Medzi našimi klientmi sú spoločnosti, ktoré využívajú riešenia Kaspersky ako firemný štandard a samostatne spravujú svoju antivírusovú ochranu. Zdalo by sa, že služba virtuálnej plochy, v ktorej poskytovateľ sleduje antivírus, pre nich nie je príliš vhodná. Dnes vám ukážem, ako si môžu zákazníci spravovať ochranu sami bez toho, aby ohrozili bezpečnosť virtuálnych desktopov.
В sme už vo všeobecnosti popísali, ako chránime virtuálne desktopy zákazníkov. Antivírus v rámci služby VDI pomáha posilniť ochranu strojov v cloude a samostatne ho ovládať.
V prvej časti článku ukážem, ako spravujeme riešenie v cloude a porovnám výkon Kaspersky cloudu s tradičným Endpoint Security. Druhá časť bude o možnosti samosprávy.
Ako zvládame riešenie
Takto vyzerá architektúra riešenia v našom cloude. Pre antivírus vyberáme dva segmenty siete:
- klientsky segment, kde sa nachádzajú virtuálne pracovné stanice používateľov,
- manažérsky segment, kde sa nachádza serverová časť antivírusu.
Segment manažmentu zostáva pod kontrolou našich inžinierov, zákazník do tejto časti nemá prístup. Segment správy zahŕňa hlavný administračný server KSC, ktorý obsahuje licenčné súbory a kľúče na aktiváciu klientskych pracovných staníc.
V tom spočíva riešenie v podmienkach spoločnosti Kaspersky Lab.
- Inštalované na virtuálnych desktopoch používateľov svetelný agent (LA). Súbory nekontroluje, ale posiela ich do SVM a čaká na „verdikt zhora“. Výsledkom je, že zdroje pracovnej plochy používateľov neplytvajú antivírusovými aktivitami a zamestnanci sa nesťažujú, že „VDI sa spomaľuje“.
- Kontroluje samostatne Bezpečnostný virtuálny stroj (SVM). Toto je vyhradené bezpečnostné zariadenie, ktoré hostí databázy škodlivého softvéru. Počas kontrol je zaťaženie priradené SVM: prostredníctvom neho komunikuje svetelný agent so serverom.
- Bezpečnostné centrum Kaspersky (KSC) spravuje ochranu virtuálnych počítačov. Toto je konzola s nastaveniami pre úlohy a politiky, ktoré budú aplikované na koncových zariadeniach.
Táto schéma práce sľubuje úsporu až 30% hardvérových zdrojov počítača používateľa v porovnaní s antivírusom v počítači používateľa. Pozrime sa, čo je v praxi.
Na porovnanie som si zobral pracovný notebook s nainštalovaným Kaspersky Endpoint Security, spustil som skenovanie a pozrel sa na spotrebu zdrojov:
A tu je rovnaká situácia na virtuálnom desktope s podobnými vlastnosťami v našej infraštruktúre. Pamäť má približne rovnakú spotrebu, ale využitie procesora je dvakrát nižšie:
Samotná KSČ je tiež dosť náročná na zdroje. Prideľujeme na to
dosť na to, aby sa správca cítil pri práci pohodlne. Presvedčte sa sami:
Čo zostáva pod kontrolou zákazníka
Vymysleli sme teda úlohy na strane poskytovateľa, teraz poskytneme zákazníkovi kontrolu nad antivírusovou ochranou. Na tento účel vytvoríme podriadený server KSC a privedieme ho do klientskeho segmentu:
Poďme do konzoly na klientovi KSC a uvidíme, aké nastavenia bude mať zákazník štandardne.
monitorovanie. Na prvej karte vidíme palubnú dosku. Okamžite je jasné, ktorým problémovým oblastiam by ste mali venovať pozornosť:
Prejdime k štatistike. Niekoľko príkladov toho, čo tu možno vidieť.
Tu správca okamžite uvidí, či aktualizácia nebola nainštalovaná na niektorých počítačoch
alebo je tu iný problém súvisiaci so softvérom na virtuálnych desktopoch. ich
aktualizácia môže ovplyvniť bezpečnosť celého virtuálneho počítača:
Na tejto karte môžete analyzovať nájdené hrozby pre konkrétnu nájdenú hrozbu na chránených zariadeniach:
Tretia záložka obsahuje všetky možné možnosti pre predkonfigurované zostavy. Zákazníci si môžu vytvárať vlastné reporty zo šablón, zvoliť si, aké informácie sa budú zobrazovať. Môžete nastaviť plánované odosielanie e-mailov alebo zobraziť prehľady lokálne zo servera
administratíva (KSČ).
Administratívne skupiny. Vpravo vidíme všetky spravované zariadenia: v našom prípade virtuálne desktopy spravované serverom KSC.
Možno ich kombinovať do skupín a vytvárať spoločné úlohy a skupinové politiky pre rôzne oddelenia alebo pre všetkých používateľov súčasne.
Akonáhle si zákazník vytvorí virtuálny stroj v súkromnom cloude, okamžite sa zistí v sieti a Kaspersky ho odošle na nepriradené zariadenia:
Nepriradené zariadenia nepodliehajú skupinovým pravidlám. Aby ste nerozdelili virtuálne plochy do skupín manuálne, môžete použiť pravidlá. Takto automatizujeme presun zariadení do skupín.
Napríklad virtuálne desktopy s Windows 10, ale bez nainštalovaného administrátora, budú spadať do skupiny VDI_1 a s Windowsom 10 a nainštalovaným agentom budú spadať do skupiny VDI_2. Analogicky k tomu môžu byť zariadenia automaticky distribuované aj na základe ich doménovej príslušnosti, podľa umiestnenia v rôznych sieťach a podľa určitých tagov, ktoré si klient môže sám nastaviť podľa svojich úloh a potrieb.
Ak chcete vytvoriť pravidlo, jednoducho spustite sprievodcu zoskupením zariadení:
Skupinové úlohy. Pomocou úloh KSC automatizuje vykonávanie určitých pravidiel v určitom čase alebo so začiatkom určitého okamihu, napríklad: vykonávanie kontroly vírusov sa vykonáva počas mimopracovných hodín alebo keď je virtuálny stroj „nečinný“, čo zase znižuje zaťaženie VM. V tejto časti je vhodné spustiť plánované kontroly na virtuálnych desktopoch v rámci skupiny, ako aj aktualizovať vírusové databázy.
Tu je úplný zoznam dostupných úloh:
Skupinové politiky. Z podriadeného KSS môže zákazník nezávisle distribuovať ochranu na nové virtuálne desktopy, aktualizovať podpisy, konfigurovať vylúčenia
pre súbory a siete, vytvárajte zostavy a spravujte všetky druhy kontrol na svojich počítačoch. Vrátane - obmedziť prístup ku konkrétnym súborom, stránkam alebo hostiteľom.
Základné zásady a pravidlá servera je možné znova zapnúť, ak sa niečo pokazí. V najhoršom prípade, ak je nakonfigurovaný nesprávne, svetelní agenti stratia kontakt s SVM a nechajú virtuálne plochy nechránené. Naši inžinieri o tom okamžite dostanú upozornenie a budú môcť povoliť dedenie politiky z hlavného servera KSC.
Toto sú hlavné nastavenia, o ktorých som dnes chcel hovoriť.
Zdroj: hab.com