Di kalangan pelanggan kami terdapat syarikat yang menggunakan penyelesaian Kaspersky sebagai standard korporat dan mengurus perlindungan anti-virus mereka secara bebas. Nampaknya perkhidmatan desktop maya, di mana pembekal memantau antivirus, tidak begitu sesuai untuk mereka. Hari ini saya akan menunjukkan kepada anda cara pelanggan boleh mengurus perlindungan sendiri tanpa menjejaskan keselamatan desktop maya.
Π kami telah pun menerangkan secara umum cara kami melindungi desktop maya pelanggan. Antivirus dalam perkhidmatan VDI membantu mengukuhkan perlindungan mesin dalam awan dan mengawalnya secara bebas.
Dalam bahagian pertama artikel, saya akan menunjukkan cara kami mengurus penyelesaian dalam awan dan membandingkan prestasi awan Kaspersky dengan Keselamatan Titik Akhir tradisional. Bahagian kedua akan mengenai kemungkinan pengurusan diri.
Bagaimana kami menguruskan penyelesaian
Inilah rupa seni bina penyelesaian dalam awan kami. Untuk antivirus, kami memilih dua segmen rangkaian:
- segmen pelanggan, di mana stesen kerja maya pengguna berada,
- segmen pengurusan, di mana bahagian pelayan antivirus terletak.
Segmen pengurusan kekal di bawah kawalan jurutera kami, pelanggan tidak mempunyai akses kepada bahagian ini. Segmen pengurusan termasuk pelayan pentadbiran KSC utama, yang mengandungi fail lesen dan kunci untuk mengaktifkan stesen kerja klien.
Inilah penyelesaiannya dari segi Kaspersky Lab.
- Dipasang pada desktop maya pengguna agen cahaya (LA). Ia tidak menyemak fail, tetapi menghantarnya ke SVM dan menunggu "keputusan dari atas". Akibatnya, sumber desktop pengguna tidak dibazirkan pada aktiviti anti-virus, dan pekerja tidak mengadu bahawa "VDI menjadi perlahan."
- Memeriksa yang berasingan Mesin maya keselamatan (SVM). Ini ialah perkakas keselamatan khusus yang mengehoskan pangkalan data perisian hasad. Semasa pemeriksaan, beban diberikan kepada SVM: melaluinya, ejen ringan berkomunikasi dengan pelayan.
- Pusat keselamatan Kaspersky (KSC) menguruskan mesin maya perlindungan. Ini ialah konsol dengan tetapan untuk tugasan dan dasar yang akan digunakan pada peranti akhir.
Skim kerja ini menjanjikan untuk menjimatkan sehingga 30% daripada sumber perkakasan mesin pengguna berbanding antivirus pada komputer pengguna. Mari lihat apa yang diamalkan.
Sebagai perbandingan, saya mengambil komputer riba kerja saya dengan Kaspersky Endpoint Security dipasang, menjalankan imbasan dan melihat penggunaan sumber:
Dan di sini adalah situasi yang sama pada desktop maya dengan ciri yang serupa dalam infrastruktur kami. Memori makan lebih kurang sama, tetapi penggunaan CPU adalah dua kali lebih rendah:
KSC sendiri juga agak menuntut sumber. Kami memperuntukkannya
cukup untuk membuatkan pentadbir berasa selesa bekerja. Lihatlah sendiri:
Apa yang kekal di bawah kawalan pelanggan
Jadi, kami memikirkan tugas di pihak penyedia, kini kami akan menyediakan pelanggan dengan kawalan ke atas perlindungan anti-virus. Untuk melakukan ini, kami mencipta pelayan KSC kanak-kanak dan membawanya ke segmen pelanggan:
Mari pergi ke konsol pada klien KSC dan lihat tetapan yang akan ada pada pelanggan secara lalai.
Pemantauan. Pada tab pertama kita melihat papan pemuka. Ia serta-merta jelas bidang masalah yang perlu anda perhatikan:
Mari kita beralih kepada statistik. Beberapa contoh yang boleh dilihat di sini.
Di sini pentadbir akan segera melihat jika kemas kini belum dipasang pada beberapa mesin
atau terdapat isu lain yang berkaitan dengan perisian pada desktop maya. mereka
kemas kini boleh menjejaskan keselamatan keseluruhan mesin maya:
Dalam tab ini, anda boleh menganalisis ancaman yang ditemui pada ancaman ditemui khusus pada peranti yang dilindungi:
Tab ketiga mengandungi semua pilihan yang mungkin untuk laporan prakonfigurasi. Pelanggan boleh membuat laporan mereka sendiri daripada templat, pilih maklumat yang akan dipaparkan. Anda boleh menyediakan penghantaran e-mel berjadual atau melihat laporan secara setempat daripada pelayan
pentadbiran (KSC).
Kumpulan pentadbiran. Di sebelah kanan kami melihat semua peranti terurus: dalam kes kami, desktop maya diurus oleh pelayan KSC.
Mereka boleh digabungkan ke dalam kumpulan untuk membuat tugasan biasa dan dasar kumpulan untuk jabatan yang berbeza atau untuk semua pengguna pada masa yang sama.
Sebaik sahaja pelanggan telah mencipta mesin maya dalam awan peribadi, ia akan dikesan serta-merta pada rangkaian, dan Kaspersky menghantarnya ke peranti yang tidak ditetapkan:
Peranti yang tidak ditetapkan tidak tertakluk pada dasar kumpulan. Untuk tidak menyerakkan desktop maya ke dalam kumpulan secara manual, anda boleh menggunakan peraturan. Beginilah cara kami mengautomasikan pemindahan peranti kepada kumpulan.
Sebagai contoh, desktop maya dengan Windows 10, tetapi tanpa ejen pentadbir dipasang, akan jatuh ke dalam kumpulan VDI_1, dan dengan Windows 10 dan ejen dipasang, mereka akan jatuh ke dalam kumpulan VDI_2. Dengan analogi dengan ini, peranti juga boleh diedarkan secara automatik berdasarkan gabungan domain mereka, mengikut lokasi dalam rangkaian yang berbeza dan dengan teg tertentu yang boleh ditetapkan oleh pelanggan berdasarkan tugas dan keperluan mereka sendiri.
Untuk membuat peraturan, hanya jalankan wizard pengumpulan peranti:
Tugas kumpulan. Dengan bantuan tugas, KSC mengautomasikan pelaksanaan peraturan tertentu pada masa tertentu atau dengan bermulanya saat tertentu, sebagai contoh: melakukan imbasan virus dilakukan semasa waktu luar atau apabila mesin maya "terbiar", yang , seterusnya, mengurangkan beban pada VM. Dalam bahagian ini, adalah mudah untuk menjalankan imbasan berjadual pada desktop maya dalam kumpulan, serta mengemas kini pangkalan data virus.
Berikut ialah senarai penuh tugasan yang tersedia:
Dasar kumpulan. Daripada anak KSS, pelanggan boleh mengedarkan perlindungan secara bebas kepada desktop maya baharu, mengemas kini tandatangan, mengkonfigurasi pengecualian
untuk fail dan rangkaian, bina laporan dan urus semua jenis semakan pada mesin anda. Termasuk - hadkan akses kepada fail, tapak atau hos tertentu.
Dasar dan peraturan pelayan teras boleh dihidupkan semula jika berlaku masalah. Dalam kes yang paling teruk, jika dikonfigurasikan dengan salah, ejen cahaya akan terputus hubungan dengan SVM dan meninggalkan desktop maya tanpa perlindungan. Jurutera kami akan segera menerima pemberitahuan tentang perkara ini dan akan dapat mendayakan pewarisan dasar daripada pelayan KSC utama.
Ini adalah tetapan utama yang saya ingin bincangkan hari ini.
Sumber: www.habr.com