Wśród naszych klientów są firmy, które wykorzystują rozwiązania firmy Kaspersky jako standard korporacyjny i samodzielnie zarządzają swoją ochroną antywirusową. Wydawać by się mogło, że usługa wirtualnego pulpitu, w której dostawca monitoruje program antywirusowy, nie jest dla nich zbyt odpowiednia. Dzisiaj pokażę Ci, jak klienci mogą samodzielnie zarządzać ochroną bez narażania bezpieczeństwa wirtualnych komputerów stacjonarnych.
В opisaliśmy już ogólnie, w jaki sposób chronimy wirtualne desktopy klientów. Antywirus w ramach usługi VDI pomaga wzmocnić ochronę maszyn w chmurze i samodzielnie ją kontrolować.
W pierwszej części artykułu pokażę, jak zarządzamy rozwiązaniem w chmurze i porównam wydajność chmury Kaspersky z tradycyjnym Endpoint Security. Druga część będzie dotyczyła możliwości samodzielnego zarządzania.
Jak zarządzamy rozwiązaniem
Oto jak wygląda architektura rozwiązania w naszej chmurze. W przypadku programu antywirusowego wybieramy dwa segmenty sieci:
- segmencie klientów, w których znajdują się wirtualne stacje robocze użytkowników,
- segmencie zarządzania, gdzie znajduje się serwerowa część programu antywirusowego.
Segment zarządzania pozostaje pod kontrolą naszych inżynierów, klient nie ma dostępu do tej części. Segment zarządzania obejmuje główny serwer administracyjny KSC, na którym znajdują się pliki licencyjne oraz klucze do aktywacji klienckich stacji roboczych.
Na tym właśnie polega rozwiązanie opracowane przez Kaspersky Lab.
- Instalowany na wirtualnych pulpitach użytkowników lekki agent (LA). Nie sprawdza plików, tylko przesyła je do SVM i czeka na „werdykt z góry”. Dzięki temu zasoby pulpitu użytkownika nie są marnowane na działania antywirusowe, a pracownicy nie narzekają, że „VDI zwalnia”.
- Sprawdza oddzielnie Wirtualna maszyna bezpieczeństwa (SVM). Jest to dedykowane urządzenie zabezpieczające, które obsługuje bazy danych złośliwego oprogramowania. Podczas kontroli obciążenie jest przypisywane do maszyny SVM: za jej pośrednictwem lekki agent komunikuje się z serwerem.
- Centrum bezpieczeństwa Kaspersky (KSC) zarządza wirtualnymi maszynami ochrony. Jest to konsola z ustawieniami zadań i polityk, które zostaną zastosowane na urządzeniach końcowych.
Ten schemat pracy obiecuje zaoszczędzić do 30% zasobów sprzętowych komputera użytkownika w porównaniu z programem antywirusowym na komputerze użytkownika. Zobaczmy, co jest w praktyce.
Dla porównania wziąłem służbowego laptopa z zainstalowanym Kaspersky Endpoint Security, uruchomiłem skanowanie i sprawdziłem zużycie zasobów:
A oto ta sama sytuacja na wirtualnym pulpicie o podobnej charakterystyce w naszej infrastrukturze. Pamięć zużywa mniej więcej tyle samo, ale użycie procesora jest dwa razy mniejsze:
Samo KSC jest również dość wymagające pod względem zasobów. Przeznaczymy na to
wystarczająco, aby administrator czuł się komfortowo w pracy. Sam zobacz:
Co pozostaje pod kontrolą klienta
Więc ustaliliśmy zadania po stronie dostawcy, teraz zapewnimy klientowi kontrolę nad ochroną antywirusową. W tym celu tworzymy podrzędny serwer KSC i przenosimy go do segmentu klienta:
Przejdźmy do konsoli na kliencie KSC i zobaczmy jakie ustawienia klient będzie miał domyślnie.
Monitorowanie. Na pierwszej karcie widzimy pulpit nawigacyjny. Od razu wiadomo, na jakie problematyczne obszary należy zwrócić uwagę:
Przejdźmy do statystyk. Kilka przykładów tego, co można zobaczyć tutaj.
Tutaj administrator od razu zobaczy, czy aktualizacja nie została zainstalowana na niektórych komputerach
lub inny problem związany z oprogramowaniem z pulpitami wirtualnymi. Ich
aktualizacja może wpłynąć na bezpieczeństwo całej maszyny wirtualnej:
W tej zakładce możesz przeanalizować znalezione zagrożenia dla konkretnego znalezionego zagrożenia na chronionych urządzeniach:
Trzecia zakładka zawiera wszystkie możliwe opcje dla prekonfigurowanych raportów. Klienci mogą tworzyć własne raporty z szablonów, wybierać jakie informacje będą wyświetlane. Możesz skonfigurować zaplanowane wysyłanie wiadomości e-mail lub przeglądać raporty lokalnie z serwera
administracja (KSC).
Grupy administracyjne. Po prawej stronie widzimy wszystkie zarządzane urządzenia: w naszym przypadku wirtualne pulpity zarządzane przez serwer KSC.
Można je łączyć w grupy, aby tworzyć wspólne zadania i polityki grupowe dla różnych działów lub dla wszystkich użytkowników jednocześnie.
Gdy tylko klient utworzy maszynę wirtualną w chmurze prywatnej, jest ona natychmiast wykrywana w sieci, a firma Kaspersky wysyła ją do nieprzypisanych urządzeń:
Nieprzypisane urządzenia nie podlegają zasadom grupy. Aby ręcznie nie rozpraszać wirtualnych pulpitów na grupy, możesz użyć reguł. W ten sposób automatyzujemy przenoszenie urządzeń do grup.
Na przykład wirtualne pulpity z systemem Windows 10, ale bez zainstalowanego agenta administracyjnego, będą należeć do grupy VDI_1, a z systemem Windows 10 i zainstalowanym agentem będą należeć do grupy VDI_2. Analogicznie do tego, urządzenia mogą być automatycznie dystrybuowane na podstawie ich przynależności do domeny, lokalizacji w różnych sieciach i określonych tagów, które klient może samodzielnie ustawić na podstawie swoich zadań i potrzeb.
Aby utworzyć regułę, wystarczy uruchomić kreatora grupowania urządzeń:
Zadania grupowe. Za pomocą zadań KSC automatyzuje wykonywanie określonych reguł w określonym czasie lub z nadejściem określonego momentu, na przykład: wykonywanie skanowania antywirusowego odbywa się w godzinach wolnych od pracy lub gdy maszyna wirtualna jest „bezczynna”, co z kolei zmniejsza obciążenie maszyny wirtualnej. W tej sekcji wygodnie jest uruchamiać zaplanowane skanowanie wirtualnych pulpitów w grupie, a także aktualizować bazy wirusów.
Oto pełna lista dostępnych zadań:
Zasady grupy. Z poziomu podrzędnego KSS klient może samodzielnie rozsyłać ochronę na nowe wirtualne desktopy, aktualizować sygnatury, konfigurować wykluczenia
dla plików i sieci, twórz raporty i zarządzaj wszelkiego rodzaju kontrolami na swoich komputerach. W tym - ogranicz dostęp do określonych plików, witryn lub hostów.
Podstawowe zasady i reguły serwera można włączyć ponownie, jeśli coś pójdzie nie tak. W najgorszym przypadku, jeśli zostaną nieprawidłowo skonfigurowane, lekkie agenty stracą kontakt z maszyną SVM i pozostawią wirtualne pulpity bez ochrony. Nasi inżynierowie zostaną o tym natychmiast powiadomieni i będą mogli włączyć dziedziczenie polis z głównego serwera KSC.
To są główne ustawienia, o których chciałem dzisiaj porozmawiać.
Źródło: www.habr.com