在我们的客户中,有些公司使用卡巴斯基解决方案作为企业标准并独立管理其防病毒保护。 提供商监控防病毒的虚拟桌面服务似乎不太适合他们。 今天,我将向您展示客户如何在不影响虚拟桌面安全性的情况下自行管理保护。
В 我们已经大致描述了我们如何保护客户的虚拟桌面。 VDI服务中的防病毒有助于加强对云中机器的保护并对其进行独立控制。
在本文的第一部分中,我将展示我们如何在云中管理解决方案,并将卡巴斯基云与传统 Endpoint Security 的性能进行比较。 第二部分将讨论自我管理的可能性。
我们如何管理解决方案
这是我们的云中的解决方案架构的样子。 对于防病毒,我们选择两个网段:
- 客户群,用户的虚拟工作站所在的位置,
- 管理部门,防病毒服务器部分所在的位置。
管理部分仍然由我们的工程师控制,客户无权访问这部分。 管理部分包括主 KSC 管理服务器,其中包含用于激活客户端工作站的许可证文件和密钥。
这就是卡巴斯基实验室的解决方案的组成部分。
- 安装在用户的虚拟桌面上 光剂(LA)。 它不检查文件,而是将它们发送到 SVM 并等待“上面的判决”。 因此,用户桌面资源不会浪费在防病毒活动上,员工也不会抱怨“VDI 速度变慢”。
- 检查单独的 安全虚拟机(SVM)。 这是托管恶意软件数据库的专用安全设备。 在检查期间,负载被分配给 SVM:轻代理通过它与服务器进行通信。
- 卡巴斯基安全中心 (KSC) 管理保护虚拟机。 这是一个控制台,其中包含将应用于终端设备的任务和策略的设置。
与用户计算机上的防病毒软件相比,这种工作方案有望节省用户计算机高达 30% 的硬件资源。 让我们看看实际情况如何。
为了进行比较,我拿起安装了 Kaspersky Endpoint Security 的工作笔记本电脑,运行扫描并查看资源消耗:
这是我们基础设施中具有类似特征的虚拟桌面上的相同情况。 内存消耗大致相同,但 CPU 使用率低两倍:
KSC本身对资源的要求也相当高。 我们为其分配
足以让管理员放心地工作。 你自己看:
哪些内容仍由客户控制
因此,我们弄清楚了提供商方面的任务,现在我们将为客户提供对防病毒保护的控制。 为此,我们创建一个子 KSC 服务器并将其带到客户端段:
让我们转到客户端 KSC 上的控制台,看看客户默认会有哪些设置。
监控。 在第一个选项卡上,我们看到仪表板。 立即清楚您应该注意哪些问题领域:
让我们继续进行统计。 可以在这里看到一些示例。
在这里管理员将立即查看某些机器是否尚未安装更新
或者存在与虚拟桌面上的软件相关的其他问题。 他们的
该更新可能会影响整个虚拟机的安全:
在此选项卡中,您可以将发现的威胁分析为受保护设备上发现的特定威胁:
第三个选项卡包含预配置报告的所有可能选项。 客户可以从模板创建自己的报告,选择要显示的信息。 您可以设置计划的电子邮件发送或从服务器本地查看报告
管理(KSC)。
管理组。 在右侧,我们可以看到所有托管设备:在我们的示例中,是由 KSC 服务器管理的虚拟桌面。
它们可以组合成组,以便为不同部门或同时为所有用户创建常见任务和组策略。
一旦客户在私有云中创建了虚拟机,就会立即在网络上检测到它,卡巴斯基会将其发送到未分配的设备:
未分配的设备不受组策略的约束。 为了不手动将虚拟桌面分散到组中,您可以使用规则。 这就是我们自动将设备转移到组的方式。
例如,使用 Windows 10 但未安装管理代理的虚拟桌面将属于 VDI_1 组,而安装了 Windows 10 和代理的虚拟桌面将属于 VDI_2 组。 与此类似,设备还可以根据其域从属关系、不同网络中的位置以及客户端可以根据自己的任务和需求自行设置的某些标签来自动分配。
要创建规则,只需运行设备分组向导:
小组任务。 借助任务,KSC 在特定时间或特定时刻开始自动执行某些规则,例如:在非工作时间或虚拟机“空闲”时执行病毒扫描,这反过来又减少了虚拟机的负载。 在本节中,可以方便地对组内的虚拟桌面运行计划扫描以及更新病毒库。
以下是可用任务的完整列表:
集团政策。 通过子 KSS,客户可以独立地将保护分发到新的虚拟桌面、更新签名、配置排除项
文件和网络、构建报告并管理计算机上的各种检查。 包括 - 限制对特定文件、站点或主机的访问。
如果出现问题,可以重新启用核心服务器策略和规则。 在最坏的情况下,如果配置不正确,轻代理将失去与 SVM 的联系,并使虚拟桌面不受保护。 我们的工程师将立即收到有关此情况的通知,并将能够从主 KSC 服务器启用策略继承。
这些就是我今天要讲的主要设置。
来源: habr.com