Tra i nostri clienti ci sono aziende che utilizzano le soluzioni Kaspersky come standard aziendale e gestiscono autonomamente la protezione antivirus. Sembrerebbe che per loro non sia molto adatto un servizio di desktop virtuale in cui l'antivirus viene monitorato dal provider. Oggi mostrerò come i clienti possono gestire la propria sicurezza senza compromettere la sicurezza dei desktop virtuali.
В Abbiamo già descritto in generale come proteggiamo i desktop virtuali dei clienti. L'antivirus all'interno del servizio VDI aiuta a rafforzare la protezione delle macchine nel cloud e a controllarla in modo indipendente.
Nella prima parte dell'articolo mostrerò come gestiamo la soluzione nel cloud e confronteremo le prestazioni di Kaspersky basato su cloud con Endpoint Security tradizionale. La seconda parte riguarderà le possibilità di una gestione indipendente.
Come gestiamo la soluzione
Ecco come appare l'architettura della soluzione nel nostro cloud. Per l'antivirus assegniamo due segmenti di rete:
- segmento di clientela, dove si trovano le postazioni virtuali degli utenti,
- segmento gestionale, dove si trova la parte del server antivirus.
Il segmento gestionale rimane sotto il controllo dei nostri ingegneri; il cliente non ha accesso a questa parte. Il segmento di gestione include il server di amministrazione KSC principale, che contiene file di licenza e chiavi per l'attivazione delle workstation client.
In questo consiste la soluzione secondo i termini di Kaspersky Lab.
- Installato sui desktop virtuali degli utenti agente leggero (LA). Non controlla i file, ma li invia a SVM e attende il “verdetto dall’alto”. Di conseguenza, le risorse desktop degli utenti non vengono sprecate in attività antivirus e i dipendenti non si lamentano del fatto che “VDI è lento”.
- Controlli separatamente Macchina virtuale di sicurezza (SVM). Si tratta di un'appliance di sicurezza dedicata che ospita database di malware. Durante i controlli, il carico viene posto sull'SVM: attraverso di esso, il light agent comunica con il server.
- Centro sicurezza Kaspersky (KSC) gestisce le macchine virtuali di protezione. Si tratta di una console con impostazioni per attività e policy che verranno applicate ai dispositivi finali.
Questo schema di funzionamento promette di risparmiare fino al 30% delle risorse hardware del computer dell'utente rispetto a un antivirus sul computer dell'utente. Vediamo cosa succede nella pratica.
Per fare un confronto, ho preso il mio laptop da lavoro con Kaspersky Endpoint Security installato, ho eseguito una scansione e ho osservato il consumo di risorse:
Ma la stessa situazione si verifica su un desktop virtuale con caratteristiche simili nella nostra infrastruttura. Il consumo di memoria è più o meno lo stesso, ma il carico della CPU è due volte più basso:
Anche lo stesso KSC richiede molte risorse. Lo assegniamo
sufficiente affinché l'amministratore si senta a proprio agio nel lavorare. Guarda tu stesso:
Ciò che rimane sotto il controllo del cliente
Quindi, abbiamo risolto i compiti da parte del fornitore, ora forniremo al cliente il controllo della protezione antivirus. Per fare ciò, creiamo un server KSC figlio e lo spostiamo nel segmento client:
Andiamo alla console sul client KSC e vediamo quali impostazioni avrà il cliente per impostazione predefinita.
Monitoraggio. Nella prima scheda vediamo il pannello di monitoraggio. È immediatamente chiaro a quali aree problematiche dovresti prestare attenzione:
Passiamo alle statistiche. Alcuni esempi di ciò che potete vedere qui.
Qui l'amministratore vedrà immediatamente se l'aggiornamento non è stato installato su alcune macchine
oppure c'è un altro problema relativo al software sui desktop virtuali. Loro
L'aggiornamento potrebbe influire sulla sicurezza dell'intera macchina virtuale:
In questa scheda è possibile analizzare le minacce rilevate fino alla minaccia specifica rilevata sui dispositivi protetti:
La terza scheda contiene tutte le opzioni possibili per i report preconfigurati. I clienti possono creare i propri report da modelli e scegliere quali informazioni verranno visualizzate. È possibile impostare l'invio tramite e-mail in base a una pianificazione o visualizzare i report localmente dal server
amministrazione (KSC).
Gruppi di amministrazione. Sulla destra vediamo tutti i dispositivi gestiti: nel nostro caso, desktop virtuali gestiti dal server KSC.
Possono essere combinati in gruppi per creare attività comuni e policy di gruppo per diversi dipartimenti o per tutti gli utenti contemporaneamente.
Non appena il cliente ha creato una macchina virtuale in un cloud privato, questa viene immediatamente identificata nella rete e Kaspersky la invia ai dispositivi non assegnati:
I dispositivi non assegnati non sono coperti dai criteri di gruppo. Per evitare di assegnare manualmente i desktop virtuali ai gruppi, puoi utilizzare le regole. In questo modo automatizziamo il trasferimento dei dispositivi in gruppi.
Ad esempio, i desktop virtuali con Windows 10, ma senza l'agente di amministrazione installato, rientreranno nel gruppo VDI_1, mentre con Windows 10 e l'agente installato rientreranno nel gruppo VDI_2. Per analogia con questo, i dispositivi possono anche essere distribuiti automaticamente in base alla loro appartenenza al dominio, alla posizione in diverse reti e tramite determinati tag che il cliente può impostare in modo indipendente in base ai suoi compiti e alle sue esigenze.
Per creare una regola è sufficiente eseguire la procedura guidata per la distribuzione dei dispositivi in gruppi:
Compiti di gruppo. Utilizzando le attività, KSC automatizza l'esecuzione di determinate regole in un determinato momento o in un determinato momento, ad esempio: la scansione antivirus viene eseguita durante le ore non lavorative o quando la macchina virtuale è "inattiva", il che, a sua volta, riduce il carico sulla VM. Questa sezione è utile per eseguire scansioni pianificate sui desktop virtuali all'interno di un gruppo, nonché per aggiornare i database dei virus.
Ecco l'elenco completo delle attività disponibili:
Politiche di gruppo. Dal KSC secondario, il cliente può distribuire in modo indipendente la protezione ai nuovi desktop virtuali, aggiornare le firme e configurare le eccezioni
per file e reti, crea report e gestisci tutti i tipi di scansioni delle tue macchine. Ciò include la limitazione dell'accesso a file, siti o host specifici.
Le politiche e le regole del server principale possono essere riattivate se qualcosa va storto. Nel peggiore dei casi, se configurati in modo errato, i light agent perderanno il contatto con l'SVM e lasceranno i desktop virtuali non protetti. I nostri ingegneri ne verranno immediatamente informati e potranno abilitare l'ereditarietà delle policy dal server KSC principale.
Queste sono le impostazioni principali di cui volevo parlare oggi.
Fonte: habr.com