Манай үйлчлүүлэгчдийн дунд Касперскийн шийдлийг корпорацийн стандарт болгон ашигладаг, вирусын эсрэг хамгаалалтаа бие даан удирддаг компаниуд байдаг. Үйлчилгээ үзүүлэгч нь вирусны эсрэг програмыг хянадаг виртуал ширээний үйлчилгээ нь тэдэнд тийм ч тохиромжтой биш юм шиг санагдаж байна. Өнөөдөр би хэрэглэгчид виртуал ширээний компьютерийн аюулгүй байдлыг алдагдуулахгүйгээр хамгаалалтыг өөрсдөө хэрхэн удирдаж болохыг харуулах болно.
В Бид үйлчлүүлэгчдийн виртуал ширээний компьютерийг хэрхэн хамгаалах талаар ерөнхийд нь тайлбарласан. VDI үйлчилгээний доторх антивирус нь үүлэн доторх машинуудын хамгаалалтыг бэхжүүлж, бие даан удирдахад тусалдаг.
Өгүүллийн эхний хэсэгт би үүлэн дэх шийдлийг хэрхэн удирдаж, Kaspersky Cloud-ийн гүйцэтгэлийг уламжлалт Endpoint Security-тэй харьцуулах болно. Хоёр дахь хэсэг нь өөрийгөө удирдах боломжийн тухай байх болно.
Бид шийдлийг хэрхэн зохицуулдаг
Манай үүлэнд шийдлийн архитектур хэрхэн харагдахыг энд харуулав. Антивирусын хувьд бид хоёр сүлжээний сегментийг сонгоно:
- үйлчлүүлэгчийн сегмент, хэрэглэгчдийн виртуал ажлын станцууд хаана байрладаг,
- удирдлагын сегмент, вирусны эсрэг серверийн хэсэг хаана байрладаг.
Удирдлагын сегмент нь манай инженерүүдийн хяналтанд хэвээр байгаа тул үйлчлүүлэгч энэ хэсэгт нэвтрэх эрхгүй. Удирдлагын сегмент нь лицензийн файлууд болон үйлчлүүлэгчийн ажлын станцуудыг идэвхжүүлэх түлхүүрүүдийг агуулсан KSC удирдлагын үндсэн серверийг агуулдаг.
Касперскийн лабораторийн хувьд энэ шийдэл нь юунаас бүрддэг.
- Хэрэглэгчдийн виртуал ширээний компьютер дээр суулгасан хөнгөн бодис (LA). Энэ нь файлуудыг шалгахгүй, харин тэдгээрийг SVM руу илгээж, "дээрээс гарах шийдвэрийг" хүлээнэ. Үүний үр дүнд хэрэглэгчийн ширээний нөөцийг вирусын эсрэг үйл ажиллагаанд дэмий үрдэггүй бөгөөд ажилтнууд "VDI удааширч байна" гэж гомдоллодоггүй.
- Тусдаа шалгадаг Аюулгүй байдлын виртуал машин (SVM). Энэ бол хортой програмын мэдээллийн санг агуулсан тусгай хамгаалалтын хэрэгсэл юм. Шалгалтын явцад ачааллыг SVM-д хуваарилдаг: түүгээр дамжуулан гэрлийн агент сервертэй холбогддог.
- Касперскийн аюулгүй байдлын төв (KSC) хамгаалалтын виртуал машинуудыг удирддаг. Энэ нь эцсийн төхөөрөмжид хэрэгжих даалгавар, удирдамжийн тохиргоо бүхий консол юм.
Энэхүү ажлын схем нь хэрэглэгчийн компьютер дээрх вирусны эсрэг програмтай харьцуулахад хэрэглэгчийн машины техник хангамжийн нөөцийн 30 хүртэлх хувийг хэмнэхийг амлаж байна. Практикт юу байгааг харцгаая.
Харьцуулахын тулд би Kaspersky Endpoint Security суулгасан ажлын зөөврийн компьютерээ аваад скан хийж, нөөцийн зарцуулалтыг харлаа.
Манай дэд бүтцэд ижил төстэй шинж чанаруудтай виртуал ширээний компьютер дээрх ижил нөхцөл байдал энд байна. Санах ой ойролцоогоор ижил хэмжээгээр иддэг боловч CPU-ийн хэрэглээ хоёр дахин бага байна:
KSC өөрөө бас нөөцийг нэлээд шаарддаг. Бид үүнд зориулж хуваарилдаг
админ ажиллахад тав тухтай байлгахад хангалттай. Өөрөө хараарай:
Үйлчлүүлэгчийн хяналтад юу үлдэх вэ
Тиймээс бид үйлчилгээ үзүүлэгчийн даалгавруудыг тодорхойлсон бөгөөд одоо бид үйлчлүүлэгчдэд вирусын эсрэг хамгаалалтыг хянах болно. Үүнийг хийхийн тулд бид хүүхдийн KSC серверийг үүсгэж, үйлчлүүлэгчийн сегмент рүү авчирдаг.
Үйлчлүүлэгч KSC дээрх консол руу очиж, үйлчлүүлэгч анхдагчаар ямар тохиргоотой болохыг харцгаая.
Хяналт шинжилгээ. Эхний таб дээр бид хяналтын самбарыг харж байна. Та ямар асуудалд анхаарлаа хандуулах нь нэн даруй тодорхой болно.
Статистик руу шилжье. Эндээс харж болох цөөн хэдэн жишээ.
Энд администратор шинэчлэлтийг зарим машин дээр суулгаагүй эсэхийг шууд харах болно
эсвэл виртуал ширээний компьютер дээрх програм хангамжтай холбоотой өөр асуудал байна. Тэдний
шинэчлэлт нь бүх виртуал машины аюулгүй байдалд нөлөөлж болзошгүй:
Энэ таб дээр та хамгаалагдсан төхөөрөмж дээрх тодорхой олдсон аюул заналхийллийг шинжлэх боломжтой.
Гурав дахь таб нь урьдчилан тохируулсан тайлангийн бүх боломжит сонголтыг агуулдаг. Үйлчлүүлэгчид загвараас өөрсдийн тайланг үүсгэж, ямар мэдээлэл харуулахыг сонгох боломжтой. Та хуваарьт имэйл илгээх тохиргоог хийх эсвэл серверээс локал тайланг харах боломжтой
захиргаа (KSC).
Захиргааны бүлгүүд. Баруун талд бид бүх удирддаг төхөөрөмжийг харж байна: манай тохиолдолд KSC серверээр удирддаг виртуал ширээний компьютерууд.
Тэдгээрийг бүлэг болгон нэгтгэж, өөр өөр хэлтэс эсвэл бүх хэрэглэгчдэд нэгэн зэрэг нийтлэг даалгавар, бүлгийн бодлогыг бий болгож болно.
Үйлчлүүлэгч хувийн үүлэн дотор виртуал машин үүсгэсэн даруйд энэ нь сүлжээнд шууд илэрч, Касперский үүнийг хуваарилаагүй төхөөрөмжүүд рүү илгээдэг.
Оноогоогүй төхөөрөмжүүд нь бүлгийн бодлогод хамаарахгүй. Виртуал ширээний компьютерийг гараар бүлэг болгон тараахгүйн тулд та дүрмийг ашиглаж болно. Ийм байдлаар бид төхөөрөмжүүдийг бүлэгт шилжүүлэх автоматжуулдаг.
Жишээлбэл, Windows 10-тэй, гэхдээ админ агент суулгаагүй виртуал ширээний компьютерууд VDI_1 бүлэгт, Windows 10 болон агент суулгасан бол VDI_2 бүлэгт багтах болно. Үүнтэй ижил төстэй байдлаар төхөөрөмжүүдийг домэйны харьяалал, өөр өөр сүлжээн дэх байршил, үйлчлүүлэгч өөрийн даалгавар, хэрэгцээнд үндэслэн тохируулж болох тодорхой шошгуудаар автоматаар түгээх боломжтой.
Дүрэм үүсгэхийн тулд төхөөрөмжийг бүлэглэх шидтэнг ажиллуулна уу:
Бүлгийн даалгавар. Даалгавруудын тусламжтайгаар KSC нь тодорхой дүрмийн гүйцэтгэлийг тодорхой цагт эсвэл тодорхой мөч эхлэхэд автоматжуулдаг, жишээлбэл: вирусын хайлтыг ажлын бус цагаар эсвэл виртуал машин "сул зогссон" үед гүйцэтгэдэг. Энэ нь эргээд VM дээрх ачааллыг бууруулдаг. Энэ хэсэгт бүлэг доторх виртуал ширээний компьютер дээр хуваарьтай скан хийх, вирусын мэдээллийн санг шинэчлэхэд тохиромжтой.
Боломжтой ажлуудын бүрэн жагсаалт энд байна:
Бүлгийн бодлого. Хүүхэд KSS-ээс үйлчлүүлэгч шинэ виртуал ширээний компьютерт хамгаалалтыг бие даан түгээх, гарын үсгийг шинэчлэх, хасалтыг тохируулах боломжтой.
файлууд болон сүлжээнүүдэд зориулж тайлан гаргах, машин дээрх бүх төрлийн шалгалтыг удирдах боломжтой. Үүнд - тодорхой файл, сайт эсвэл хост руу хандах хандалтыг хязгаарлах.
Хэрэв ямар нэг зүйл буруу болвол серверийн үндсэн бодлого, дүрмийг буцааж асаах боломжтой. Хамгийн муу тохиолдолд, хэрэв буруу тохируулсан бол гэрлийн агентууд SVM-тэй холбоо тасарч, виртуал ширээний компьютерийг хамгаалалтгүй үлдээх болно. Манай инженерүүд энэ тухай мэдэгдлийг нэн даруй хүлээн авах бөгөөд үндсэн KSC серверээс бодлогын өв залгамжлалыг идэвхжүүлэх боломжтой болно.
Эдгээр нь миний өнөөдрийн ярихыг хүссэн гол тохиргоонууд юм.
Эх сурвалж: www.habr.com