Ënnert eise Clienten ginn et Firmen déi Kaspersky Léisungen als Firmestandard benotzen an den Anti-Virus Schutz selwer verwalten. Et schéngt, datt e virtuelle Desktop-Service, an deem den Antivirus vum Provider iwwerwaacht gëtt, net ganz gëeegent ass fir si. Haut wäert ech weisen wéi Clienten hir eege Sécherheet verwalten ouni d'Sécherheet vu virtuelle Desktops ze kompromittéieren.
В Mir hu scho generell beschriwwe wéi mir virtuell Desktops vun de Clienten schützen. Antivirus am VDI Service hëlleft de Schutz vu Maschinnen an der Wollek ze stäerken an onofhängeg ze kontrolléieren.
Am éischten Deel vum Artikel wäert ech weisen wéi mir d'Léisung an der Wollek verwalten an d'Performance vu Cloud-baséiert Kaspersky mat traditioneller Endpoint Security vergläichen. Am zweeten Deel geet et ëm d'Méiglechkeete vun enger onofhängeger Gestioun.
Wéi mir d'Léisung verwalten
Dëst ass wéi d'Léisungsarchitektur an eiser Cloud ausgesäit. Fir Antivirus verdeele mir zwee Netzwierksegmenter:
- Client Segment, wou déi virtuell Aarbechtsstatiounen vun de Benotzer sinn,
- Gestioun Segment, wou den Antivirus Server Deel läit.
De Management Segment bleift ënner der Kontroll vun eisen Ingenieuren; de Client huet keen Zougang zu dësem Deel. D'Gestioun Segment enthält den Haapt KSC Administratioun Server, déi Lizenz Fichieren a Schlësselen enthält fir Client Aarbechtsstatiounen aktivéieren.
Dëst ass wat d'Léisung a Kaspersky Lab Begrëffer besteet.
- Installéiert op de virtuelle Desktops vun de Benotzer Liicht Agent (LA). Et kontrolléiert net Dateien, awer schéckt se op SVM a waart op de "Uerteel vun uewen." Als Resultat ginn d'Benotzer Desktop Ressourcen net op Antivirus Aktivitéit verschwenden, an d'Mataarbechter beschwéieren net datt "VDI lues ass."
- Schecken getrennt Sécherheet virtuell Maschinn (SVM). Dëst ass en dedizéierten Sécherheetsapparat deen Malware Datenbanken hostt. Wärend Kontrollen gëtt d'Laascht op de SVM gesat: duerch et kommunizéiert de Liichtagent mam Server.
- Kaspersky Sécherheetszentrum (KSC) geréiert Schutz virtuell Maschinnen. Dëst ass eng Konsole mat Astellunge fir Aufgaben a Politiken déi op Enngeräter applizéiert ginn.
Dëse Schema vun der Operatioun versprécht bis zu 30% vun den Hardwareressourcen vun der Maschinn vum Benotzer am Verglach mat engem Antivirus op dem Computer vum Benotzer ze spueren. Loosst eis kucken wat an der Praxis geschitt.
Zum Verglach hunn ech mäin Aarbechtslaptop mat Kaspersky Endpoint Security installéiert geholl, e Scan gemaach an de Ressourceverbrauch gekuckt:
Awer déiselwecht Situatioun geschitt op engem virtuellen Desktop mat ähnlechen Charakteristiken an eiser Infrastruktur. Memory Konsum ass ongeféier d'selwecht, awer d'CPU Belaaschtung ass duebel sou niddereg:
KSC selwer ass och zimlech Ressourceintensiv. Mir verdeelen dofir
genuch fir den Administrateur bequem ze fillen. Kuckt Iech selwer:
Wat bleift ënner der Kontroll vum Client
Also, mir hunn d'Aufgaben op der Säit vum Fournisseur zortéiert, elo wäerte mir de Client d'Kontroll vum Anti-Virusschutz ubidden. Fir dëst ze maachen, erstellen mir e Kand KSC Server a réckelen et an de Client Segment:
Loosst eis op d'Konsole vum Client KSC goen a kucken wéi eng Astellunge de Client als Standard wäert hunn.
Iwwerwaachung. Op der éischter Tab gesi mir d'Iwwerwaachungspanel. Et ass direkt kloer op wéi eng Problemberäicher Dir oppassen sollt:
Loosst eis op Statistiken goen. E puer Beispiller vu wat Dir hei kënnt gesinn.
Hei gesäit den Administrateur direkt ob den Update op e puer Maschinnen net installéiert ass
oder et gëtt en anere Problem am Zesummenhang mat der Software op virtuelle Desktops. Hiren
Den Update kann d'Sécherheet vun der ganzer virtueller Maschinn beaflossen:
An dësem Tab kënnt Dir d'Gefore analyséieren, déi fonnt goufen op déi spezifesch Bedrohung, déi op de geschützte Geräter fonnt gëtt:
Déi drëtt Tab enthält all méiglech Optiounen fir pre-konfiguréiert Berichter. D'Clientë kënnen hir eege Berichter aus Templates erstellen a wielen wéi eng Informatioun ugewise gëtt. Dir kënnt d'Sendung per E-Mail op engem Zäitplang astellen oder Berichter lokal vum Server kucken
Administration (KSC).
Administratioun Gruppen. Riets gesi mir all verwalteten Apparater: an eisem Fall virtuell Desktops, déi vum KSC Server geréiert ginn.
Si kënnen a Gruppen kombinéiert ginn fir gemeinsam Aufgaben a Gruppepolitike fir verschidden Departementer oder fir all Benotzer zur selwechter Zäit ze kreéieren.
Soubal de Client eng virtuell Maschinn an enger privater Wollek erstallt huet, gëtt se direkt am Netz identifizéiert, a Kaspersky schéckt se un net zougewisen Apparater:
Net zougewisen Apparater sinn net vun der Gruppepolitik ofgedeckt. Fir ze vermeiden datt virtuell Desktops fir Gruppen manuell zougewisen ginn, kënnt Dir Regele benotzen. Dëst ass wéi mir den Transfer vun Apparater a Gruppen automatiséieren.
Zum Beispill, virtuell Desktops mat Windows 10, awer ouni den Administratiounsagent installéiert, falen an d'VDI_1 Grupp, a mat Windows 10 an den Agent installéiert, falen se an d'VDI_2 Grupp. Analogie mat dësem kënnen Apparater och automatesch verdeelt ginn op Basis vun hirer Domainverband, no Standuert a verschiddene Netzwierker a vu bestëmmte Tags, déi de Client op Basis vu sengen Aufgaben a Bedierfnesser onofhängeg setzen kann.
Fir eng Regel ze kreéieren, fuert einfach den Wizard fir Apparater a Gruppen ze verdeelen:
Grupp Aufgaben. Mat Aufgaben automatiséiert KSC d'Ausféierung vu bestëmmte Reegelen zu enger bestëmmter Zäit oder zu engem bestëmmte Moment, zum Beispill: Virusscannen gëtt während net-Aarbechtszäiten ausgefouert oder wann déi virtuell Maschinn "Idle" ass, wat am Tour d'Laascht reduzéiert op VM. Dës Sektioun ass praktesch fir geplangte Scans op virtuelle Desktops bannent enger Grupp auszeféieren, souwéi d'Aktualiséierung vu Virusdatenbanken.
Hei ass déi komplett Lëscht vun verfügbaren Aufgaben:
Grupp Politik. Vum Kand KSC kann de Client onofhängeg Schutz op nei virtuell Desktops verdeelen, Ënnerschrëften aktualiséieren an Ausnahmen konfiguréieren
fir Dateien an Netzwierker, bauen Berichter a verwalten all Zorte vu Scans vun Äre Maschinnen. Dëst beinhalt d'limitéiert Zougang zu spezifesche Dateien, Siten oder Hosten.
D'Politik an d'Regele vum Haaptserver kënnen zréckgeschalt ginn wann eppes falsch geet. Am schlëmmste Fall, wann se falsch konfiguréiert sinn, verléieren d'Liichtagenten de Kontakt mam SVM a loossen virtuell Desktops ongeschützt. Eis Ingenieuren ginn direkt doriwwer informéiert a kënnen d'Politikierwen vum Haapt KSC Server aktivéieren.
Dëst sinn d'Haaptastellungen iwwer déi ech haut wollt schwätzen.
Source: will.com