Међу нашим клијентима су компаније које користе Касперски решења као корпоративни стандард и самостално управљају својом антивирусном заштитом. Чини се да услуга виртуелне радне површине, у којој провајдер надгледа антивирус, није баш погодна за њих. Данас ћу вам показати како корисници могу сами да управљају заштитом без угрожавања безбедности виртуелних десктопа.
В већ смо уопштено описали како штитимо виртуелне радне површине клијената. Антивирус у оквиру ВДИ услуге помаже у јачању заштите машина у облаку и самосталној контроли.
У првом делу чланка ћу показати како управљамо решењем у облаку и упоредити перформансе Касперски цлоуд-а са традиционалним Ендпоинт Сецурити-ом. Други део ће бити о могућности самоуправљања.
Како управљамо решењем
Ево како изгледа архитектура решења у нашем облаку. За антивирус бирамо два мрежна сегмента:
- сегмент клијената, где се налазе виртуелне радне станице корисника,
- сегмент управљања, где се налази серверски део антивируса.
Сегмент управљања остаје под контролом наших инжењера, купац нема приступ овом делу. Сегмент управљања укључује главни сервер администрације КСЦ-а, који садржи лиценцне датотеке и кључеве за активирање клијентских радних станица.
То је оно у чему се састоји решење у смислу Касперски Лаб-а.
- Инсталиран на виртуелним десктопима корисника лаки агент (ЛА). Не проверава датотеке, већ их шаље у СВМ и чека „пресуда одозго“. Као резултат тога, ресурси радне површине корисника се не троше на антивирусне активности, а запослени се не жале да „ВДИ успорава“.
- Проверава одвојено Сигурносна виртуелна машина (СВМ). Ово је наменски безбедносни уређај који хостује базе података о малверу. Током провера, оптерећење се додељује СВМ-у: преко њега лаки агент комуницира са сервером.
- Касперски безбедносни центар (КСЦ) управља заштитом виртуелних машина. Ово је конзола са подешавањима за задатке и смернице које ће се примењивати на крајњим уређајима.
Ова шема рада обећава уштеду до 30% хардверских ресурса корисничке машине у поређењу са антивирусом на рачунару корисника. Да видимо шта је у пракси.
Поређења ради, узео сам свој радни лаптоп са инсталираним Касперски Ендпоинт Сецурити, извршио скенирање и погледао потрошњу ресурса:
И ево исте ситуације на виртуелној радној површини са сличним карактеристикама у нашој инфраструктури. Меморија једе отприлике исто, али употреба ЦПУ-а је два пута мања:
Сам КСЦ је такође прилично захтеван у погледу ресурса. Ми издвајамо за то
довољно да се администратор осећа пријатно да ради. Уверите се сами:
Оно што остаје под контролом купца
Дакле, схватили смо задатке на страни провајдера, сада ћемо купцу омогућити контролу над антивирусном заштитом. Да бисмо то урадили, креирамо подређени КСЦ сервер и доводимо га у сегмент клијента:
Идемо на конзолу на клијентском КСЦ-у и видимо која подешавања ће купац имати подразумевано.
Праћење. На првој картици видимо контролну таблу. Одмах је јасно на која проблематична подручја треба обратити пажњу:
Пређимо на статистику. Неколико примера шта се може видети овде.
Овде ће администратор одмах видети да ли ажурирање није инсталирано на неким машинама
или постоји још један проблем у вези са софтвером на виртуелним радним површинама. Њихова
ажурирање може утицати на безбедност целе виртуелне машине:
На овој картици можете анализирати пронађене претње за одређену пронађену претњу на заштићеним уређајима:
Трећа картица садржи све могуће опције за унапред конфигурисане извештаје. Купци могу да креирају сопствене извештаје из шаблона, бирају које информације ће бити приказане. Можете подесити заказано слање е-поште или прегледати извештаје локално са сервера
администрација (КСЦ).
Административне групе. На десној страни видимо све управљане уређаје: у нашем случају, виртуелне радне површине којима управља КСЦ сервер.
Могу се комбиновати у групе да би се креирали заједнички задаци и групне политике за различита одељења или за све кориснике у исто време.
Чим корисник креира виртуелну машину у приватном облаку, она се одмах детектује на мрежи и Касперски је шаље на недодељене уређаје:
Недодељени уређаји не подлежу смерницама групе. Да не бисте ручно расипали виртуелне радне површине у групе, можете користити правила. На овај начин аутоматизујемо пренос уређаја у групе.
На пример, виртуелне радне површине са Виндовс 10, али без инсталираног администраторског агента, спадаће у ВДИ_1 групу, а са инсталираним Виндовс 10 и агентом, они ће пасти у ВДИ_2 групу. По аналогији са овим, уређаји се такође могу аутоматски дистрибуирати на основу њихове припадности домену, по локацији у различитим мрежама и одређеним таговима које клијент може самостално да постави на основу својих задатака и потреба.
Да бисте креирали правило, једноставно покрените чаробњак за груписање уређаја:
Групни задаци. Уз помоћ задатака, КСЦ аутоматизује извршавање одређених правила у одређено време или са почетком одређеног тренутка, на пример: скенирање вируса се врши током нерадног времена или када је виртуелна машина „неактивна“, што, заузврат, смањује оптерећење ВМ. У овом одељку је згодно покренути заказана скенирања на виртуелним радним површинама унутар групе, као и ажурирати базе података о вирусима.
Ево комплетне листе доступних задатака:
Групне политике. Од подређеног КСС-а, корисник може самостално да дистрибуира заштиту на нове виртуелне радне површине, ажурира потписе, конфигурише искључења
за датотеке и мреже, правите извештаје и управљајте свим врстама провера на вашим машинама. Укључујући - ограничите приступ одређеним датотекама, сајтовима или хостовима.
Основне смернице и правила сервера могу се поново укључити ако нешто крене наопако. У најгорем случају, ако су погрешно конфигурисани, светлосни агенти ће изгубити контакт са СВМ-ом и оставити виртуелне радне површине незаштићене. Наши инжењери ће одмах добити обавештење о томе и моћи ће да омогуће наслеђивање политике са главног КСЦ сервера.
Ово су главне поставке о којима сам желео да причам данас.
Извор: ввв.хабр.цом