Entre nossos clientes, existem empresas que usam as soluções Kaspersky como padrão corporativo e gerenciam de forma independente sua proteção antivírus. Parece que o serviço de desktop virtual, no qual o provedor monitora o antivírus, não é muito adequado para eles. Hoje mostrarei como os próprios clientes podem gerenciar a proteção sem comprometer a segurança dos desktops virtuais.
В já descrevemos em geral como protegemos os desktops virtuais dos clientes. O antivírus dentro do serviço VDI ajuda a fortalecer a proteção das máquinas na nuvem e a controlá-las de forma independente.
Na primeira parte do artigo, mostrarei como gerenciamos a solução na nuvem e compararemos o desempenho da nuvem Kaspersky com o Endpoint Security tradicional. A segunda parte será sobre a possibilidade de autogestão.
Como gerimos a solução
Aqui está a aparência da arquitetura da solução em nossa nuvem. Para o antivírus, selecionamos dois segmentos de rede:
- segmento de clientes, onde estão localizadas as estações de trabalho virtuais dos usuários,
- segmento de gestão, onde está localizada a parte do servidor do antivírus.
O segmento de gestão permanece sob o controle de nossos engenheiros, o cliente não tem acesso a esta parte. O segmento de gerenciamento inclui o servidor de administração KSC principal, que contém arquivos de licença e chaves para ativar as estações de trabalho do cliente.
É nisso que consiste a solução em termos de Kaspersky Lab.
- Instalado em desktops virtuais de usuários agente de luz (LA). Ele não verifica os arquivos, mas os envia para o SVM e aguarda um “veredicto de cima”. Como resultado, os recursos da área de trabalho do usuário não são desperdiçados em atividades antivírus e os funcionários não reclamam que "o VDI fica mais lento".
- verifica um separado Máquina virtual de segurança (SVM). Este é um dispositivo de segurança dedicado que hospeda bancos de dados de malware. Durante as verificações, a carga é atribuída ao SVM: por meio dele, o light agent se comunica com o servidor.
- Centro de segurança Kaspersky (KSC) gerencia as máquinas virtuais de proteção. Este é um console com configurações para tarefas e políticas que serão aplicadas nos dispositivos finais.
Esse esquema de trabalho promete economizar até 30% dos recursos de hardware da máquina do usuário em comparação com o antivírus no computador do usuário. Vamos ver o que é na prática.
Para comparação, peguei meu laptop de trabalho com o Kaspersky Endpoint Security instalado, fiz uma varredura e observei o consumo de recursos:
E aqui está a mesma situação em um desktop virtual com características semelhantes em nossa infraestrutura. A memória consome quase o mesmo, mas o uso da CPU é duas vezes menor:
O próprio KSC também é bastante exigente em recursos. Nós alocamos para isso
suficiente para que o administrador se sinta confortável trabalhando. Veja por si mesmo:
O que fica sob o controle do cliente
Então, descobrimos as tarefas do lado do provedor, agora vamos fornecer ao cliente o controle sobre a proteção antivírus. Para fazer isso, criamos um servidor KSC filho e o trazemos para o segmento do cliente:
Vamos para o console no cliente KSC e ver quais configurações o cliente terá por padrão.
Monitoramento. Na primeira guia, vemos o painel. Fica imediatamente claro em quais áreas problemáticas você deve prestar atenção:
Passemos às estatísticas. Alguns exemplos do que pode ser visto aqui.
Aqui o administrador verá imediatamente se a atualização não foi instalada em algumas máquinas
ou há outro problema relacionado ao software em áreas de trabalho virtuais. Deles
a atualização pode afetar a segurança de toda a máquina virtual:
Nesta guia, você pode analisar as ameaças encontradas para uma ameaça específica encontrada em dispositivos protegidos:
A terceira guia contém todas as opções possíveis para relatórios pré-configurados. Os clientes podem criar seus próprios relatórios a partir de modelos, escolher quais informações serão exibidas. Você pode configurar o envio de e-mail agendado ou visualizar relatórios localmente do servidor
administração (KSC).
Grupos de administração. À direita, vemos todos os dispositivos gerenciados: no nosso caso, desktops virtuais gerenciados pelo servidor KSC.
Eles podem ser combinados em grupos para criar tarefas comuns e políticas de grupo para diferentes departamentos ou para todos os usuários ao mesmo tempo.
Assim que o cliente cria uma máquina virtual em uma nuvem privada, ela é imediatamente detectada na rede e a Kaspersky a envia para dispositivos não atribuídos:
Dispositivos não atribuídos não estão sujeitos a políticas de grupo. Para não espalhar manualmente as áreas de trabalho virtuais em grupos, você pode usar regras. É assim que automatizamos a transferência de dispositivos para grupos.
Por exemplo, desktops virtuais com Windows 10, mas sem o agente administrador instalado, cairão no grupo VDI_1 e, com o Windows 10 e o agente instalado, cairão no grupo VDI_2. Por analogia, os dispositivos também podem ser distribuídos automaticamente com base em sua afiliação de domínio, por localização em diferentes redes e por determinados tags que o cliente pode definir com base em suas tarefas e necessidades próprias.
Para criar uma regra, basta executar o assistente de agrupamento de dispositivos:
Tarefas de grupo. Com a ajuda de tarefas, o KSC automatiza a execução de determinadas regras em um determinado momento ou com o início de um determinado momento, por exemplo: a execução de uma verificação de vírus é realizada fora do horário comercial ou quando a máquina virtual está "ociosa", o que, por sua vez, reduz a carga na VM. Nesta seção, é conveniente executar verificações agendadas em áreas de trabalho virtuais dentro de um grupo, bem como atualizar os bancos de dados de vírus.
Aqui está a lista completa de tarefas disponíveis:
Políticas de Grupo. A partir do KSS filho, o cliente pode distribuir proteção de forma independente para novos desktops virtuais, atualizar assinaturas, configurar exclusões
para arquivos e redes, crie relatórios e gerencie todos os tipos de verificações em suas máquinas. Incluindo - restrinja o acesso a arquivos, sites ou hosts específicos.
As políticas e regras do servidor principal podem ser reativadas se algo der errado. Na pior das hipóteses, se configurado incorretamente, os agentes leves perderão o contato com o SVM e deixarão as áreas de trabalho virtuais desprotegidas. Nossos engenheiros receberão imediatamente uma notificação sobre isso e poderão habilitar a herança de políticas do servidor KSC principal.
Essas são as configurações principais sobre as quais eu queria falar hoje.
Fonte: habr.com