Printre clienții noștri se numără companii care utilizează soluțiile Kaspersky ca standard corporativ și își gestionează în mod independent protecția antivirus. S-ar părea că serviciul desktop virtual, în care furnizorul monitorizează antivirusul, nu este foarte potrivit pentru ei. Astăzi vă voi arăta cum clienții pot gestiona singuri protecția fără a compromite securitatea desktopurilor virtuale.
В am descris deja în general modul în care protejăm desktopurile virtuale ale clienților. Antivirusul din cadrul serviciului VDI ajută la întărirea protecției mașinilor din cloud și la controlul independent.
În prima parte a articolului, voi arăta cum gestionăm soluția în cloud și voi compara performanța cloud-ului Kaspersky cu cea tradițională Endpoint Security. A doua parte va fi despre posibilitatea autogestionării.
Cum gestionăm soluția
Iată cum arată arhitectura soluției în cloud-ul nostru. Pentru antivirus, selectăm două segmente de rețea:
- segment de client, unde se află stațiile de lucru virtuale ale utilizatorilor,
- segment de management, unde se află partea de server a antivirusului.
Segmentul de management rămâne sub controlul inginerilor noștri, clientul nu are acces la această parte. Segmentul de management include serverul principal de administrare KSC, care conține fișiere de licență și chei pentru activarea stațiilor de lucru client.
În asta constă soluția în ceea ce privește Kaspersky Lab.
- Instalat pe desktop-urile virtuale ale utilizatorilor agent de lumină (LA). Nu verifică fișierele, ci le trimite către SVM și așteaptă un „verdict de sus”. Drept urmare, resursele desktop ale utilizatorilor nu sunt irosite cu activitatea antivirus, iar angajații nu se plâng că „VDI încetinește”.
- Verifică separat Mașină virtuală de securitate (SVM). Acesta este un dispozitiv de securitate dedicat care găzduiește baze de date malware. În timpul verificărilor, sarcina este atribuită SVM-ului: prin intermediul acestuia, agentul de lumină comunică cu serverul.
- Centrul de securitate Kaspersky (KSC) gestionează mașinile virtuale de protecție. Aceasta este o consolă cu setări pentru sarcini și politici care vor fi aplicate pe dispozitivele finale.
Această schemă de lucru promite să economisească până la 30% din resursele hardware ale mașinii utilizatorului în comparație cu antivirusul de pe computerul utilizatorului. Să vedem ce este în practică.
Pentru comparație, mi-am luat laptopul de serviciu cu Kaspersky Endpoint Security instalat, am făcut o scanare și m-am uitat la consumul de resurse:
Și iată aceeași situație pe un desktop virtual cu caracteristici similare în infrastructura noastră. Memoria consumă aproximativ la fel, dar utilizarea procesorului este de două ori mai mică:
KSC în sine este, de asemenea, destul de solicitant cu resurse. Alocam pentru asta
suficient pentru a-l face pe administrator să se simtă confortabil lucrând. Convinge-te singur:
Ceea ce rămâne sub controlul clientului
Deci, ne-am dat seama de sarcinile din partea furnizorului, acum vom oferi clientului controlul asupra protecției antivirus. Pentru a face acest lucru, creăm un server KSC copil și îl aducem la segmentul de clienți:
Să mergem la consola de pe clientul KSC și să vedem ce setări va avea clientul în mod implicit.
monitorizarea. Pe prima filă vedem tabloul de bord. Este clar imediat ce zone cu probleme ar trebui să acordați atenție:
Să trecem la statistici. Câteva exemple din ceea ce se poate vedea aici.
Aici administratorul va vedea imediat dacă actualizarea nu a fost instalată pe unele mașini
sau există o altă problemă legată de software-ul de pe desktop-uri virtuale. Al lor
actualizarea poate afecta securitatea întregii mașini virtuale:
În această filă, puteți analiza amenințările găsite la o anumită amenințare găsită pe dispozitivele protejate:
A treia filă conține toate opțiunile posibile pentru rapoartele preconfigurate. Clienții își pot crea propriile rapoarte din șabloane, pot alege ce informații vor fi afișate. Puteți configura trimiterea programată de e-mail sau puteți vizualiza rapoarte local de pe server
administrație (KSC).
Grupuri de administrare. În dreapta vedem toate dispozitivele gestionate: în cazul nostru, desktop-uri virtuale gestionate de serverul KSC.
Acestea pot fi combinate în grupuri pentru a crea sarcini comune și politici de grup pentru diferite departamente sau pentru toți utilizatorii în același timp.
De îndată ce clientul a creat o mașină virtuală într-un cloud privat, aceasta este imediat detectată în rețea și Kaspersky o trimite către dispozitivele nealocate:
Dispozitivele nealocate nu fac obiectul politicilor de grup. Pentru a nu împrăștia desktop-urile virtuale în grupuri manual, puteți folosi reguli. Acesta este modul în care automatizăm transferul dispozitivelor către grupuri.
De exemplu, desktop-urile virtuale cu Windows 10, dar fără agentul de administrare instalat, vor intra în grupul VDI_1, iar cu Windows 10 și agentul instalat, vor intra în grupul VDI_2. Prin analogie cu aceasta, dispozitivele pot fi, de asemenea, distribuite automat în funcție de afilierea lor la domeniu, de locația în diferite rețele și de anumite etichete pe care clientul le poate seta în funcție de sarcinile și nevoile lor singur.
Pentru a crea o regulă, pur și simplu rulați expertul de grupare a dispozitivelor:
Sarcini de grup. Cu ajutorul sarcinilor, KSC automatizează executarea anumitor reguli la un anumit moment sau la debutul unui anumit moment, de exemplu: efectuarea unei scanări de viruși se efectuează în timpul orelor libere sau când mașina virtuală este „inactivă”, ceea ce , la rândul său, reduce sarcina pe VM. În această secțiune, este convenabil să rulați scanări programate pe desktop-uri virtuale dintr-un grup, precum și să actualizați bazele de date cu viruși.
Iată lista completă a sarcinilor disponibile:
Politicile de grup. De la KSS copil, clientul poate distribui independent protecția către noi desktop-uri virtuale, poate actualiza semnăturile, poate configura excluderi
pentru fișiere și rețele, creați rapoarte și gestionați toate tipurile de verificări ale mașinilor dvs. Inclusiv - restricționați accesul la anumite fișiere, site-uri sau gazde.
Politicile și regulile de bază ale serverului pot fi reactivate dacă ceva nu merge bine. În cel mai rău caz, dacă sunt configurați incorect, agenții de lumină vor pierde contactul cu SVM-ul și vor lăsa desktop-urile virtuale neprotejate. Inginerii noștri vor primi imediat o notificare despre acest lucru și vor putea activa moștenirea politicii de la serverul KSC principal.
Acestea sunt setările principale despre care am vrut să vorbesc astăzi.
Sursa: www.habr.com