Trong số các khách hàng của chúng tôi, có những công ty sử dụng giải pháp Kaspersky làm tiêu chuẩn công ty và tự quản lý việc bảo vệ chống vi-rút. Có vẻ như dịch vụ máy tính để bàn ảo trong đó phần mềm chống vi-rút được nhà cung cấp giám sát không phù hợp lắm với họ. Hôm nay tôi sẽ chỉ cho khách hàng cách quản lý bảo mật của riêng mình mà không ảnh hưởng đến bảo mật của máy tính để bàn ảo.
В Chúng tôi đã mô tả chung cách chúng tôi bảo vệ máy tính để bàn ảo của khách hàng. Tính năng chống vi-rút trong dịch vụ VDI giúp tăng cường bảo vệ máy trên đám mây và kiểm soát nó một cách độc lập.
Trong phần đầu tiên của bài viết, tôi sẽ trình bày cách chúng tôi quản lý giải pháp trên đám mây và so sánh hiệu suất của Kaspersky dựa trên đám mây với Endpoint Security truyền thống. Phần thứ hai sẽ nói về khả năng quản lý độc lập.
Cách chúng tôi quản lý giải pháp
Đây là kiến trúc giải pháp trong đám mây của chúng tôi. Đối với phần mềm chống vi-rút, chúng tôi phân bổ hai phân đoạn mạng:
- phân khúc khách hàng, nơi đặt các máy trạm ảo của người dùng,
- mảng quản lý, nơi chứa phần máy chủ chống vi-rút.
Phân khúc quản lý vẫn nằm dưới sự kiểm soát của các kỹ sư của chúng tôi, khách hàng không có quyền truy cập vào phần này. Phân đoạn quản lý bao gồm máy chủ quản trị KSC chính, chứa các tệp giấy phép và khóa để kích hoạt các máy trạm khách.
Đây chính là nội dung của giải pháp theo thuật ngữ của Kaspersky Lab.
- Được cài đặt trên máy tính để bàn ảo của người dùng chất nhẹ (LA). Nó không kiểm tra các tập tin mà gửi chúng đến SVM và chờ “phán quyết từ phía trên”. Kết quả là tài nguyên máy tính để bàn của người dùng không bị lãng phí cho hoạt động chống vi-rút và nhân viên không phàn nàn rằng “VDI chậm”.
- Kiểm tra riêng Máy ảo bảo mật (SVM). Đây là một thiết bị bảo mật chuyên dụng lưu trữ cơ sở dữ liệu phần mềm độc hại. Trong quá trình kiểm tra, tải được đặt lên SVM: thông qua nó, tác nhân nhẹ sẽ giao tiếp với máy chủ.
- Trung tâm bảo mật Kaspersky (KSC) quản lý bảo vệ máy ảo. Đây là bảng điều khiển có cài đặt cho các tác vụ và chính sách sẽ được áp dụng cho thiết bị cuối.
Sơ đồ hoạt động này hứa hẹn sẽ tiết kiệm tới 30% tài nguyên phần cứng của máy người dùng so với phần mềm diệt virus trên máy tính của người dùng. Hãy xem điều gì xảy ra trong thực tế.
Để so sánh, tôi lấy máy tính xách tay làm việc của mình đã cài đặt Kaspersky Endpoint Security, chạy quét và xem mức tiêu thụ tài nguyên:
Nhưng tình huống tương tự cũng xảy ra trên máy tính để bàn ảo có đặc điểm tương tự trong cơ sở hạ tầng của chúng tôi. Mức tiêu thụ bộ nhớ gần như nhau, nhưng tải CPU thấp gấp đôi:
Bản thân KSC cũng khá tốn tài nguyên. Chúng tôi phân bổ cho nó
đủ để người quản trị cảm thấy thoải mái khi làm việc. Xem cho chính mình:
Những gì còn lại dưới sự kiểm soát của khách hàng
Vì vậy, chúng tôi đã sắp xếp các nhiệm vụ từ phía nhà cung cấp, bây giờ chúng tôi sẽ cung cấp cho khách hàng quyền kiểm soát bảo vệ chống vi-rút. Để thực hiện việc này, chúng tôi tạo một máy chủ KSC con và di chuyển nó sang phân khúc máy khách:
Hãy đi tới bảng điều khiển trên máy khách KSC và xem khách hàng sẽ có những cài đặt mặc định nào.
Giám sát. Trên tab đầu tiên, chúng ta thấy bảng giám sát. Ngay lập tức bạn sẽ thấy rõ những lĩnh vực có vấn đề nào bạn nên chú ý:
Hãy chuyển sang số liệu thống kê. Một vài ví dụ về những gì bạn có thể thấy ở đây.
Tại đây quản trị viên sẽ xem ngay bản cập nhật có được cài đặt trên một số máy hay không
hoặc có vấn đề khác liên quan đến phần mềm trên desktop ảo. Của họ
Bản cập nhật có thể ảnh hưởng đến tính bảo mật của toàn bộ máy ảo:
Trong tab này, bạn có thể phân tích các mối đe dọa được tìm thấy cho đến mối đe dọa cụ thể được tìm thấy trên các thiết bị được bảo vệ:
Tab thứ ba chứa tất cả các tùy chọn có thể có cho các báo cáo được định cấu hình trước. Khách hàng có thể tạo báo cáo của riêng mình từ các mẫu và chọn thông tin nào sẽ được hiển thị. Bạn có thể thiết lập gửi qua email theo lịch hoặc xem báo cáo cục bộ từ máy chủ
quản lý (KSC).
Nhóm quản trị. Ở bên phải, chúng tôi thấy tất cả các thiết bị được quản lý: trong trường hợp của chúng tôi là máy tính để bàn ảo được quản lý bởi máy chủ KSC.
Chúng có thể được kết hợp thành các nhóm để tạo ra các nhiệm vụ chung và chính sách nhóm cho các phòng ban khác nhau hoặc cho tất cả người dùng cùng một lúc.
Ngay sau khi khách hàng tạo một máy ảo trên đám mây riêng, nó sẽ ngay lập tức được xác định trên mạng và Kaspersky sẽ gửi nó đến các thiết bị chưa được chỉ định:
Các thiết bị chưa được chỉ định không nằm trong chính sách nhóm. Để tránh việc gán các màn hình ảo vào các nhóm theo cách thủ công, bạn có thể sử dụng các quy tắc. Đây là cách chúng tôi tự động hóa việc chuyển thiết bị thành các nhóm.
Ví dụ: máy tính để bàn ảo cài đặt Windows 10 nhưng không cài đặt tác nhân quản trị sẽ thuộc nhóm VDI_1 và nếu cài đặt Windows 10 và tác nhân sẽ rơi vào nhóm VDI_2. Tương tự như vậy, các thiết bị cũng có thể được phân phối tự động dựa trên liên kết miền của chúng, theo vị trí trong các mạng khác nhau và theo một số thẻ nhất định mà khách hàng có thể đặt dựa trên nhiệm vụ và nhu cầu của mình một cách độc lập.
Để tạo quy tắc, chỉ cần chạy trình hướng dẫn phân phối thiết bị thành các nhóm:
Nhiệm vụ nhóm. Bằng cách sử dụng các tác vụ, KSC tự động hóa việc thực thi các quy tắc nhất định tại một thời điểm nhất định hoặc tại một thời điểm nhất định, ví dụ: quét vi-rút được thực hiện ngoài giờ làm việc hoặc khi máy ảo “không hoạt động”, do đó sẽ giảm tải trên máy ảo. Phần này thuận tiện cho việc chạy quét theo lịch trình trên máy tính để bàn ảo trong một nhóm cũng như cập nhật cơ sở dữ liệu vi-rút.
Dưới đây là danh sách đầy đủ các nhiệm vụ có sẵn:
Chính sách nhóm. Từ KSC con, khách hàng có thể phân phối bảo vệ độc lập cho máy tính để bàn ảo mới, cập nhật chữ ký và định cấu hình ngoại lệ
cho các tệp và mạng, xây dựng báo cáo và quản lý tất cả các kiểu quét máy của bạn. Điều này bao gồm việc hạn chế quyền truy cập vào các tệp, trang web hoặc máy chủ cụ thể.
Các chính sách và quy tắc của máy chủ chính có thể được bật lại nếu có sự cố xảy ra. Trong trường hợp xấu nhất, nếu được cấu hình không chính xác, các tác nhân nhẹ sẽ mất liên lạc với SVM và khiến máy tính để bàn ảo không được bảo vệ. Các kỹ sư của chúng tôi sẽ ngay lập tức được thông báo về điều này và sẽ có thể kích hoạt kế thừa chính sách từ máy chủ KSC chính.
Đây là những cài đặt chính mà tôi muốn nói đến hôm nay.
Nguồn: www.habr.com