Onder onze klanten bevinden zich bedrijven die Kaspersky-oplossingen als bedrijfsstandaard gebruiken en hun antivirusbescherming onafhankelijk beheren. Het lijkt erop dat de virtuele desktopservice, waarin de provider de antivirus bewaakt, niet erg geschikt voor hen is. Vandaag laat ik zien hoe klanten de beveiliging zelf kunnen beheren zonder de beveiliging van virtuele desktops in gevaar te brengen.
В
In het eerste deel van het artikel zal ik laten zien hoe we de oplossing in de cloud beheren en de prestaties van Kaspersky cloud vergelijken met traditionele Endpoint Security. Het tweede deel gaat over de mogelijkheid van zelfsturing.
Hoe we de oplossing beheren
Zo ziet de oplossingsarchitectuur eruit in onze cloud. Voor de antivirus selecteren we twee netwerksegmenten:
- klanten segment, waar de virtuele werkstations van gebruikers zich bevinden,
- management segment, waar het servergedeelte van de antivirus zich bevindt.
Het beheergedeelte blijft onder controle van onze ingenieurs, de klant heeft geen toegang tot dit gedeelte. Het beheersegment omvat de belangrijkste KSC-beheerserver, die licentiebestanden en sleutels bevat voor het activeren van clientwerkstations.
Dit is waar de oplossing in termen van Kaspersky Lab uit bestaat.
- Geïnstalleerd op virtuele desktops van gebruikers lichtmiddel (LA). Het controleert geen bestanden, maar stuurt ze naar de SVM en wacht op een “oordeel van bovenaf”. Als gevolg hiervan worden de desktopbronnen van gebruikers niet verspild aan antivirusactiviteiten en klagen werknemers niet dat "VDI langzamer wordt".
- Controleert een apart Beveiliging virtuele machine (SVM). Dit is een speciaal beveiligingsapparaat dat malwaredatabases host. Tijdens controles wordt de belasting toegewezen aan de SVM: hierdoor communiceert de light agent met de server.
- Kaspersky-beveiligingscentrum (KSC) beheert de bescherming virtuele machines. Dit is een console met instellingen voor taken en beleid die op eindapparaten worden toegepast.
Dit werkschema belooft tot 30% van de hardwarebronnen van de computer van de gebruiker te besparen in vergelijking met de antivirus op de computer van de gebruiker. Laten we eens kijken wat er in de praktijk gebeurt.
Ter vergelijking: ik nam mijn werklaptop waarop Kaspersky Endpoint Security was geïnstalleerd, voerde een scan uit en keek naar het verbruik van bronnen:
En hier is dezelfde situatie op een virtuele desktop met vergelijkbare kenmerken in onze infrastructuur. Geheugen eet ongeveer hetzelfde, maar het CPU-gebruik is twee keer lager:
KSC zelf is ook behoorlijk veeleisend op het gebied van middelen. We wijzen ervoor toe
genoeg om de beheerder comfortabel te laten werken. Kijk zelf maar:
Wat onder de controle van de klant blijft
Dus we hebben de taken aan de kant van de provider uitgezocht, nu zullen we de klant controle geven over antivirusbescherming. Om dit te doen, maken we een onderliggende KSC-server en brengen deze naar het clientsegment:
Laten we naar de console op de client KSC gaan en kijken welke instellingen de klant standaard zal hebben.
controle. Op het eerste tabblad zien we het dashboard. Het is direct duidelijk op welke probleemgebieden u moet letten:
Laten we verder gaan met statistieken. Een paar voorbeelden van wat hier te zien is.
Hier ziet de beheerder direct of de update op sommige machines niet is geïnstalleerd
of er is een ander probleem met software op virtuele desktops. Hun
de update kan van invloed zijn op de beveiliging van de gehele virtuele machine:
Op dit tabblad kunt u de gevonden bedreigingen voor een specifieke gevonden bedreiging op beveiligde apparaten analyseren:
Het derde tabblad bevat alle mogelijke opties voor voorgeconfigureerde rapporten. Klanten kunnen hun eigen rapporten maken op basis van sjablonen en kiezen welke informatie wordt weergegeven. U kunt geplande e-mailverzending instellen of rapporten lokaal vanaf de server bekijken
administratie (KSC).
Administratieve groepen. Aan de rechterkant zien we alle beheerde apparaten: in ons geval virtuele desktops beheerd door de KSC-server.
Ze kunnen worden gecombineerd tot groepen om gemeenschappelijke taken en groepsbeleid voor verschillende afdelingen of voor alle gebruikers tegelijkertijd te creëren.
Zodra de klant een virtuele machine in een privécloud heeft gemaakt, wordt deze onmiddellijk gedetecteerd op het netwerk en stuurt Kaspersky deze naar niet-toegewezen apparaten:
Niet-toegewezen apparaten vallen niet onder groepsbeleid. Om virtuele desktops niet handmatig in groepen te verdelen, kunt u regels gebruiken. Zo automatiseren we de overdracht van apparaten naar groepen.
Virtuele desktops met Windows 10, maar zonder geïnstalleerde beheerdersagent, vallen bijvoorbeeld in de VDI_1-groep en met Windows 10 en geïnstalleerde agent vallen ze in de VDI_2-groep. Naar analogie hiervan kunnen apparaten ook automatisch worden gedistribueerd op basis van hun domeinaansluiting, op locatie in verschillende netwerken en op basis van bepaalde tags die de klant zelf kan instellen op basis van zijn taken en behoeften.
Om een regel te maken, voert u gewoon de apparaatgroeperingswizard uit:
Groepstaken. Met behulp van taken automatiseert KSC de uitvoering van bepaalde regels op een bepaald tijdstip of met het begin van een bepaald moment, bijvoorbeeld: het uitvoeren van een virusscan wordt uitgevoerd buiten kantooruren of wanneer de virtuele machine "inactief" is, wat , vermindert op zijn beurt de belasting van de VM. In deze sectie is het handig om geplande scans uit te voeren op virtuele desktops binnen een groep, en om virusdatabases bij te werken.
Hier is de volledige lijst met beschikbare taken:
Groepsbeleid. Vanuit de onderliggende KSS kan de klant onafhankelijk bescherming distribueren naar nieuwe virtuele desktops, handtekeningen bijwerken en uitsluitingen configureren
voor bestanden en netwerken, bouw rapporten en beheer allerlei controles op uw machines. Inclusief - beperk de toegang tot specifieke bestanden, sites of hosts.
Kernserverbeleid en -regels kunnen weer worden ingeschakeld als er iets misgaat. In het ergste geval verliezen light agents, als ze verkeerd zijn geconfigureerd, het contact met de SVM en laten virtuele desktops onbeschermd achter. Onze technici ontvangen hier onmiddellijk een melding over en kunnen beleidsovername van de hoofd-KSC-server inschakelen.
Dit zijn de belangrijkste instellingen waarover ik het vandaag wilde hebben.
Bron: www.habr.com