当社の顧客の中には、カスペルスキー ソリューションを企業標準として使用し、ウイルス対策保護を自社で管理している企業もあります。 プロバイダーによってウイルス対策が監視される仮想デスクトップ サービスは、彼らにはあまり適していないようです。 今日は、仮想デスクトップのセキュリティを損なうことなく、お客様が独自のセキュリティを管理する方法を説明します。
В 顧客の仮想デスクトップをどのように保護するかについてはすでに説明しました。 VDI サービス内のウイルス対策は、クラウド内のマシンの保護を強化し、独立して制御するのに役立ちます。
記事の最初の部分では、クラウドでソリューションを管理する方法を示し、クラウドベースの Kaspersky と従来の Endpoint Security のパフォーマンスを比較します。 後半は独立経営の可能性についてです。
ソリューションの管理方法
これは、クラウドにおけるソリューション アーキテクチャの様子です。 ウイルス対策のために、XNUMX つのネットワーク セグメントを割り当てます。
- クライアントセグメント、ユーザーの仮想ワークステーションが配置される場所、
- 管理セグメント、ウイルス対策サーバー部分が配置されています。
管理セグメントは引き続き当社のエンジニアの管理下にあり、お客様はこの部分にアクセスできません。 管理セグメントには、クライアント ワークステーションをアクティブ化するためのライセンス ファイルとキーが含まれるメイン KSC 管理サーバーが含まれます。
カスペルスキーの用語で言えば、これがソリューションの構成要素です。
- ユーザーの仮想デスクトップにインストールされる ライトエージェント (LA)。 ファイルはチェックされませんが、ファイルを SVM に送信して「上からの判断」を待ちます。 その結果、ユーザーのデスクトップ リソースがウイルス対策活動に無駄に費やされることがなくなり、従業員から「VDI が遅い」という不満が生じることもなくなりました。
- 個別に確認する セキュリティ仮想マシン(SVM)。 これは、マルウェア データベースをホストする専用のセキュリティ アプライアンスです。 チェック中に SVM に負荷がかかり、SVM を通じてライト エージェントがサーバーと通信します。
- カスペルスキー セキュリティ センター (KSC) 保護仮想マシンを管理します。 これは、エンドデバイスに適用されるタスクとポリシーの設定を含むコンソールです。
この操作スキームは、ユーザーのコンピューター上のウイルス対策ソフトと比較して、ユーザーのマシンのハードウェア リソースを最大 30% 節約することを約束します。 実際に何が起こるかを見てみましょう。
比較のために、Kaspersky Endpoint Security がインストールされた職場のラップトップを使用してスキャンを実行し、リソース消費量を調べました。
しかし、インフラストラクチャ内の同様の特性を持つ仮想デスクトップでも同じ状況が発生します。 メモリ消費量はほぼ同じですが、CPU 負荷は XNUMX 倍低くなります。
KSC 自体も非常にリソースを大量に消費します。 私たちはそれに割り当てます
管理者が快適に作業できるようにするには十分です。 自分で見て:
顧客の管理下に残るもの
そこで、プロバイダー側のタスクを整理しました。今度は、顧客にウイルス対策保護の制御を提供します。 これを行うには、子 KSC サーバーを作成し、それをクライアント セグメントに移動します。
クライアント KSC のコンソールに移動して、顧客がデフォルトでどのような設定を持つかを確認してみましょう。
監視。 最初のタブには監視パネルが表示されます。 どの問題領域に注意を払う必要があるかがすぐにわかります。
統計の話に移りましょう。 ここで確認できるものの例をいくつか示します。
ここで管理者は、一部のマシンにアップデートがインストールされていないかをすぐに確認できます。
または、仮想デスクトップ上のソフトウェアに関連する別の問題があります。 彼らの
この更新は、仮想マシン全体のセキュリティに影響を与える可能性があります。
このタブでは、保護されたデバイスで見つかった特定の脅威に至るまで、検出された脅威を分析できます。
XNUMX 番目のタブには、事前設定されたレポートに使用できるすべてのオプションが含まれています。 顧客はテンプレートから独自のレポートを作成し、表示する情報を選択できます。 スケジュールに従って電子メールで送信するように設定したり、サーバーからローカルでレポートを表示したりできます
管理(KSC)。
管理グループ。 右側には、すべての管理対象デバイスが表示されます。この場合、KSC サーバーによって管理される仮想デスクトップです。
これらをグループに結合して、異なる部門またはすべてのユーザーに同時に共通のタスクとグループ ポリシーを作成できます。
お客様がプライベート クラウドに仮想マシンを作成すると、その仮想マシンはネットワーク上ですぐに識別され、カスペルスキーはそれを未割り当てのデバイスに送信します。
未割り当てのデバイスはグループ ポリシーの対象になりません。 仮想デスクトップをグループに手動で割り当てることを避けるために、ルールを使用できます。 これは、デバイスのグループへの転送を自動化する方法です。
たとえば、Windows 10 を搭載しているが管理エージェントがインストールされていない仮想デスクトップは VDI_1 グループに分類され、Windows 10 とエージェントがインストールされている場合は VDI_2 グループに分類されます。 これと同様に、ドメインへの所属、異なるネットワーク内の場所、およびクライアントがタスクやニーズに基づいて個別に設定できる特定のタグに基づいて、デバイスを自動的に配布することもできます。
ルールを作成するには、デバイスをグループに分散するためのウィザードを実行するだけです。
グループタスク。 KSC はタスクを使用して、特定の時間または瞬間に特定のルールの実行を自動化します。たとえば、ウイルス スキャンは勤務時間外または仮想マシンが「アイドル」状態のときに実行され、負荷が軽減されます。 VM 上で。 このセクションは、グループ内の仮想デスクトップでスケジュールされたスキャンを実行したり、ウイルス データベースを更新したりする場合に便利です。
利用可能なタスクの完全なリストは次のとおりです。
グループ ポリシー。 お客様は、子 KSC から独立して新しい仮想デスクトップに保護を配布し、署名を更新し、例外を構成できます。
ファイルとネットワークの調査、レポートの作成、マシンのあらゆる種類のスキャンの管理を行います。 これには、特定のファイル、サイト、またはホストへのアクセスの制限が含まれます。
何か問題が発生した場合は、メイン サーバーのポリシーとルールをオンに戻すことができます。 最悪の場合、構成が正しくないと、Light Agent は SVM との接続を失い、仮想デスクトップが保護されないままになります。 当社のエンジニアはこれを直ちに通知され、メイン KSC サーバーからのポリシー継承を有効にすることができます。
これらが今日話したい主な設定です。
出所: habr.com