Entre os nosos clientes hai empresas que utilizan as solucións de Kaspersky como estándar corporativo e xestionan de forma independente a súa protección antivirus. Parece que o servizo de escritorio virtual, no que o provedor supervisa o antivirus, non é moi axeitado para eles. Hoxe mostrarei como os clientes poden xestionar a protección eles mesmos sen comprometer a seguridade dos escritorios virtuais.
В xa describimos en xeral como protexemos os escritorios virtuais dos clientes. O antivirus dentro do servizo VDI axuda a reforzar a protección das máquinas na nube e controlala de forma independente.
Na primeira parte do artigo, mostrarei como xestionamos a solución na nube e compararei o rendemento da nube de Kaspersky co Endpoint Security tradicional. A segunda parte versará sobre a posibilidade de autoxestión.
Como xestionamos a solución
Aquí tes como é a arquitectura da solución na nosa nube. Para o antivirus, seleccionamos dous segmentos de rede:
- segmento de clientes, onde se atopan as estacións de traballo virtuais dos usuarios,
- segmento de xestión, onde se atopa a parte do servidor do antivirus.
O segmento de xestión permanece baixo o control dos nosos enxeñeiros, o cliente non ten acceso a esta parte. O segmento de xestión inclúe o servidor de administración principal de KSC, que contén ficheiros de licenza e claves para activar as estacións de traballo cliente.
Isto é o que consiste a solución en termos de Kaspersky Lab.
- Instalado en escritorios virtuais dos usuarios axente luminoso (LA). Non comproba os ficheiros, pero envíaos ao SVM e espera un "veredicto desde arriba". Como resultado, os recursos do escritorio dos usuarios non se desperdician na actividade antivirus e os empregados non se queixan de que "VDI ralentiza".
- Comproba por separado Máquina virtual de seguridade (SVM). Este é un dispositivo de seguridade dedicado que aloxa bases de datos de malware. Durante as comprobacións, a carga asígnase ao SVM: a través del, o axente lixeiro comunícase co servidor.
- Centro de seguridade de Kaspersky (KSC) xestiona as máquinas virtuais de protección. Esta é unha consola con configuracións para tarefas e políticas que se aplicarán nos dispositivos finais.
Este esquema de traballo promete aforrar ata un 30% dos recursos de hardware da máquina do usuario en comparación co antivirus do ordenador do usuario. A ver que é na práctica.
Para comparar, levei o meu portátil de traballo con Kaspersky Endpoint Security instalado, realicei unha análise e observei o consumo de recursos:
E aquí está a mesma situación nun escritorio virtual con características similares na nosa infraestrutura. A memoria consume aproximadamente o mesmo, pero o uso da CPU é dúas veces menor:
O propio KSC tamén é bastante esixente en recursos. Destinamos para iso
suficiente para que o administrador se sinta cómodo traballando. Vexa por si mesmo:
O que queda baixo o control do cliente
Entón, descubrimos as tarefas do provedor, agora proporcionaremos ao cliente o control da protección antivirus. Para iso, creamos un servidor KSC fillo e traémolo ao segmento de clientes:
Imos á consola do cliente KSC e vexamos que configuracións terá o cliente por defecto.
Seguimento. Na primeira pestana vemos o panel. Queda claro inmediatamente en que áreas problemáticas debes prestar atención:
Pasemos ás estatísticas. Algúns exemplos do que se pode ver aquí.
Aquí o administrador verá inmediatamente se a actualización non se instalou nalgunhas máquinas
ou hai outro problema relacionado co software en escritorios virtuais. Os seus
a actualización pode afectar á seguridade de toda a máquina virtual:
Nesta pestana, pode analizar as ameazas atopadas para unha ameaza específica atopada en dispositivos protexidos:
A terceira pestana contén todas as opcións posibles para os informes preconfigurados. Os clientes poden crear os seus propios informes a partir de modelos, escoller a información que se mostrará. Pode configurar o envío de correo electrónico programado ou ver informes localmente desde o servidor
Administración (KSC).
Grupos de administración. Á dereita vemos todos os dispositivos xestionados: no noso caso, escritorios virtuais xestionados polo servidor KSC.
Pódense combinar en grupos para crear tarefas comúns e políticas de grupo para diferentes departamentos ou para todos os usuarios ao mesmo tempo.
Tan pronto como o cliente creou unha máquina virtual nunha nube privada, detéctase inmediatamente na rede e Kaspersky envíaa a dispositivos sen asignar:
Os dispositivos sen asignar non están suxeitos ás políticas de grupo. Para non espallar os escritorios virtuais en grupos manualmente, podes usar regras. Así é como automatizamos a transferencia de dispositivos a grupos.
Por exemplo, os escritorios virtuais con Windows 10, pero sen o axente de administración instalado, entrarán no grupo VDI_1 e, con Windows 10 e o axente instalados, entrarán no grupo VDI_2. Por analoxía con isto, os dispositivos tamén se poden distribuír automaticamente en función da súa afiliación ao dominio, pola localización en diferentes redes e por determinadas etiquetas que o cliente pode establecer en función das súas tarefas e necesidades por si mesmo.
Para crear unha regra, simplemente execute o asistente de agrupación de dispositivos:
Tarefas de grupo. Coa axuda de tarefas, KSC automatiza a execución de determinadas regras nun momento determinado ou co inicio dun momento determinado, por exemplo: a realización dunha análise de virus realízase durante as horas non laborables ou cando a máquina virtual está "inactiva", que, á súa vez, reduce a carga na máquina virtual. Nesta sección, é conveniente realizar análises programadas en escritorios virtuais dentro dun grupo, así como actualizar as bases de datos de virus.
Aquí está a lista completa de tarefas dispoñibles:
Políticas de grupo. Desde o KSS fillo, o cliente pode distribuír de forma independente protección a novos escritorios virtuais, actualizar sinaturas, configurar exclusións
para ficheiros e redes, cree informes e xestione todo tipo de comprobacións nas súas máquinas. Incluíndo: restrinxir o acceso a ficheiros, sitios ou servidores específicos.
As políticas e regras do servidor principal pódense activar de novo se algo sae mal. No peor dos casos, se se configuran incorrectamente, os axentes lixeiros perderán o contacto co SVM e deixarán os escritorios virtuais desprotexidos. Os nosos enxeñeiros recibirán inmediatamente unha notificación sobre isto e poderán activar a herdanza de políticas do servidor KSC principal.
Estes son os principais axustes dos que quería falar hoxe.
Fonte: www.habr.com