Серед наших клієнтів є компанії, які використовують рішення Kaspersky як корпоративний стандарт та самостійно керують антивірусним захистом. Здавалося б, їм не дуже підходить сервіс віртуальних робочих столів, де за антивірусом стежить провайдер. Сьогодні покажу, як замовники можуть самі керувати захистом без шкоди безпеці віртуальних робочих столів.
В ми вже розповіли загалом, як захищаємо віртуальні робочі столи замовників. Антивірус у рамках сервісу VDI допомагає посилити захист машин у хмарі та самостійно її контролювати.
У першій частині статті покажу, як ми керуємо рішенням у хмарі, і порівняю показники «хмарного» Kaspersky із традиційним Endpoint Security. Друга частина буде про можливості самостійного управління.
Як ми керуємо рішенням
Ось як виглядає архітектура рішення у нашій хмарі. Для антивірусу ми виділяємо два мережеві сегменти:
- клієнтський сегмент, де знаходяться віртуальні робочі місця користувачів,
- менеджмент-сегментде знаходиться серверна частина антивіруса.
Менеджмент-сегмент залишається під контролем наших інженерів, замовник не має доступу до цієї частини. Менеджмент-сегмент включає головний сервер адміністрування KSC, який містить файли ліцензій, ключі для активації клієнтських робочих місць.
Ось із чого полягає рішення у термінах «Лабораторії Касперського».
- На віртуальні робочі столи користувачів ставиться легкий агент (LA). Він не займається перевірками файлів, а відправляє їх на SVM і чекає на «вердикт зверху». В результаті ресурси робочого столу не витрачаються на антивірусну активність, а співробітники не скаржаться, що «VDI гальмує».
- Перевіряє окрема віртуальна машина захисту (Security virtual machine, SVM). Це виділений пристрій безпеки, на якому розміщуються бази даних шкідливого програмного забезпечення. Під час перевірок навантаження покладається на SVM: через неї легкий агент спілкується із сервером.
- Касперський медичний центр (KSC) керує віртуальними машинами захисту. Це консоль із налаштуваннями завдань та політик, які будуть застосовуватись на кінцевих пристроях.
Ця схема роботи обіцяє економію до 30% апаратних ресурсів машини користувача в порівнянні з антивірусом на комп'ютері користувача. Подивимося, що на практиці.
Для порівняння взяв свій робочий ноутбук із встановленим Kaspersky Endpoint Security, запустив перевірку та подивився на споживання ресурсів:
А ось та сама ситуація на віртуальному робочому столі зі схожими характеристиками в нашій інфраструктурі. Пам'яті їсть приблизно однаково, але завантаження ЦП нижче вдвічі:
Сам KSC також досить вимогливий до ресурсів. Ми виділяємо під нього
Достатньо, щоб і адміністратору було комфортно працювати. Дивіться самі:
Що залишається під контролем замовника
Отже, із завданнями на боці провайдера розібралися, тепер надамо замовнику керування антивірусним захистом. Для цього ми створюємо дочірній сервер KSC та виносимо його в клієнтський сегмент:
Зайдемо в консоль на клієнтському KSC і подивимося, які параметри будуть у замовника по дефолту.
моніторинг. На першій вкладці бачимо панель моніторингу. Відразу зрозуміло, на які проблемні місця варто звернути увагу:
Перейдемо далі до статистики. Декілька прикладів, що тут можна подивитися.
Тут адміністратор одразу побачить, якщо на якихось машинах не встановилося оновлення
або виникла інша проблема, пов'язана з програмним забезпеченням на віртуальних робочих столах. Їх
оновлення може позначитися на безпеці всієї віртуальної машини:
У цій вкладці можна проаналізувати знайдені загрози до конкретної знайденої загрози на пристроях, що захищаються:
У третій вкладці є всі можливі варіанти попередньо настроєних звітів. Замовники можуть створити свої звіти із шаблонів, вибрати, яка інформація відображатиметься. Можна налаштувати надсилання на пошту за розкладом або переглядати звіти локально з сервера
адміністрування (KSC).
Групи адміністрування. Справа бачимо всі керовані пристрої: у нашому випадку – віртуальні робочі столи під керуванням сервера KSC.
Їх можна об'єднувати в групи, щоб створити спільні завдання та групові політики для різних підрозділів або всіх користувачів одночасно.
Як тільки замовник створив віртуальну машину в приватній хмарі, вона відразу визначається в мережі, і Касперський відправляє її в нерозподілені пристрої:
На нерозподілені устрою не поширюються групові політики. Щоб не розкидати віртуальні робочі столи вручну по групах, можна використовувати правила. Так ми автоматизуємо перенесення пристроїв до груп.
Наприклад, віртуальні робочі столи з Windows 10, але без встановленого агента адміністрування потраплять до групи VDI_1, а з Windows 10 і встановленим агентом, потраплять до групи VDI_2. За аналогією з цим, пристрої можна також автоматично розподіляти на основі їхньої доменної приналежності, за розташуванням у різних мережах та за певними тегами, які клієнт може задати виходячи зі своїх завдань та потреб самостійно.
Для створення правила просто запускаємо майстер розподілу пристроїв за групами:
Групові завдання. За допомогою завдань KSC автоматизує виконання певних правил у певний час або з настанням певного моменту, наприклад: виконання перевірки на віруси виконується в неробочий час або за «простого» віртуальної машини, що, у свою чергу, знижує навантаження на ВМ. У цьому розділі зручно за розкладом запускати перевірки на віртуальних робочих столах усередині групи, а також оновлювати вірусні бази.
Ось повний список доступних завдань:
Групові політики. З дочірнього KSС замовник може самостійно розповсюджувати захист на нові віртуальні робочі столи, оновлювати сигнатури, налаштовувати винятки.
для файлів та мереж, будувати звіти, а також керувати всіма видами перевірок своїх машин. У тому числі – обмежувати доступ до конкретних файлів, сайтів чи хостів.
Політики та правила головного сервера можна увімкнути назад, якщо щось піде не так. У найгіршому випадку при неправильному налаштуванні легкі агенти втратить зв'язок із SVM і залишать віртуальні робочі столи без захисту. Наші інженери відразу отримають сповіщення про це і зможуть включити спадкування політик з головного сервера KSC.
Це основні налаштування, про які я хотів розповісти сьогодні.
Джерело: habr.com