Midis klientëve tanë ka kompani që përdorin zgjidhjet Kaspersky si standard të korporatës dhe menaxhojnë vetë mbrojtjen kundër viruseve. Duket se një shërbim virtual i desktopit në të cilin antivirusi monitorohet nga ofruesi nuk është shumë i përshtatshëm për ta. Sot do të tregoj se si klientët mund të menaxhojnë sigurinë e tyre pa kompromentuar sigurinë e desktopëve virtualë.
В Ne kemi përshkruar tashmë në përgjithësi se si mbrojmë desktopët virtualë të klientëve. Antivirusi brenda shërbimit VDI ndihmon në forcimin e mbrojtjes së makinave në cloud dhe kontrollin e pavarur të tij.
Në pjesën e parë të artikullit, unë do të tregoj se si e menaxhojmë zgjidhjen në cloud dhe do të krahasojmë performancën e Kaspersky të bazuar në cloud me Endpoint Security tradicionale. Pjesa e dytë do të ketë të bëjë me mundësitë e menaxhimit të pavarur.
Si e menaxhojmë zgjidhjen
Kështu duket arkitektura e zgjidhjes në renë tonë. Për antivirus ne ndajmë dy segmente rrjeti:
- segmenti i klientit, ku ndodhen stacionet e punës virtuale të përdoruesve,
- segmentin e menaxhimit, ku ndodhet pjesa e serverit antivirus.
Segmenti i menaxhimit mbetet nën kontrollin e inxhinierëve tanë, klienti nuk ka akses në këtë pjesë. Segmenti i menaxhimit përfshin serverin kryesor të administrimit të KSC, i cili përmban skedarë licencash dhe çelësa për aktivizimin e stacioneve të punës së klientit.
Kjo është ajo që përbëhet nga zgjidhja në termat e Kaspersky Lab.
- Instaluar në desktopët virtualë të përdoruesve agjent i dritës (LA). Ai nuk kontrollon skedarët, por i dërgon ato në SVM dhe pret "vendimin nga lart". Si rezultat, burimet e desktopit të përdoruesit nuk harxhohen në aktivitetin antivirus dhe punonjësit nuk ankohen se "VDI është i ngadaltë".
- Kontrollon veçmas Makina virtuale e sigurisë (SVM). Ky është një pajisje e dedikuar sigurie që pret bazat e të dhënave të malware. Gjatë kontrolleve, ngarkesa vendoset në SVM: përmes saj, agjenti i dritës komunikon me serverin.
- Qendra e sigurisë Kaspersky (KSC) menaxhon mbrojtjen e makinave virtuale. Kjo është një tastierë me cilësime për detyrat dhe politikat që do të zbatohen në pajisjet fundore.
Kjo skemë funksionimi premton të kursejë deri në 30% të burimeve harduerike të makinës së përdoruesit në krahasim me një antivirus në kompjuterin e përdoruesit. Le të shohim se çfarë ndodh në praktikë.
Për krahasim, mora laptopin tim të punës me Kaspersky Endpoint Security të instaluar, bëra një skanim dhe shikova konsumin e burimeve:
Por e njëjta situatë ndodh në një desktop virtual me karakteristika të ngjashme në infrastrukturën tonë. Konsumi i memories është afërsisht i njëjtë, por ngarkesa e CPU-së është dy herë më e ulët:
Vetë KSC është gjithashtu mjaft intensive me burime. Ne ndajmë për të
mjafton që administratori të ndihet rehat duke punuar. Shihni vetë:
Ajo që mbetet nën kontrollin e klientit
Pra, ne kemi renditur detyrat nga ana e ofruesit, tani do t'i ofrojmë klientit kontrollin e mbrojtjes antivirus. Për ta bërë këtë, ne krijojmë një server KSC fëmijë dhe e zhvendosim atë në segmentin e klientit:
Le të shkojmë te tastiera e klientit KSC dhe të shohim se çfarë cilësimesh do të ketë klienti si parazgjedhje.
Monitorimi. Në skedën e parë shohim panelin e monitorimit. Është menjëherë e qartë se cilat fusha problematike duhet t'i kushtoni vëmendje:
Le të kalojmë te statistikat. Disa shembuj të asaj që mund të shihni këtu.
Këtu administratori do të shohë menjëherë nëse përditësimi nuk është instaluar në disa makina
ose ka një problem tjetër që lidhet me softuerin në desktopët virtualë. e tyre
Përditësimi mund të ndikojë në sigurinë e të gjithë makinës virtuale:
Në këtë skedë, mund të analizoni kërcënimet e gjetura deri në kërcënimin specifik të gjetur në pajisjet e mbrojtura:
Skeda e tretë përmban të gjitha opsionet e mundshme për raportet e para-konfiguruara. Klientët mund të krijojnë raportet e tyre nga shabllonet dhe të zgjedhin se çfarë informacioni do të shfaqet. Mund të konfiguroni dërgimin me email në një orar ose të shikoni raportet në nivel lokal nga serveri
administrata (KSC).
Grupet e administratës. Në të djathtë shohim të gjitha pajisjet e menaxhuara: në rastin tonë, desktopët virtualë të menaxhuar nga serveri KSC.
Ato mund të kombinohen në grupe për të krijuar detyra të përbashkëta dhe politika grupore për departamente të ndryshme ose për të gjithë përdoruesit në të njëjtën kohë.
Sapo klienti ka krijuar një makinë virtuale në një re private, ajo identifikohet menjëherë në rrjet dhe Kaspersky e dërgon atë në pajisjet e pacaktuara:
Pajisjet e pacaktuara nuk mbulohen nga politikat e grupit. Për të shmangur caktimin manual të desktopëve virtualë në grupe, mund të përdorni rregulla. Kjo është mënyra se si ne automatizojmë transferimin e pajisjeve në grupe.
Për shembull, desktopët virtualë me Windows 10, por pa agjentin e administrimit të instaluar, do të bien në grupin VDI_1, dhe me Windows 10 dhe agjentin e instaluar, ata do të bien në grupin VDI_2. Në analogji me këtë, pajisjet gjithashtu mund të shpërndahen automatikisht në bazë të përkatësisë së tyre në domen, sipas vendndodhjes në rrjete të ndryshme dhe sipas etiketave të caktuara që klienti mund të vendosë në bazë të detyrave dhe nevojave të tij në mënyrë të pavarur.
Për të krijuar një rregull, thjesht ekzekutoni magjistarin për shpërndarjen e pajisjeve në grupe:
Detyrat në grup. Duke përdorur detyrat, KSC automatizon ekzekutimin e rregullave të caktuara në një kohë ose në një moment të caktuar, për shembull: skanimi i virusit kryhet gjatë orëve jo pune ose kur makina virtuale është "boshe", e cila, nga ana tjetër, zvogëlon ngarkesën në VM. Ky seksion është i përshtatshëm për ekzekutimin e skanimeve të planifikuara në desktopët virtualë brenda një grupi, si dhe për përditësimin e bazave të të dhënave të viruseve.
Këtu është lista e plotë e detyrave të disponueshme:
Politikat e Grupit. Nga fëmija KSC, klienti mund të shpërndajë mbrojtje në mënyrë të pavarur në desktopët e rinj virtualë, të përditësojë nënshkrimet dhe të konfigurojë përjashtime
për skedarët dhe rrjetet, krijoni raporte dhe menaxhoni të gjitha llojet e skanimeve të makinave tuaja. Kjo përfshin kufizimin e aksesit në skedarë, faqe ose hoste të veçantë.
Politikat dhe rregullat e serverit kryesor mund të rikthehen nëse diçka shkon keq. Në rastin më të keq, nëse konfigurohen gabimisht, agjentët e dritës do të humbasin kontaktin me SVM dhe do t'i lënë desktopët virtualë të pambrojtur. Inxhinierët tanë do të njoftohen menjëherë për këtë dhe do të jenë në gjendje të mundësojnë trashëgiminë e politikave nga serveri kryesor KSC.
Këto janë cilësimet kryesore për të cilat doja të flisja sot.
Burimi: www.habr.com