Mijozlarimiz orasida Kasperskiy yechimlarini korporativ standart sifatida ishlatadigan va virusga qarshi himoyani o'zlari boshqaradigan kompaniyalar bor. Ko'rinishidan, ular antivirus provayder tomonidan nazorat qilinadigan virtual ish stoli xizmati uchun unchalik mos emas. Bugun men sizga mijozlar o'zlarining virtual ish stollari xavfsizligini buzmasdan qanday qilib o'zlarining xavfsizligini boshqarishlari mumkinligini ko'rsataman.
Π Biz allaqachon mijozlarning virtual ish stollarini qanday himoya qilishimizni umumiy tarzda tasvirlab berdik. VDI xizmatidagi antivirus bulutdagi mashinalarning himoyasini kuchaytirishga va uni mustaqil boshqarishga yordam beradi.
Maqolaning birinchi qismida men bulutdagi yechimni qanday boshqarishimizni ko'rsataman va bulutga asoslangan Kasperskiyning ish faoliyatini an'anaviy Endpoint Security bilan solishtiraman. Ikkinchi qism mustaqil boshqaruv imkoniyatlari haqida bo'ladi.
Yechimni qanday boshqaramiz
Bizning bulutimizda yechim arxitekturasi shunday ko'rinadi. Antivirus uchun biz ikkita tarmoq segmentini ajratamiz:
- mijoz segmenti, foydalanuvchilarning virtual ish stantsiyalari joylashgan joyda,
- boshqaruv segmenti, antivirus server qismi joylashgan joyda.
Boshqaruv segmenti bizning muhandislarimiz nazorati ostida qoladi, mijoz bu qismga kirish huquqiga ega emas. Boshqaruv segmenti asosiy KSC boshqaruv serverini o'z ichiga oladi, unda litsenziya fayllari va mijoz ish stantsiyalarini faollashtirish uchun kalitlar mavjud.
Bu yechim Kasperskiy laboratoriyasining shartlaridan iborat.
- Foydalanuvchilarning virtual ish stollariga o'rnatilgan yorug'lik agenti (LA). U fayllarni tekshirmaydi, lekin ularni SVM-ga yuboradi va "yuqoridan hukmni" kutadi. Natijada, foydalanuvchi ish stoli resurslari virusga qarshi faoliyatga behuda sarflanmaydi va xodimlar "VDI sekin" deb shikoyat qilishmaydi.
- Alohida tekshiradi Virtual xavfsizlik mashinasi (SVM). Bu zararli dasturlar ma'lumotlar bazalarini o'z ichiga olgan maxsus xavfsizlik moslamasi. Tekshiruvlar paytida yuk SVMga joylashtiriladi: u orqali yorug'lik agenti server bilan bog'lanadi.
- Kasperskiy xavfsizlik markazi (KSC) himoya virtual mashinalarini boshqaradi. Bu oxirgi qurilmalarga qoΚ»llaniladigan vazifalar va siyosatlar uchun sozlamalarga ega konsol.
Ushbu ish sxemasi foydalanuvchi kompyuteridagi antivirus bilan solishtirganda, foydalanuvchi mashinasining apparat resurslarini 30% gacha tejashni va'da qiladi. Keling, amalda nima sodir bo'lishini ko'rib chiqaylik.
Taqqoslash uchun men Kaspersky Endpoint Security o'rnatilgan ish noutbukimni oldim, skanerdan o'tkazdim va resurslar sarfini ko'rib chiqdim:
Ammo xuddi shu holat bizning infratuzilmamizdagi o'xshash xususiyatlarga ega virtual ish stolida sodir bo'ladi. Xotira iste'moli taxminan bir xil, ammo CPU yuki ikki baravar kam:
KSCning o'zi ham juda ko'p resurs talab qiladi. Buning uchun biz ajratamiz
administrator ishlashni qulay his qilishi uchun etarli. O'zingiz ko'ring:
Nima mijozning nazorati ostida qoladi
Shunday qilib, biz provayder tomonidagi vazifalarni saralab oldik, endi biz mijozga virusga qarshi himoyani nazorat qilishni ta'minlaymiz. Buning uchun biz bola KSC serverini yaratamiz va uni mijoz segmentiga o'tkazamiz:
Keling, KSC mijozidagi konsolga boramiz va mijoz sukut bo'yicha qanday sozlamalarga ega bo'lishini ko'rib chiqamiz.
Monitoring. Birinchi yorliqda biz monitoring panelini ko'ramiz. Qaysi muammoli joylarga e'tibor berishingiz kerakligi darhol aniq bo'ladi:
Keling, statistikaga o'tamiz. Bu erda ko'rishingiz mumkin bo'lgan bir nechta misollar.
Bu erda administrator yangilanish ba'zi mashinalarda o'rnatilmaganligini darhol ko'radi
yoki virtual ish stollarida dasturiy ta'minot bilan bog'liq yana bir muammo bor. Ularning
Yangilanish butun virtual mashinaning xavfsizligiga ta'sir qilishi mumkin:
Ushbu yorliqda siz himoyalangan qurilmalarda topilgan tahdidlarni tahlil qilishingiz mumkin:
Uchinchi yorliqda oldindan tuzilgan hisobotlar uchun barcha mumkin bo'lgan variantlar mavjud. Mijozlar shablonlardan o'z hisobotlarini yaratishi va qanday ma'lumotlar ko'rsatilishini tanlashi mumkin. Siz jadval bo'yicha elektron pochta orqali yuborishni sozlashingiz yoki serverdan mahalliy hisobotlarni ko'rishingiz mumkin
ma'muriyat (KSC).
Ma'muriy guruhlar. O'ng tomonda biz barcha boshqariladigan qurilmalarni ko'ramiz: bizning holatlarimizda KSC serveri tomonidan boshqariladigan virtual ish stollari.
Turli bo'limlar yoki bir vaqtning o'zida barcha foydalanuvchilar uchun umumiy vazifalar va guruh siyosatlarini yaratish uchun ularni guruhlarga birlashtirish mumkin.
Mijoz virtual mashinani shaxsiy bulutda yaratgan zahoti, u tarmoqda darhol aniqlanadi va Kasperskiy uni tayinlanmagan qurilmalarga yuboradi:
Tayinlanmagan qurilmalar guruh siyosatlariga taalluqli emas. Guruhlarga virtual ish stollarini qo'lda tayinlashni oldini olish uchun siz qoidalardan foydalanishingiz mumkin. Shunday qilib, biz qurilmalarni guruhlarga o'tkazishni avtomatlashtiramiz.
Masalan, Windows 10 o'rnatilgan, lekin Administrator agenti o'rnatilmagan virtual ish stollari VDI_1 guruhiga, Windows 10 va Agent o'rnatilgan bo'lsa, ular VDI_2 guruhiga kiradi. Shunga o'xshab, qurilmalar domenga mansubligi, turli tarmoqlardagi joylashuvi va mijoz o'z vazifalari va ehtiyojlariga qarab mustaqil ravishda o'rnatishi mumkin bo'lgan ba'zi teglar bo'yicha avtomatik ravishda taqsimlanishi mumkin.
Qoida yaratish uchun qurilmalarni guruhlarga taqsimlash ustasini ishga tushirish kifoya:
Guruh vazifalari. Vazifalardan foydalanib, KSC ma'lum bir vaqtda yoki ma'lum bir vaqtda ma'lum qoidalarning bajarilishini avtomatlashtiradi, masalan: viruslarni skanerlash ishlamaydigan vaqtlarda yoki virtual mashina "bo'sh" bo'lganda amalga oshiriladi, bu esa o'z navbatida yukni kamaytiradi. VM da. Ushbu bo'lim guruh ichidagi virtual ish stollarida rejalashtirilgan skanerlashni amalga oshirish, shuningdek, virus ma'lumotlar bazalarini yangilash uchun qulaydir.
Bu erda mavjud vazifalarning to'liq ro'yxati:
Guruh siyosati. Bola KSC dan mijoz yangi virtual ish stollariga himoyani mustaqil ravishda tarqatishi, imzolarni yangilashi va istisnolarni sozlashi mumkin.
fayllar va tarmoqlar uchun hisobotlar tuzing va mashinalaringizning barcha turdagi skanerlarini boshqaring. Bunga ma'lum fayllar, saytlar yoki xostlarga kirishni cheklash kiradi.
Agar biror narsa noto'g'ri bo'lsa, asosiy serverning siyosatlari va qoidalari qayta yoqilishi mumkin. Eng yomon holatda, agar noto'g'ri sozlangan bo'lsa, yorug'lik agentlari SVM bilan aloqani yo'qotadi va virtual ish stollarini himoyasiz qoldiradi. Bizning muhandislarimiz bu haqda darhol xabardor qilinadi va asosiy KSC serveridan siyosat merosini yoqish imkoniyatiga ega bo'ladi.
Bular men bugun gaplashmoqchi bo'lgan asosiy sozlamalar.
Manba: www.habr.com