在我們的客戶中,有些公司使用卡巴斯基解決方案作為企業標準並獨立管理其防病毒保護。 提供商監控防病毒的虛擬桌面服務似乎不太適合他們。 今天,我將向您展示客戶如何在不影響虛擬桌面安全性的情況下自行管理保護。
В 我們已經大致描述了我們如何保護客戶的虛擬桌面。 VDI服務中的防病毒有助於加強對雲中機器的保護並對其進行獨立控制。
在本文的第一部分中,我將展示我們如何在雲中管理解決方案,並將卡巴斯基雲與傳統端點安全的性能進行比較。 第二部分將討論自我管理的可能性。
我們如何管理解決方案
這是我們的雲中的解決方案架構的樣子。 對於防病毒,我們選擇兩個網段:
- 客戶群,用戶的虛擬工作站所在的位置,
- 管理部門,防病毒服務器部分所在的位置。
管理部分仍然由我們的工程師控制,客戶無權訪問這部分。 管理部分包括主 KSC 管理服務器,其中包含用於激活客戶端工作站的許可證文件和密鑰。
這就是卡巴斯基實驗室的解決方案的組成部分。
- 安裝在用戶的虛擬桌面上 光劑(LA)。 它不檢查文件,而是將它們發送到 SVM 並等待“上面的判決”。 因此,用戶桌面資源不會浪費在防病毒活動上,員工也不會抱怨“VDI 速度變慢”。
- 檢查單獨的 安全虛擬機(SVM)。 這是託管惡意軟件數據庫的專用安全設備。 在檢查期間,負載被分配給 SVM:輕代理通過它與服務器進行通信。
- 卡巴斯基安全中心 (KSC) 管理保護虛擬機。 這是一個控制台,其中包含將應用於終端設備的任務和策略的設置。
與用戶計算機上的防病毒軟件相比,這種工作方案有望節省用戶計算機高達 30% 的硬件資源。 讓我們看看實際情況如何。
為了進行比較,我拿起安裝了 Kaspersky Endpoint Security 的工作筆記本電腦,運行掃描並查看資源消耗:
這是我們基礎設施中具有類似特徵的虛擬桌面上的相同情況。 內存消耗大致相同,但 CPU 使用率低兩倍:
KSC本身對資源的要求也相當高。 我們為其分配
足以讓管理員放心地工作。 你自己看:
哪些內容仍由客戶控制
因此,我們弄清楚了提供商方面的任務,現在我們將為客戶提供對防病毒保護的控制。 為此,我們創建一個子 KSC 服務器並將其帶到客戶端段:
讓我們轉到客戶端 KSC 上的控制台,看看客戶默認會有哪些設置。
監控。 在第一個選項卡上,我們看到儀表板。 立即清楚您應該注意哪些問題領域:
讓我們繼續進行統計。 可以在這裡看到一些示例。
在這裡管理員將立即查看某些機器是否尚未安裝更新
或者存在與虛擬桌面上的軟件相關的其他問題。 他們的
該更新可能會影響整個虛擬機的安全:
在此選項卡中,您可以將發現的威脅分析為受保護設備上發現的特定威脅:
第三個選項卡包含預配置報告的所有可能選項。 客戶可以從模板創建自己的報告,選擇要顯示的信息。 您可以設置計劃的電子郵件發送或從服務器本地查看報告
管理(KSC)。
管理組。 在右側,我們可以看到所有託管設備:在我們的示例中,是由 KSC 服務器管理的虛擬桌面。
它們可以組合成組,以便為不同部門或同時為所有用戶創建常見任務和組策略。
一旦客戶在私有云中創建了虛擬機,就會立即在網絡上檢測到它,卡巴斯基會將其發送到未分配的設備:
未分配的設備不受組策略的約束。 為了不手動將虛擬桌面分散到組中,您可以使用規則。 這就是我們自動將設備轉移到組的方式。
例如,使用 Windows 10 但未安裝管理代理的虛擬桌面將屬於 VDI_1 組,而安裝了 Windows 10 和代理的虛擬桌面將屬於 VDI_2 組。 與此類似,設備還可以根據其域從屬關係、不同網絡中的位置以及客戶端可以根據自己的任務和需求自行設置的某些標籤來自動分配。
要創建規則,只需運行設備分組嚮導:
小組任務。 借助任務,KSC 在某個時間或某個時刻開始自動執行某些規則,例如:在非工作時間或虛擬機“空閒”時執行病毒掃描,這反過來又減少了虛擬機的負載。 在本節中,可以方便地對組內的虛擬桌面運行計劃掃描以及更新病毒庫。
以下是可用任務的完整列表:
團體政策。 通過子 KSS,客戶可以獨立地將保護分發到新的虛擬桌面、更新簽名、配置排除項
文件和網絡、構建報告並管理計算機上的各種檢查。 包括 - 限制對特定文件、站點或主機的訪問。
如果出現問題,可以重新啟用核心服務器策略和規則。 在最壞的情況下,如果配置不正確,輕代理將失去與 SVM 的聯繫,並使虛擬桌面不受保護。 我們的工程師將立即收到有關此情況的通知,並將能夠從主 KSC 服務器啟用策略繼承。
這些就是我今天要講的主要設置。
來源: www.habr.com