonction de ses tâches et de ses besoins.
Pour créer une règle, lancez simplement l'assistant de regroupement d'appareils :
Tâches de groupe. À l'aide de tâches, KSC automatise l'exécution de certaines règles à un certain moment ou avec le début d'un certain moment, par exemple : l'exécution d'une analyse antivirus est effectuée pendant les heures creuses ou lorsque la machine virtuelle est "inactive", ce qui , à son tour, réduit la charge sur la machine virtuelle. Dans cette section, il est pratique d'exécuter des analyses planifiées sur les bureaux virtuels au sein d'un groupe, ainsi que de mettre à jour les bases de données virales.
Voici la liste complète des tâches disponibles :
Stratégies de groupe. À partir du KSS enfant, le client peut indépendamment distribuer la protection aux nouveaux bureaux virtuels, mettre à jour les signatures, configurer les exclusions
pour les fichiers et les réseaux, créez des rapports et gérez toutes sortes de contrôles sur vos machines. Y compris - restreindre l'accès à des fichiers, sites ou hôtes spécifiques.
Les politiques et les règles du serveur principal peuvent être réactivées en cas de problème. Dans le pire des cas, s'ils sont mal configurés, les agents légers perdront le contact avec la SVM et laisseront les bureaux virtuels sans protection. Nos ingénieurs recevront immédiatement une notification à ce sujet et pourront activer l'héritage des politiques à partir du serveur KSC principal.
Ce sont les principaux paramètres dont je voulais parler aujourd'hui.
Source: habr.com