Касперский антивирус для виртуальных сред. Kaspersky Security для виртуальных и облачных сред. Требования к защищаемым виртуальным компьютерам

Программное обеспечение Kaspersky Security для виртуальных и облачных сред - это система защиты виртуализованных инфраструктур (серверов, дата-центров и настольных ПК) от вредоносного кода. Кроме того, Kaspersky Security для виртуальных и облачных сред позволяет управлять безопасностью широкого ряда устройств, включая физические серверы, виртуальные машины и мобильные устройства, из единой консоли администрирования, которая упрощает выполнение стандартных операций и мгновенно делает видимыми проблемы защиты.

Являясь безагенстким решением, Kaspersky Security для виртуальных и облачных сред помогает достигать более высокой производительности и консолидации, чем это возможно при работе с традиционными системами безопасности на базе агентов. Управление антивирусной защитой информации в гетерогенных и гибридных IT-средах зачастую требует использования множества интерфейсов и инструментов контроля. Kaspersky Security для виртуальных и облачных сред, напротив, предлагает централизованные средства менеджмента безопасности, которые отличаются простотой развертывания и могут решать широкий спектр задач в виртуальных и физических средах.

Особенности Kaspersky Security для виртуальных и облачных сред:

• Централизованное управление защитой виртуальных сред. Kaspersky Security для виртуальных и облачных сред - это виртуальный компонент, который подключается VMware vShield Endpoint для предоставления функции антивирусного сканирования. Единый механизм защиты от вирусов и база данных доступны для каждого физического хоста.
• Единая консоль администрирования. Управление безопасностью виртуальных машин, физического оборудования и мобильных устройств.
• Виртуализация. Kaspersky Security для виртуальных и облачных сред не использует агентские компоненты, не влияя тем самым на процессы виртуализации и производительность ресурсов, а также исключая риск возникновения пробелов в безопасности.
• Антивирус. Технология защиты от вредоносного кода, обладающая многочисленными наградами, а также регулярные обновления баз помогают блокировать существующие и новые угрозы. Модуль эвристического анализа эффективно борется с полиморфными вирусами.

Внедрение и управление:

• Быстрое развертывание. Безопасность предоставляется через виртуальный компонент, подключаемый ко всем виртуальным машинам и физическим серверам.
• Гибкие профили безопасности. Настройки защиты могут легко применяться к разным группам виртуальных машин.
• Отчетность. Подробные отчеты обеспечивают высокую видимость событий и выполненных заданий для физических и виртуальных машин.

Интеграция:

• Поддержка VMware vMotion - непрерывная защита при перемещении рабочей нагрузки с одного хоста ESXi на другой. При наличии у нового хоста лицензий защита автоматически следует за нагрузкой, а настройки безопасности не меняются.
• Интеграция с VMware vCenter - сбор информации о виртуальных машинах с vCenter, включая список машин и релевантные параметры. При конфигурировании новой виртуальной машины защита развертывается автоматически.

Защищать или не защищать виртуальные среды от зловредов – вопрос давно и без особой дискуссии закрытый в пользу первого варианта. Другое дело – как защищать ? Концепцию безагентового антивируса для платформы VMware мы разработали уже достаточно давно: подробнее о ней можно прочитать в этом посте Евгения Касперского. Но технологии на месте не стоят. Виртуализация привлекает новые прикладные IT-направления, а с ростом её применимости расширяются и специфические требования к защите. Очевидно, что для виртуального десктопа нужно одно, для базы данных – второе, веб-сайтам – третье и так далее. При этом безагентовый антивирус – далеко не единственный вариант защиты, а VMware – хотя и самая популярная, но не единственная платформа виртуализации.

Какие есть альтернативы и какая чему больше подходит?

Agentless (безагентовая) концепция.

Здесь будет «краткое содержание предыдущей серии», поскольку по этому вопросу уже есть исчерпывающий материал (см. ссылку выше).

В виртуальной инфраструктуре выделяется специальная машина, на которую устанавливается антивирусный движок. Его связь с остальными виртуалками и проверяемыми объектами обеспечивает нативная технология VMware vShield. Кроме того, vShield общается с системой управления антивируса для настройки, применения политик, включения/отключения защиты, оптимизации нагрузки и т.д.

Звучит как панацея, но у этой концепции есть недостаток фича. Это ограниченный антивирусный функционал – по сути, интерфейс vShield допускает только файловый сканер. Никаких продвинутых технологий вроде контроля над приложениями , защиты от эксплойтов , System Watcher , «белых списков» , device и web control. Да и сканирование тоже в ограниченном виде – без карантина подозрительных объектов, без работы с памятью и процессами.

Это именно фичи , т.к., по всей видимости, в VMware и не собирались давать полноценный интерфейс для всех защитных функций. В принципе, у такого подхода тоже есть применение, но об этом ниже.

А сейчас посмотрим на следующую концепцию – Light Agent («Лёгкий агент»).

В этом варианте вместо vShield с антивирусным движком взаимодействует лёгкий агент , который устанавливается на каждую защищаемую виртуалку. Так мы снимаем ограничения интерфейса VMware для использования всего оборонного потенциала. И при этом сохраняем преимущества безагентного подхода – умеренный аппетит к ресурсам, управляемость, стойкость к «штормам» (деградация производительности кластера из-за одновременного обновления или проверки сразу многих машин).

Да, несмотря на название, лёгкий агент будет «потяжелее» безагентного решения – ему требуется и память в каждой виртуалке, и ресурсы процессора, и новые образы машин с предустановленным агентом. С другой стороны, при сегодняшних мощностях это весьма скромные аппетиты, особенно при условии, что в некоторых стандартных операциях он работает даже быстрее. А с учётом роста качества защиты и вовсе становится ясно, что овчинка выделки стоит.

Ну, ОК, а что делать если антивирус работает только с Windows как гостевой ОС на виртуалке, плюс – очень хочется иметь самый полный набор защитных технологий, включая криптографию ? Тогда потребуется традиционный продукт для эндпоинтов . Да, его будет проблематично целиком заточить под развесистую виртуальную инфраструктуру, и внимания такое решение потребует больше, но есть случаи, когда такой подход уместен.

А теперь – к практике. Недавно мы выпустили третью версию нашего продукта для виртуальных сред , реализовав в нем обе концепции защиты (Agentless и Light Agent). Помимо VMware мы теперь поддерживаем Citrix XenServer и Microsoft Hyper-V . К уже имеющемуся безагентовому решению для VMware добавился вариант защиты с использованием лёгкого агента для всех трёх платформ. При этом все продукты управляются из единой консоли , что особо важно для мульти-гипервизорных сред, чтобы не создавать консольный зоопарк.

Так каким задачам, какой вариант больше всего подходит?

В общем случае логика выбора защиты такая: для максимальной защиты гостевой Windows нужен лёгкий агент , на других ОС (Linux, OS X) – продукт для эндпоинтов . Увы, во втором варианте применение ограничено из-за соображений производительности и взаимодействия антивируса с фичами самой виртуальной среды. Над поддержкой других ОС лёгким агентом мы работаем. А если критична производительность, при этом ценность и разнообразие данных невысока и к ним ограничен доступ извне – тогда подходит безагентовое решение.

Мы проанализировали типовые прикладные задачи с использованием виртуализации и составили вот такую любопытную табличку.

Это не исчерпывающая и не однозначная картина - в разных организациях условия могут меняться, а список задач расширяться. Её цель – показать модель угроз и методологию оценки задач и приоритетов.

Возвращаемся к заголовку. Ну, что, выбор-то, получается, совсем даже и не сложный!

Технология виртуализации с каждым годом набирает обороты. В последнее время большое распространение получила технология виртуальных рабочих столов (VDI): отказ от высокопроизводительных рабочих компьютеров в пользу «тонких клиентов» – маломощных мини-компьютеров – подключаемых к серверам виртуализации, которые предоставляют пользователю полноценную рабочую среду. Антивирусная защита должна применяться на любых компьютерах, в том числе и виртуальных. Однако, при наличии виртуальной инфраструктуры, задача которой – сокращение расходов и оптимизация использования аппаратного обеспечения, неправильно использовать классические антивирусные продукты, которые работают изолированно на каждом виртуальном компьютере. Для решения этой проблемы антивирусные производители предлагают специализированные решения по защите виртуальных машин, основное отличие которых – выделение отдельной виртуальной машины, выполняющей задачи сканирования. Такой подход позволяет сократить нагрузку на виртуальные машины и оптимизировать использование аппаратного обеспечения. Одно из специализированных решений для антивирусной защиты в виртуализации – продукт «Kaspersky Security для виртуальных сред 3.0 Легкий агент».

Данный подход имел несколько существенных недостатков – поддержка только одной среды виртуализации, отсутствие ряда важных механизмов проверок из-за ограничений vShield. Для снятия технических ограничений в «Лаборатории Касперского» выпустили новую версию продукта (3.0), в которой реализован т.н. «легкий агент» - клиентская часть, устанавливаемая на виртуальные компьютеры. Все антивирусные проверки, как и в старой версии, проводятся на отдельной виртуальной машине (такую виртуальную машину называют «virtual appliance»), но изменился механизм передачи данных для проверки. Если раньше информация передавалась через «посредника» vShield и его агента, то теперь все данные идут от собственного агента «Kaspersky Security для виртуальных сред». Этот подход позволил реализовать поддержку всех популярных технологий виртуализации и осуществлять полноценную антивирусную проверку и дополнительные функции по защите, о которых будет рассказано ниже.

Системные требования Kaspersky Security для виртуальных сред 3.0

«Kaspersky Security для виртуальных сред», как и в предыдущей версии, требует наличие установленного на одном из серверов в локальной сети программного обеспечения «Kaspersky Security Center » версии «10 Maintenance Release 1». Данное программное обеспечение используется для управления всеми функциями по защите и мониторинга работы защитных компонентов. Стоит отметить, что установить данный продукт можно как на физический компьютер, так и на виртуальную машину. На компьютере, на котором установлена «Консоль администрирования» «Kaspersky Security Center», должна быть установлена платформа «Microsoft .NET Framework» версии 4.0 или выше.

Требования к виртуальной инфраструктуре

«Kaspersky Security для виртуальных сред» поддерживает следующие гипервизоры:

• Microsoft Windows Server 2008 R2 Hyper-V;
• Microsoft Windows Server 2008 R2 Hyper-V SP1;
• Microsoft Windows Server 2012 Hyper-V;
• Citrix XenServer 6.0.2;
• Citrix XenServer 6.1.0;
• VMware ESXi 5.1u2;
• VMware ESXi 5.5.

Виртуальный сервер защиты по умолчанию устанавливается в следующей конфигурации:

• виртуализированный процессор с частотой 2 ГГц;
• 2 Гб выделенной оперативной памяти;
• 30 Гб выделенного свободного места на диске;

В данной конфигурации виртуальный сервер защиты способен работать без задержек с 50-70 виртуальными рабочими столами со средней офисной активностью пользователей. Для защиты большего числа виртуальных машин или машин с большей нагрузкой рекомендуется увеличить максимальную мощность виртуального сервера защиты. Подробные формулы для расчета нагрузки приведены в пользовательской документации на продукт.

Требования к защищаемым виртуальным компьютерам

Компонент «Легкий агент Kaspersky Security для виртуальных сред», устанавливаемый на защищаемые виртуальные машины функционирует в следующих операционных системах:

• Windows XP Professional SP3 (не поддерживается в VMware ESXi);
• Windows Vista Business/Enterprise/Ultimate SP2 (не поддерживается в VMware ESXi и Citrix XenServer);
• Windows 7 Professional/Enterprise/Ultimate SP1;
• Windows 8 Pro/Enterprise;
• Windows Server 2003 SP2 (не поддерживается в VMware ESXi);
• Windows Server 2003 R2 (не поддерживается в Citrix XenServer);
• Windows Server 2008;
• Windows Server 2008 R2;
• Windows Server 2012;
• Windows Small Business Server 2008 (не поддерживается в VMware ESXi и Citrix XenServer);
• Windows Small Business Server 2011 (не поддерживается в VMware ESXi и Citrix XenServer).

Требования к минимальному аппаратному обеспечению защищаемой виртуальной машины:

• виртуализованный процессор с частотой 1 ГГц (1.5 ГГц для серверных операционных систем);
• 1 Гб оперативной памяти для 32-разрядных операционных систем и 2 Гб – для 64-разрядных;
• от 1.5 до 20 Гб выделенного свободного места на диске (в зависимости от версии операционной системы);
• виртуализированный сетевой интерфейс с полосой пропускания 100 Мбит/сек.

Перед установкой данного компонента на виртуальной машине необходимо установить утилиты гипервизора – XenTools, VMware Tools или Hyper-V Integration Services.

Функциональные возможности Kaspersky Security для виртуальных сред 3.0

«Kaspersky Security для виртуальных сред» предлагает не только функции классического антивируса. В состав функциональных компонентов продукта также входит ряд других защитных механизмов:

• Контроль запуска программ – данный механизм отслеживает попытки запуска программ в виртуальной машине и позволяет разрешать или запрещать запуск по установленным правилам.
• Контроль активности программ – классические механизмы системы предотвращения вторжений уровня узла («Host-based Intrusion Prevention System»). Агент «Kaspersky Security для виртуальных сред» регистрирует все действия, совершаемые процессами в операционной системе и позволяет разрешать или запрещать определенную деятельность программы на основании группы, к которой данный компонент отнес эту программу. Правила для групп приложений регламентируют доступ процессов к данным пользователя (папка «Мои документы», файлы cookie, данные об активности пользователя, файлы, папки и ключи реестра, содержащие данные популярных приложений) и ресурсам операционной системы.
• Мониторинг уязвимостей – еще один механизм системы предотвращения вторжений. Данный компонент в реальном времени осуществляет контроль запущенных и запускаемых программ на наличие уязвимостей.
• Контроль устройств – разграничение доступа к носителям данных (жесткие диски, флеш-накопители, съемные носители и т.д.), устройствам передачи информации (модемам), принтерам и интерфейсами, к которым могут быть подключены устройства (например, USB, Bluetooth, инфракрасный порт).
• Веб-Контроль – ограничение доступа пользователей к веб-ресурсам.
• Сетевой экран – классический персональный сетевой экран, позволяющий фильтровать сетевую активность защищаемой виртуальной машины. Позволяет настроить правила доступа как на уровне сетевых параметров соединений, так и на уровне отдельных приложений.
• Защита от сетевых атак – мониторинг входящего сетевого трафика для обнаружения активности, характерной для сетевых атак. При обнаружении такой активности, осуществляется блокировка источника подозрительного трафика.
• Антивирусные возможности «Kaspersky Security для виртуальных сред» представлены следующим набором компонентов:
• Файловый Антивирус – резидентная проверка всех открываемых, сохраняемых и запускаемых файлов.
• Почтовый Антивирус – проверка входящих и исходящих сообщений электронной почты на наличие в них вирусной угрозы.
• Веб-Антивирус – обнаружение вирусных угроз в веб-трафике и защита от подозрительных веб-ресурсов и веб-ресурсов, подделывающих популярные сайты («фишинг»).
• IM-Антивирус – проверка трафика интернет-мессенджеров, программ, предназначенных для обмена сообщениями и файлами между пользователями сети Интернет.

Описание стенда и установка Kaspersky Security для виртуальных сред 3.0

Описание стенда

Для проведения функциональных проверок продукта «Kaspersky Security для виртуальных сред» был развернут стенд, работающий в среде виртуализации Microsoft Hyper-V под управлением операционной системы Microsoft Windows Server 2012.

Были созданы следующие виртуальные машины:

1. Сервер для «Kaspersky Security Center», операционная система – Microsoft Windows Server 2012;
2. Виртуальный сервер защиты «Kaspersky Security для виртуальных сред»;
3. Два защищаемых компьютера, операционные системы – Microsoft Windows 8 и Microsoft Windows 7 SP1.

Подготовка к установке Kaspersky Security для виртуальных сред 3.0

На все виртуальные машины под управлением операционных систем Microsoft были установлены пакеты интеграционных сервисов Hyper-V (Integration Services).

Перед установкой «Kaspersky Security для виртуальных сред» был установлен «Kaspersky Security Center» на отдельную выделенную виртуальную машину. Процесс установки и настройки данного продукта рассмотрен в отдельном обзоре на нашем сайте .

Рисунок 1. Установка Kaspersky Security Center 10 Maintenance Release 1

Установка Kaspersky Security для виртуальных сред 3.0

Установка «Kaspersky Security для виртуальных сред» начинается с инсталляции плагинов управления для «Kaspersky Security Center». Этот этап делается в виду того, что установить виртуальный сервер защиты через стандартные механизмы гипервизора невозможно. Установка главного компонента «Kaspersky Security для виртуальных сред» осуществляется только через плагин управления для «Kaspersky Security Center».

Плагинов управления два – один для управления агентами «Kaspersky Security для виртуальных сред», второй для управления виртуальным сервером защиты «Kaspersky Security для виртуальных сред». Установка плагинов выполняется последовательным запуском файлов klcfginst.exe и klcfginst.msi на компьютере с установленным «Kaspersky Security Center». Каждый из инсталляторов обладает графическим интерфейсом, а сама установка производится за несколько простых шагов мастера, поэтому подробно рассматривать данный этап не будем.

Второй этап – разворачивания виртуального сервера защиты. Открываем консоль управления «Kaspersky Security Center», проверяем наличие и правильность установки плагинов управления с помощью выбора раздела «Свойства» в контекстном меню папки «Сервер администрирования» в левой части интерфейса. В открывшемся окне свойств следует перейти в раздел «Информация об установленных плагинах управления программами» и убедиться, что оба плагина присутствуют.

Рисунок 2. Проверка установки плагинов управления Kaspersky Security Center

Закрываем окно свойств и запускаем установку виртуального сервера защиты, для этого выбираем в панели навигации пункт «Сервер администрирования» и нажимаем ссылку «Управление Kaspersky Security для виртуальных сред Легкий агент» в рабочей области (блок «Развертывание»).

Рисунок 3. Начало установки виртуального сервера защиты

В открывшемся мастере выбираем действие «Установка виртуальной машины защиты» и следуем указаниям мастера.

Рисунок 4. Выбор действия при установке виртуального сервера защиты

Отдельно следует отметить, что для установки требуются два файла – файл образа виртуального сервера защиты и XML-файл с описанием настроек образа. Эти файлы присутствуют в составе дистрибутива, но заархивированы в ZIP. Перед установкой следует распаковать данные файлы и обязательно воспользоваться функций проверки целостности образа, которая доступна на одном из шагов мастера установки.

Рисунок 5. Выбор образа виртуальной машины и проверка целостности

В случае успешной установки виртуального сервера защиты в списке виртуальных машин появится новый сервер с названием «LightAgentSvm».

Рисунок 6. Виртуальный сервер защиты в списке виртуальных машин

Открыв консоль виртуального сервера можно проконтролировать процесс его запуска. В качестве базовой операционной системы для сервера используется один из популярных свободно распространяемых дистрибутивов GNU/Linux.

Рисунок 7. Консоль виртуального сервера защиты после загрузки

Третий этап установки – развертывание агентов на защищаемых виртуальных машинах. Продукт «Kaspersky Security для виртуальных сред 3.0» поддерживает установку агентов множеством способов:

• локально с помощью стандартного мастера;
• локально в «тихом» режиме с поддержкой параметров командной строки;
• удаленно с помощью «Kaspersky Security Center»;
• удаленно через групповые политики Active Directory.

В целях тестирования самым простым способом установки является локальный вариант со стандартным мастером.

Локальная установка делается в два этапа – сначала запускается файл ksvla.exe из состава дистрибутива продукта, который не устанавливает сам агент, а лишь распаковывает его установочные и служебные файлы.

Рисунок 8. Внешний вид распаковщика ksvla. exe

Затем, после распаковки, нужно запустить файл setup.exe, который является инсталлятором агента. Процесс установки агента не вызывает затруднений, опционально можно выбрать устанавливаемые компоненты защиты.

Рисунок 9. Выбор компонентов защиты Легкого агента

В соответствии с документацией на «Kaspersky Security для виртуальных сред» агент после завершения установки должен отобразиться в списке нераспределенных компьютеров как защищаемый, но не настроенный. Однако в указанном списке компьютер отображался как неопределенный – без обнаруженных продуктов «Лаборатории Касперского». Для корректного обнаружения агента и управления защитой необходимо дополнительно на защищаемый компьютер установить агент «Kaspersky Security Center».

Как и агент «Kaspersky Security для виртуальных сред», агент «Kaspersky Security Center» поддерживает различные способы установки. Для упрощения процесса было решено провести установку удаленно из консоли «Kaspersky Security Center».

Рисунок 10. Выбор пакета « Kaspersky Security Center» для удаленной установки.

Но все попытки запуска задачи по установке завершались неудачей – консоль сообщала о невозможности подключения к административному ресурсу «ADMIN$». Причем данная ошибка возникала только в Windows 7, установка в Windows 8 завершилась успехом с первого раза. Выяснилось, что при стандартных настройках Windows 7 не позволяет удаленные подключения к служебным общим ресурсам («C$», «ADMIN$» и т.д.), данная проблема решилась созданием ключа реестра «LocalAccountTokenFilterPolicy» со значением DWORD = 0x00000001 по пути «HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System».

После установки агента «Kaspersky Security Center» защищаемые компьютеры отобразились с перечнем установленных продуктов в списке нераспределенных. Выбрав нужные компьютеры переносим их в управляемые. На этом установка продукта завершена, переходим к настройке.

Рисунок 11. Список управляемых компьютеров в « Kaspersky Security Center»

Настройка Kaspersky Security для виртуальных сред 3.0 и управление защитой

«Kaspersky Security для виртуальных сред» поддерживает два режима настройки – локально на защищаемой виртуальной машине и удаленно через консоль «Kaspersky Security Center». В целом, процесс настройки и управления продуктом точно такой же, как в «Kaspersky Endpoint Security». Рассмотрим внешний вид и функции Легкого агента на виртуальной машине.

Легкий агент «Kaspersky Security для виртуальных сред» после установки отображает значок приложения в панели уведомлений, поддерживает стандартный перечень действий по контекстному меню – открытие основного интерфейса, открытие окна настроек, приостановка защиты, выход и отображение информации о продукте. Основное окно программы выполнено в общем стиле всех продуктов «Лаборатории Касперского» - две основных вкладки: «Центр управления» с оперативной информацией о работе продукта и «Настройка» с окном управления параметрами работы.

Рисунок 12. Основной интерфейс Легкого агента « Kaspersky

В разделе настроек доступны для изменения параметры всех защитных компонентов, перечисленных в разделе «Функциональные возможности» данного обзора.

Рисунок 13. Раздел «Настройки» Легкого агента « Kaspersky Security для виртуальных сред»

Отдельно следует отметить удобство настройки контроля устройств – предусмотрена настройка правил как по типам устройств, так и по шинам подключения. Отдельно отображаются доверенные устройства, что удобно при контроле сделанных настроек.

Рисунок 14. Настройка контроля устройств Легкого агента Kaspersky

Правила контроля программ и перечень защищаемых ресурсов (настройки действий при доступе программ к этим ресурсам) доступны в отдельном интерфейсе, вызываемом из центра управления или настроек. В этом же интерфейсе представлена вкладка мониторинга активности программ, в которой можно отследить текущие действия всех процессов. Все правила позволяют делать гибкие настройки и максимально точно ограничить поведение недоверенных приложений.

Рисунок 15. Правила контроля программ Легкого агента Kaspersky Security для виртуальных сред 3.0

Рисунок 16. Настройка защищаемых ресурсов Легкого агента Kaspersky

Как и в обычном антивирусе, поддерживается запуск задач по расписанию. Легкий агент «Kaspersky Security для виртуальных сред» позволяет задать распорядок выполнения обновлений базы, время и частоту запуска полной проверки, проверки важных областей и выборочной проверки заданных пользователем файлов и директорий. Дополнительно настраивается частота и время запуска процесса поиска уязвимостей в установленном программном обеспечении.

Рисунок 17. Настройка выполнения задач по расписанию в Легком агенте Kaspersky Security для виртуальных сред

Все настройки, выполняемые локально по умолчанию доступны для всех пользователей виртуальных машин, для исключения несанкционированного изменения настроек поддерживается включение парольной защиты на доступ в режиме конфигурирования.

Настройка продукта через «Kaspersky Security Center» отличается от локальной настройки поддержкой политик безопасности. Правила в политике безопасности аналогичны настройкам, которые доступны локально на отдельных виртуальных машинах, но в отличие от локального конфигурирования, политики могут применяться сразу на группы агентов. Таким образом значительно упрощается процесс конфигурирования установленных Легких агентов.

Для создания и применения политики открываем консоль «Kaspersky Security Center», переходим в раздел «Управляемые компьютеры» и в рабочей области открываем вкладку «Политики».

Рисунок 18. Раздел политик в Kaspersky Security Center

Далее необходимо создать политику, нажав соответствующую ссылку в рабочей области. Откроется мастер создания новой групповой политики, на первом шаге мастера происходит выбор программы, для которой создается политика. В нашем случае выбираем «Kaspersky Security для виртуальных сред 3.0 Легкий агент». Также можно выбрать следующий пункт и создать политику для сервера защиты, данная политика содержит настройки для виртуального сервера защиты, но, в общем случае, изменять настройки для этого сервера не требуется.

Рисунок 19. Выбор программы для создания политики в Kaspersky Security Center

На следующем шаге мастера выбираются компоненты защиты, для которых будет настраиваться политика. Для гибкой настройки защищаемых компьютеров можно создавать разные политики для отдельных компонентов защиты и применять такие политики совместно друг с другом на защищаемые компьютеры.

Рисунок 20. Настройка параметров защиты в политике в Kaspersky Security Center

На следующем этапе указывается название политики для её идентификации в списке созданных политик. По завершению работы мастера в списке политик появляется только что созданный пункт. Далее следует открыть свойства этой политики и произвести её настройку. Разделы в левой части открывшегося окна повторяют разделы настройки Легкого агента, содержимое разделов также аналогично. Отдельно стоит обратить внимание на параметры наследования. В «Kaspersky Security Center» поддерживается иерархическая модель применения политик, политики безопасности могут быть применены к группе компьютеров или к отдельным защищаемым компьютерам. При этом наследование политик настраивается в свойствах каждой политики в группе параметров наследования.

Рисунок 21. Свойства политики в Kaspersky Security Center

После создания и настройки политики они применяются к защищаемым компьютерам. Проверить работоспособности и корректность настройки агентов на компьютерах можно во вкладке «Компьютеры». В списке отображаются все добавленные в управляемые компьютеры, выделив один из них, в правой части отразится его текущий статус, параметры и ссылки на быстрые действия.

Рисунок 22. Защищаемые компьютеры в Kaspersky Security Center

Открыв свойства компьютера, можно посмотреть общие сведения о нем, список установленных программ «Лаборатории Касперского» (в нашем случае там должен быть Легкий агент «Kaspersky Security для виртуальных сред» и Агент администрирования «Kaspersky Security Center»), список задач, событий и информация о системе.

Рисунок 23. Свойства защищаемого компьютера в Kaspersky Security Center

После успешного создания и применения политик, а также проверки статусов агентов и установленных программ защиты, настройка может считаться законченной. Следующий этап – мониторинг состояния системы защиты.

Мониторинг работы Kaspersky Security для виртуальных сред 3.0

«Kaspersky Security Center» предоставляет широкие возможности по мониторингу за установленными средствами защиты «Лаборатории Касперского». Доступен как оперативный мониторинг с диаграммами и важной информацией, так и журнал событий с гибкими возможностями по поиску и фильтрации событий. Кроме того, по различным типам событий «Kaspersky Security Center» позволяет строить подробные отчеты.

Посмотрим на интерфейс оперативного мониторинга. В левой части консоли «Kaspersky Security Center» перейдем на верхний уровень, установив курсор на пункт «Сервер администрирования». В правой части откроется окно «Начало работы», в котором содержаться подпункты для всех областей работы – развертывание, управление, защита, обновления и так далее. Из этого интерфейса удобно следить за состоянием всех систем – оперативно получать статус развертывания при защите новых компьютеров, проверять текущее состояние агентов защиты, правильность обновлений вирусных баз и наличие оперативных событий, например, обнаруженных вирусов.

Рисунок 24. Общий мониторинг – окно «Начало работы» в « Kaspersky Security Center»

Для получения информации о событиях на защищаемых компьютерах, переходим в панели навигации в раздел «Отчеты и уведомления». В рабочей области отображаются наглядные диаграммы текущего состояния защиты, графики истории статусов компьютеров и другие важные параметры в графическом виде. Верхний переключатель позволяет менять режим работы – «Статистика», «Отчеты» и «Уведомления». Нижний переключатель в режиме «Статистика» вызволяет переключить параметры, по которым отображается информация. Доступны разделы со статистикой по развертыванию, обновлениям баз, антивирусным функциям и так далее. Весь интерфейс раздела «Статистика» настраивается – можно перемещать и изменять размеры и виды диаграмм, удалять и добавлять отображаемые показатели и привести внешний вид в соответствии с потребностями любого администратора.

Рисунок 25. Статистика в « Kaspersky Security Center»

Вкладка «Отчеты» открывает интерфейс построения отчетов. На выбор предлагаются стандартные шаблоны, отсортированные по разделам. По желанию, доступна возможность создания собственного шаблона для вывода в отчет только интересующей администратора информации. Отчеты позволяют получить информацию не только по событиям безопасности, но и по параметрам настройки, перечню оборудования и программного обеспечения на защищаемых виртуальных машинах.

Рисунок 26. Отчеты в «Kaspersky Security Center»

Для просмотра журнала событий в панели навигации доступен выпадающий подраздел «События» в разделе «Отчеты и уведомления». События отсортированы по подкатегориям – последние события, критические, отказы, предупреждения, события аудита и так далее. В рабочей области отображается список событий, ссылки для экспорта и очистки событий. При выборе одного события в правой части отображаются полные данные по событию и ссылки для оперативных действий, изменяющиеся в зависимости от типа событий.

Рисунок 27. События в «Kaspersky Security Center»

Проверка работы Kaspersky Security для виртуальных сред 3.0

Для выполнения общей проверки работы «Kaspersky Security для виртуальных сред 3.0» был подготовлен набор вирусов для тестирования. На защищаемую виртуальную машину был скопирован архив с вирусами, затем был запущен процесс распаковки. Резидентный сканер успешно обнаружил все вирусы в момент их записи на диск и поместил зараженные файлы в карантин.

Рисунок 28. Обнаруженные угрозы в Легком агенте « Kaspersky Security для виртуальных сред»

Обнаруженные угрозы отображались в консоли «Kaspersky Security Center» практически моментально. Во вкладке «Антивирусная статистика» раздела статистики отрисовывались графики вирусной активности и распространённости вирусов.

Рисунок 29. Обнаруженные угрозы в « Kaspersky Security Center»

Следующей проверкой было отключение виртуального сервера защиты «Kaspersky Security для виртуальных сред». Через Hyper-V Manager была остановлена виртуальная машина «LightAgentSvm». После этого на защищаемый компьютер вновь были распакованы вирусы, в этот раз ни один из распакованных файлов не был помещен в карантин и счетчик угроз не изменялся. При этом, никаких уведомлений в Легком агенте не отображалось.

Консоль «Kaspersky Security Center» также не отреагировала на отключение виртуального сервера защиты, даже спустя 14 минут после отключения, статус сервера всё еще отображался как видимый в сети. При дальнейшем ожидании статус изменился лишь через 20-25 минут. В реальных условиях за это время по сети виртуальных машин может распространиться серьезная вирусная эпидемия.

Рисунок 30. Отображение состояния виртуального сервера защиты в « Kaspersky Security Center» при отключенном сервере

Некоторые вредоносные программы, доступ к которым блокировался при нормальной работе системы защиты, при отключенном виртуальном сервере защиты удалось запустить. При этом правила контроля действий приложений продолжали работать, вредоносная деятельность была существенно ограничена.

Затем была запущена принудительная проверка на вирусы через контекстное меню «Проводника». Открылось окно состояния проверки, в котором в качестве объекта был отображен первый файл из директории, на этом проверка остановилась, только изменялся счетчик длительности и прогноз окончания.

Рисунок 31. Проверка на вирусы по требованию при неработающем виртуальном сервере защиты

После включения виртуального сервера защиты Легкий агент заработал почти мгновенно. Кроме того, все файлы, к которым были обращения во время недоступности агента, были со временем проверены, а вредоносные – нейтрализованы. Легкий агент во время недоступности виртуального сервера защиты выстраивает и запоминает очередь объектов для проверки и отправляет задачу на сервер сразу после восстановления подключения.

Дальнейшее изучение продукта показало, что Легкий агент не уведомляет пользователя, если виртуальный сервер защиты недоступен менее 30 минут. Такая настройка установлена для возможности техническому персоналу проводить работы по обслуживанию серверов без беспокойства пользователей.

Отсутствие уведомления пользователя Легкого агента о недоступности виртуального сервера защиты представляет собой угрозу безопасности, но только в том случае, если в виртуальной инфраструктуре используется только один сервер. При проектировании системы защиты рекомендуется устанавливать несколько виртуальных серверов защиты и распределять их по разным физическим серверам виртуализации. Легкий агент при недоступности одного сервера в течение короткого времени устанавливает соединение с одним из других доступных серверов. При этом возможны кратковременные некритичные перебои в работе сканера (не больше минуты). Стоит также отметить, что в предыдущей версии «Kaspersky Security для виртуальных сред» не было поддержки резервирования серверов виртуальной защиты.

Если же виртуальная инфраструктура не позволяет развернуть несколько виртуальных серверов защиты, рекомендуется изменить порог времени недоступности сервера, после которого Легкий агент уведомляет пользователя. Данная настройка изменяется через реестр защищаемой операционной системы, в разделе HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\protected\KSVLA3\profiles\RemoteServicesProvider\settings (или HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\KasperskyLab\protected\KSVLA3\profiles\RemoteServicesProvider\settings для 64-разрядных операционных систем) необходимо изменить или создать ключ «svmUnavailableTimeoutSeconds» типа DWORD со значением, равным количеству секунд до уведомления.

Выводы

В рамках данного обзора была рассмотрена новая версия продукта «Лаборатории Касперского» «Kaspersky Security для виртуальных сред». В отличие от предыдущей версии продукта, использование собственного агента позволило полностью решить проблему антивирусной защиты виртуальных машин, работающих под управлением популярных гипервизоров. Кроме того, в новой версии реализованы все защитные компоненты, доступные в других продуктах «Лаборатории Касперского».

Таким образом, в виртуальной инфраструктуре с помощью «Kaspersky Security для виртуальных сред» можно реализовать меры по защите от большинства угроз для виртуальных серверов и рабочих станций. Из-за особенности работы Легкого агента «Kaspersky Security для виртуальных сред» при недоступности виртуального сервера защиты, в инфраструктуре необходимо разворачивать резервные сервера защиты, а в случае невозможности – требуется вручную перенастроить поведение агента. Кроме этого, при недоступности виртуального сервера защиты задержки наблюдаются и в консоли «Kaspersky Security Center», на это следует обратить внимание и, возможно, перенастроить «Kaspersky Security Center» или усилить защиту с помощью сторонних средств мониторинга.

Продукт «Kaspersky Security для виртуальных сред» активно развивается и совершенствуется, по функциональным возможностям новая версия шагнула далеко вперед и теперь позволяет решить все задачи по защите виртуальных машин.

Достоинства:

• Поддержка всех популярных гипервизоров.
• Широкие функциональные возможности, не ограничивающиеся антивирусной защитой.
• Наличие большого числа способов развертывания, в том числе удаленного.
• Простота и удобство централизованной настройки, продуманные политики безопасности и механизмы управления и назначения политик.
• Снижение нагрузки на виртуальную инфраструктуру путем переноса механизмов антивирусной проверки на виртуальный сервер защиты.
• Обширные возможности по мониторингу, просмотру событий и построению отчетов.
• Возможность построения гибридных решений с единым управлением и использованием в одной инфраструктуре защиты без агента для VMware ESXi, защиту с легким агентом для всех популярных гипервизоров и защиту с тяжелым агентом для любых виртуальных машин.
• Поддержка резервирования виртуального сервера защиты.

Недостатки:

• Недостаточная документированность процесса установки – опущено описание особенностей удаленного развёртывания на Windows Vista/7, не указана необходимость устанавливать Агент администрирования «Kaspersky Security Center».
• Не продуманный комплект поставки – ZIP-архивы, которые необходимо самостоятельно распаковывать, двойной пакет установки агента (один инсталлятор распаковывает второй, который нужно запускать вручную).
• Задержка в реакции Легкого агента на потерю соединения с виртуальным сервером защиты при отсутствии резервных серверов и настроек по умолчанию.
• Значительная инерционность «Kaspersky Security Center» на потерю соединения с виртуальным сервером защиты.
• Отсутствует возможность сканирования выключенных виртуальных машин.

Технологии виртуализации используются не только в ИТ-инфраструктуре крупных корпораций, даже у небольшой компании может быть парочка VPS на Windows. Традиционный подход предполагает покупку антивирусного пакета для каждой машины, но в виртуальных средах это не нужно - специализированные решения позволяют обеспечить безопасность с гораздо меньшими затратами вычислительных и финансовых ресурсов.

Если вы устанавливаете традиционный антивирус на виртуальные серверы, одними расходами на лицензии (довольно высокими) дело не ограничивается, приходится тратить и вычислительные мощности - продукты для физических машин не адаптированы к особенностям среды и требуют множества избыточных телодвижений. Их базы данных хранятся и обновляются локально, а сканирование файлов и программ в памяти прилично нагружает систему. Это замедляет работу критичных бизнес-приложений, а если таких серверов много, вы можете получить так называемые штормы обновлений и штормы проверок с отказами в обслуживании. В случае облачных VPS с оплатой за фактически потребляемые ресурсы лишняя нагрузка бьет не только по карману - антивирусные базы на выключенном сервере не обновляются, и после его запуска система некоторое время будет уязвима.

В виртуальных средах эксперты «Лаборатории Касперского» рекомендуют применять специализированные продукты. Доступны они не только владельцам программно определяемых дата-центров и частных облаков. Для более прозаических VPS тоже есть простое решение сложных проблем - защита от вредоносного ПО как услуга.

Защита как услуга

Сегодня мы поговорим о Kaspersky Security для виртуальных сред. Этот продукт совместим со всеми популярными платформами виртуализации (VMware vSphere, Microsoft Hyper-V, Citrix XenServer и KVM) и позволяет вынести обновление баз, а также проверку процессов, памяти, файлов и сетевого трафика на отдельные виртуальные устройства (SVM), по одному на каждую хост-систему. Крупные компании разворачивают серверную часть решения в собственной виртуальной инфраструктуре, но ради пары машин это не имеет смысла. Некоторые сервис-провайдеры предлагают услугу подключения VPS к Kaspersky Security за абонентскую плату. Клиентам уже не нужно покупать лицензию и разворачивать защитное решение на каждом узле: достаточно инсталлировать легкий агент, и сразу после его запуска система будет надежно защищена без существенного снижения производительности.

Процесс внедрения прост, поэтому подробно его описывать мы не будем - у RuVDS достаточно поставить соответствующую галочку при заказе виртуального сервера.

После запуска агента в панели уведомлений появится значок, позволяющий просмотреть его рабочий статус и запустить программу-конфигуратор.

Возможности продукта

Kaspersky Security for Virtualization 4.0 Light Agent (легкий агент для виртуальных сред) обеспечивает многоуровневую защиту VPS от внешних и внутренних сетевых атак. Трафик гипервизора отслеживается, есть сетевой экран и система предупреждения вторжений - все как во «взрослых» серверных версиях продуктов «Лаборатории Касперского».

Если в вашей компании используется виртуализация десктопов (VDI), агент позволяет контролировать доступ в интернет (HTTP, FTP) с сервера терминалов, блокировать нежелательные ресурсы, а также контролировать запуск и работу приложений. Проявляющая подозрительную (характерную, например, для шифровальщиков) активность программа будет заблокирована, после чего произойдет автоматический откат вредоносных изменений. Система защиты от эксплоитов дополнительно отслеживает наиболее уязвимые приложения (такие как Adobe Reader, Internet Explorer, Microsoft Office, Java), обеспечивая обнаружение неизвестных угроз. Агент также перехватывает трафик POP3, SMTP, IMAP и NNTP и проверяет каждое сообщение, уведомляя пользователя об инцидентах.

Решение интегрируется с облачной сетью Kaspersky Security Network (KSN) и реагирует на новые угрозы через 0,02 секунды после их появления в базе. Это позволяет использовать легкий агент в том числе для защиты от угроз нулевого дня. При этом в каждой хост-системе обновляется только одно устройство SVM, что исключает шквалы обновлений. Задачи проверки также распределяются по времени в зависимости от нагрузки на гипервизор - SVM автоматически создает очереди и управляет приоритетами, сглаживая пики потребления вычислительных ресурсов виртуальными машинами.

Итоги

Необходимость защиты серверов (в том числе виртуальных) не вызывает сомнений даже у самых консервативных системных администраторов, растущее количество (и качество, что важно!) угроз не оставляет нам пространства для дискуссий. Лет десять назад вопрос считался спорным, но сейчас ограничивающиеся только грамотной настройкой прав доступа и политик безопасности, а также своевременной установкой патчей специалисты ушли на пенсию или были уволены из компаний по причине профнепригодности.

Проблема сегодня исключительно в выборе способа защиты, и, естественно, повсеместное внедрение технологий виртуализации привело к появлению специализированных решений. Они оптимально используют возможности виртуальных сред и позволяют скинуть ресурсоемкие задачи обеспечения безопасности с хилых плеч VPS, ударив по злодеям всей вычислительной мощью хост-системы. Подобные решения требуют высокопроизводительной серверной части и были изначально доступны только крупным компаниям, но, подкидывая нам очередную проблему, технический прогресс предлагает и ее решение. Требовательную к ресурсам часть продукта можно вынести на сторону сервис-провайдера, оставив клиентским VPS только легкие агенты и защиту как услугу за довольно скромную абонплату. Это идеальный вариант для небольших компаний и физических лиц, не имеющих возможности вложиться в создание собственного облака или программно определяемого дата-центра.