Биздин кардарлардын арасында Kaspersky чечимдерин корпоративдик стандарт катары колдонгон жана антивирустук коргоону өздөрү башкарган компаниялар бар. Антивирус провайдер тарабынан көзөмөлдөнгөн виртуалдык иш столунун кызматы алар үчүн анча ылайыктуу эмес окшойт. Бүгүн мен кардарлар виртуалдык столдордун коопсуздугун бузбастан, өз коопсуздугун кантип башкара аларын көрсөтөм.
В Биз кардарлардын виртуалдык столдорун кантип коргой турганыбызды жалпысынан сүрөттөп бердик. VDI сервисинин ичиндеги антивирус булуттагы машиналарды коргоону күчөтүүгө жана аны өз алдынча башкарууга жардам берет.
Макаланын биринчи бөлүгүндө мен булуттагы чечимди кантип башкарарыбызды көрсөтөм жана булуттагы Касперскийдин иштешин салттуу Endpoint Security менен салыштырам. Экинчи бөлүк көз карандысыз башкаруунун мүмкүнчүлүктөрү жөнүндө болот.
Чечүүнү кантип башкарабыз
Биздин булутубузда чечим архитектурасы ушундай көрүнөт. Антивирус үчүн биз эки тармак сегментин бөлөбүз:
- кардар сегменти, колдонуучулардын виртуалдык иш станциялары жайгашкан жерде,
- башкаруу сегменти, антивирус сервер бөлүгү жайгашкан жерде.
Башкаруу сегменти биздин инженерлердин көзөмөлүндө калат, кардар бул бөлүккө кире албайт. Башкаруу сегменти лицензиялык файлдарды жана кардар иш станцияларын активдештирүү үчүн ачкычтарды камтыган негизги KSC башкаруу серверин камтыйт.
Бул чечим Касперский лабораториясынын шарттарында турат.
- Колдонуучулардын виртуалдык иш такталарына орнотулган жарык агенти (LA). Ал файлдарды текшербейт, бирок аларды SVMге жөнөтөт жана "жогорудан келген өкүмдү" күтөт. Натыйжада, колдонуучунун иш тактасынын ресурстары антивирустук иш-аракеттерге текке кетпейт жана кызматкерлер "VDI жай иштеп жатат" деп нааразы болушпайт.
- Өзүнчө текшерет Коопсуздук виртуалдык машинасы (SVM). Бул кесепеттүү программалардын маалымат базаларын камтыган атайын коопсуздук куралы. Текшерүү учурунда жүк SVMге жүктөлөт: ал аркылуу жарык агенти сервер менен байланышат.
- Касперский коопсуздук борбору (KSC) коргоо виртуалдык машиналарды башкарат. Бул акыркы түзмөктөрдө колдонула турган тапшырмалар жана саясаттар үчүн жөндөөлөрү бар консол.
Иштөөнүн бул схемасы колдонуучунун компьютериндеги антивируска салыштырмалуу колдонуучунун машинасынын аппараттык ресурстарын 30% га чейин үнөмдөөгө убада кылат. Келгиле, иш жүзүндө эмне болорун карап көрөлү.
Салыштыруу үчүн, мен Kaspersky Endpoint Security орнотулган жумушчу ноутбугумду алып, сканерлеп, ресурстун сарпталышын карадым:
Бирок ошол эле жагдай биздин инфраструктурабызда окшош мүнөздөмөлөргө ээ виртуалдык иш тактада болот. Эстутум керектөө болжол менен бирдей, бирок CPU жүгү эки эсе аз:
KSC өзү да ресурстарды көп талап кылат. Биз ага бөлүп беребиз
администратор иштөөдө өзүн ыңгайлуу сезиши үчүн жетиштүү. Өзүңүз көрүңүз:
Эмне кардардын көзөмөлүндө калат
Ошентип, биз провайдер тарабындагы тапшырмаларды иргедик, эми биз кардарга антивирустук коргоону көзөмөлдөөнү камсыз кылабыз. Бул үчүн, биз бала KSC серверин түзүп, аны кардар сегментине жылдырабыз:
Келгиле, KSC кардарындагы консолго барып, кардар демейки боюнча кандай орнотууларды көрөлү.
Мониторинг. Биринчи өтмөктө биз мониторинг панелин көрөбүз. Кайсы көйгөйлөргө көңүл буруу керектиги дароо айкын болот:
Статистикага өтөлү. Сиз бул жерден көрө аласыз бир нече мисалдар.
Бул жерде администратор жаңыртуу кээ бир машиналарда орнотулбаганын дароо көрөт
же виртуалдык столдордогу программалык камсыздоого байланыштуу дагы бир көйгөй бар. Алардын
Жаңыртуу бүт виртуалдык машинанын коопсуздугуна таасирин тийгизиши мүмкүн:
Бул өтмөктө сиз корголгон түзмөктөрдө табылган коркунучтарды талдай аласыз:
Үчүнчү өтмөк алдын ала конфигурацияланган отчеттордун бардык мүмкүн болгон варианттарын камтыйт. Кардарлар шаблондордон өз отчетторун түзүп, кандай маалымат көрсөтүлөрүн тандай алышат. Сиз график боюнча электрондук почта аркылуу жөнөтүүнү орното аласыз же серверден жергиликтүү отчетторду көрө аласыз
башкаруу (KSC).
Администрациялык топтор. Оң жакта биз бардык башкарылган түзмөктөрдү көрөбүз: биздин учурда, KSC сервери тарабынан башкарылуучу виртуалдык столдор.
Ар кандай бөлүмдөр үчүн же бир эле учурда бардык колдонуучулар үчүн жалпы тапшырмаларды жана топтук саясаттарды түзүү үчүн аларды топторго бириктирсе болот.
Кардар жеке булутта виртуалдык машинаны түзөөр замат, ал тармакта дароо аныкталат жана Kaspersky аны дайындабаган түзмөктөргө жөнөтөт:
Дайындалбаган түзмөктөр топтук саясаттарга кирбейт. Виртуалдык столдорду топторго кол менен дайындоодон качуу үчүн эрежелерди колдонсоңуз болот. Мына ушундайча биз аппараттарды топторго которууну автоматташтырабыз.
Мисалы, Windows 10 менен, бирок башкаруу агенти орнотулбаган виртуалдык иш такталары VDI_1 тобуна, ал эми Windows 10 жана агент орнотулган болсо, алар VDI_2 тобуна кирет. Буга окшошуп, түзмөктөр ошондой эле автоматтык түрдө алардын доменге таандыктыгына жараша, ар кандай тармактардагы жайгашкан жери боюнча жана кардар өзүнүн милдеттерине жана муктаждыктарына жараша өз алдынча орното турган белгилүү бир тегдер боюнча бөлүштүрүлүшү мүмкүн.
Эреже түзүү үчүн, жөн гана топторго түзмөктөрдү бөлүштүрүү устасын иштетиңиз:
Топтук тапшырмалар. Тапшырмаларды колдонуу менен KSC белгилүү бир эрежелерди белгилүү бир убакта же белгилүү бир учурда аткарууну автоматташтырат, мисалы: вирустарды сканерлөө жумуш эмес убакта же виртуалдык машина "бос" турганда аткарылат, бул өз кезегинде жүктү азайтат. VM боюнча. Бул бөлүм топтун ичиндеги виртуалдык столдордо пландаштырылган сканерлөөлөрдү жүргүзүүгө, ошондой эле вирус маалыматтар базасын жаңылоого ыңгайлуу.
Бул жерде жеткиликтүү милдеттердин толук тизмеси:
Топтук саясаттар. Бала KSCден кардар жаңы виртуалдык столдорго коргоону өз алдынча тарата алат, кол тамгаларды жаңыртып, өзгөчө учурларды конфигурациялай алат
файлдар жана тармактар үчүн, отчетторду түзүңүз жана машиналарыңыздын сканерлеринин бардык түрлөрүн башкарыңыз. Бул белгилүү бир файлдарга, сайттарга же хостторго кирүүнү чектөөнү камтыйт.
Бир нерсе туура эмес болуп кетсе, негизги сервердин саясаттары жана эрежелери кайра күйгүзүлүшү мүмкүн. Эң начар учурда, эгер туура эмес конфигурацияланса, жарык агенттери SVM менен байланышын үзүп, виртуалдык иш такталарды корголбостон калтырышат. Биздин инженерлер бул тууралуу дароо кабардар кылышат жана негизги KSC серверинен саясат мурасын иштете алышат.
Булар мен бүгүн сүйлөшкүм келген негизги орнотуулар.
Source: www.habr.com